FR2981177A1 - Boitier informatique d'acces securise a un systeme d'information - Google Patents

Boitier informatique d'acces securise a un systeme d'information Download PDF

Info

Publication number
FR2981177A1
FR2981177A1 FR1103040A FR1103040A FR2981177A1 FR 2981177 A1 FR2981177 A1 FR 2981177A1 FR 1103040 A FR1103040 A FR 1103040A FR 1103040 A FR1103040 A FR 1103040A FR 2981177 A1 FR2981177 A1 FR 2981177A1
Authority
FR
France
Prior art keywords
server
information system
access
virtual
housing according
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1103040A
Other languages
English (en)
Other versions
FR2981177B1 (fr
Inventor
Jean Francois Tesseraud
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Airbus DS SAS
Original Assignee
Cassidian SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cassidian SAS filed Critical Cassidian SAS
Priority to FR1103040A priority Critical patent/FR2981177B1/fr
Priority to PCT/FR2012/000401 priority patent/WO2013050674A1/fr
Publication of FR2981177A1 publication Critical patent/FR2981177A1/fr
Application granted granted Critical
Publication of FR2981177B1 publication Critical patent/FR2981177B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

L'invention concerne un boîtier informatique doté de : - un système d'information intégré, - une passerelle (4) d'accès au système d'information intégré (52), comprenant: - un caisson (4) doté d'une alimentation, - un concentrateur (25) pour connecter la passerelle à un réseau local (12), - un premier pare-feu (26) pour connecter la passerelle au système d'information intégré (52) et à un réseau de communication externe de type Internet, et - une unité de traitement (27) comprenant : - au moins un serveur de connexion à distance (28, 29, 30) accessible depuis le réseau de communication externe dans un tunnel sécurisé via le premier pare-feu, et - un serveur virtuel (31) d'authentification forte.

Description

- 1 - "Boîtier informatique d'accès sécurisé à un système d'information." La présente invention concerne un boîtier informatique d'accès à un système d'information. Actuellement, la plupart des entreprises comportent un système d'information auquel les collaborateurs ont accès pour travailler. Lorsqu'un utilisateur est en déplacement à l'extérieur de l'entreprise, il est nécessaire d'assurer un accès complètement sécurisé au système d'information.
De nombreuses solutions existent pour accéder à distance à des ressources d'une entreprise. La présente invention a pour but de contribuer à un déploiement rapide d'un système d'information sans intervention de spécialiste sur site. Un autre but de l'invention est un système permettant un travail collaboratif inter réseaux tout en garantissant un cloisonnement des réseaux et la ségrégation des données. L'invention a encore pour but une solution autonome et portative pour se connecter à un système d'information quel que soit le terminal utilisé. On atteint au moins l'un des objectifs précités avec un boîtier informatique portatif comprenant : - un système d'information intégré, - une passerelle d'accès au un système d'information intégré, cette passerelle comprenant: - un caisson doté d'une alimentation, - un concentrateur pour connecter la passerelle à un réseau local, - un premier pare-feu pour connecter la passerelle au système d'information intégré et à un réseau de communication externe de type Internet, et - une unité de traitement comprenant : - au moins un serveur de connexion à distance accessible depuis le réseau de communication externe dans un tunnel sécurisé via le premier pare-feu, et - un serveur virtuel, dit serveur d'authentification, configuré pour interagir avec ledit au moins un serveur de connexion à distance pour une authentification forte de chaque utilisateur accédant au premier - 2 - pare-feu, cette authentification forte étant réalisée à partir d'un identifiant unique du terminal de l'utilisateur ; - un serveur de stockage en réseau, dit serveur NAS, - un commutateur pour gérer les connexions internes du boîtier, et - un deuxième pare-feu disposé entre ladite passerelle informatique et les autres composants.. Avec le boîtier selon l'invention, le système d'information intégré est accessible depuis Internet par tout terminal. Le concentrateur permet une connexion d'un terminal utilisateur en local. Les droits d'accès à un élément du système d'information peuvent être gérés par le concentrateur et/ou le premier pare-feu de la passerelle. Le boîtier selon l'invention fait office d'aiguilleur intégrant des fonctions applicatives pour la distribution de services et pour l'authentification.
Avec le boîtier selon l'invention, on vise une facilité de déploiement. Le boîtier est avantageusement un système industriel rackable et adaptable au contexte environnemental. On dispose ainsi d'un système d'information complet qui peut facilement être déployé dans des environnements spécifiques (chantier, usine, plateforme, travaux extérieurs...), ne disposant pas de ressources informatiques. On peut ainsi déployer un système d'information décentralisé dans des bureaux, agences campus, ayant ou non des interconnexions avec des systèmes centraux, et ne disposant pas de ressources informatiques et pour lequel un certain niveau de sécurité (disponibilité, intégrité, confidentialité) doit être assuré et contrôlé. On peut mettre en place un tel système d'information intégré par exemple pour partager des informations inter-sociétés tout en garantissant un cloisonnement des informations projets et des informations propres aux sociétés. Ce boîtier peut notamment être déployé pour des cellules de crise ou des opérations d'urgence.
Ledit au moins un serveur de connexion à distance peut comprendre : - un premier serveur virtuel, dit serveur pour bureau virtuel, accessible depuis le réseau de communication externe par déport d'affichage dans un tunnel sécurisé via le pare-feu ; et/ou - 3 - - un deuxième serveur virtuel, dit serveur pour nomade, accessible depuis le réseau de communication externe par liaison client-serveur avec échanges de données dans un tunnel sécurisé via le pare-feu ; et/ou - un troisième serveur virtuel, dit serveur pour voix, accessible depuis le réseau de communication externe par une liaison de voix sur IP dans un tunnel sécurisé via le pare-feu. Par serveur pour bureau virtuel, on entend un serveur permettant d'accéder à un bureau virtuel, mais également à d'autres applications comme par exemple des applications WEB.
En particulier, le serveur pour bureau virtuel permet la connexion de tout terminal connu ou inconnu du système d'information. Il suffit que ce terminal soit capable de générer un identifiant d'authentification forte. Cet identifiant peut être intégré dans le terminal ou généré à partir d'un exécutable léger stocké au sein du terminal ou dans un moyen de stockage portatif comme une clé USB ou autre. La communication avec le serveur pour bureau virtuel se fait par déport d'affichage ce qui évite avantageusement le transfert de données, notamment malveillant qui pourraient transiter depuis le terminal utilisateur vers le système d'information. Le serveur pour nomade permet la connexion de terminaux connus du système d'information et comportant de préférence une application cliente lourde permettant de dialoguer avec une application serveur dans la passerelle avec échange de données. Avec la passerelle selon l'invention, le système d'information d'une entreprise est accessible depuis Internet par tout terminal. Le concentrateur permet une connexion d'un terminal utilisateur en local. Les droits d'accès à tel ou tel élément du système d'information peuvent être gérés par le concentrateur et/ou le pare-feu. La passerelle selon l'invention fait office d'aiguilleur intégrant des fonctions applicatives pour la distribution de services et pour l'authentification. Cette passerelle est un unique boîtier permettant l'interconnexion multi-services (différents types d'accès) multi-environnement (pour toute application dans le système d'information). Elle permet également la redirection vers des services mutualisés. - 4 - Grâce au troisième serveur virtuel, la passerelle selon l'invention permet à tout terminal d'accéder également aux applications voix du système d'information en plus des applications données. Selon une caractéristique avantageuse de l'invention, le serveur pour bureau virtuel peut être configuré pour exécuter chaque session dans un environnement virtuel isolé. Ainsi, différentes sessions d'un même utilisateur ou de plusieurs utilisateurs sont cloisonnées les unes par rapport aux autres. Avec des sessions ainsi isolées, on préserve l'intégrité des données et applications du système d'information.
Avantageusement, le serveur pour bureau virtuel peut comprendre plusieurs navigateurs pour accéder au système d'information. Chaque navigateur peut être configuré pour accéder à un ensemble d'éléments spécifiques du système d'information. On définit ainsi plusieurs navigateurs, chacun dédié à une ou plusieurs applications spécifiques. Les navigateurs sont exécutés dans la passerelle et non localement dans le terminal utilisateur. Cela garantit l'intégrité du terminal utilisateur contre tout acte malveillant depuis Internet par exemple. Le serveur pour bureau virtuel permet notamment à un terminal utilisateur d'accéder à des applications Web, ou à des outils de publication d'applications comme par exemple Citrix® ou TSE (pour « Terminal Server » de Windows®) du système d'information. Selon une caractéristique avantageuse de l'invention, les serveurs virtuels sont disposés dans un environnement isolé tel qu'une zone démilitarisée dite DMZ. De préférence, les tunnels sécurisés peuvent être des tunnels VPN 25 chiffrés SSL ou IPSEC Avec la passerelle selon l'invention, on assure la sécurité complète du système d'information et des données. Selon d'autres caractéristiques avantageuses de l'invention, le serveur pour nomade comprend : 30 - un module serveur d'un composeur multi-accès, un module client du composeur étant contenu dans un terminal utilisateur, - un module serveur d'une application d'accès à distance pour établir un tunnel VPN SSL, en particulier avec encapsulation des échanges en mode http sécurisé, et pour accéder au système d'information via une passerelle 35 dédiée. - 5 - Le composeur rnulti-accès est un assistant de connexion permettant au terminal utilisateur de se connecter au serveur pour nomade à partir de différents réseaux physiques avec ou sans fil. Selon une autre caractéristique avantageuse de l'invention, le boîtier comprend en outre une carte électronique pour gérer l'alimentation des différents composants du boîtier. Cette carte électronique est avantageusement configurée pour démarrer séquentiellement de façon automatique différents composants du boîtier après un arrêt. En particulier, le boîtier selon l'invention comprend une alimentation unique permettant un démarrage et un arrêt des composants du boîtier selon une séquence prédéfinie. Par ailleurs, on prévoit une carte électronique d'administration des différents composants du boîtier.
Selon une caractéristique avantageuse de l'invention, le système d'information comprend : - des applications en mode publication, - un serveur Web, - un serveur d'impression, - serveur de gestion d'adresses IP, et - un module de gestion de la publication des applications. On peut également prévoir des serveurs applicatifs en fonction des besoins de l'utilisateur (applications serveurs / applications clients) Un boîtier selon l'invention a notamment pour avantage de permettre une évolutivité par empilage de boîtiers. Pour ce faire, le commutateur comprend au moins deux connecteurs, notamment de type HDMI (pour « High Definition Multimedia Interface » en anglais) pour disposer en cascade plusieurs boîtiers équivalents.
Bien entendu, les différentes caractéristiques, formes et variantes de réalisation de l'invention peuvent être associées les unes avec les autres selon diverses combinaisons dans la mesure où elles ne sont pas incompatibles ou exclusives les unes des autres.35 - 6 - D'autres avantages et caractéristiques de l'invention apparaîtront à l'examen de la description détaillée d'un mode de mise en oeuvre nullement limitatif, et des dessins annexés, sur lesquels : - La figure 1 est une illustration schématique simplifiée d'un système d'accès à des systèmes d'information selon l'invention, - La figure 2 est une illustration schématique simplifiée d'une passerelle informatique d'accès sécurisé selon l'invention, - La figure 3 est une illustration schématique simplifiée d'un processus d'authentification selon l'art antérieur, - La figure 4 est une illustration schématique simplifiée d'un processus d'authentification selon l'invention, - La figure 5 est une illustration schématique simplifiée d'un boîtier d'accès sécurisé intégrant un système d'information.
Sur les figures 1 à 5, les différents éléments communs aux diverses variantes ou formes de réalisation portent les mêmes références. Sur la figure 1 on voit un schéma simplifié d'un système d'accès à des systèmes d'information selon l'invention. On distingue un système d'information 1 d'une entreprise. Ce système d'information est représenté par des serveurs physiques ou virtuels comprenant toutes les composantes d'un système d'information classiques notamment une publication d'applications, des moyens de stockage, des moyens de gestions centralisées des adresses IP, un gestionnaire d'impression et une application d'administration du système d'information de l'entreprise, des applications métiers, (liste non exclusive et non exhaustive). Ce système d'information est intégré dans un réseau local 2 qui peut être un réseau local avec ou sans fil ou un réseau étendu. Des terminaux utilisateurs 3 peuvent accéder au système d'information 1 via le réseau local. La passerelle selon l'invention a pour objectif de développer les usages suivants : - mobilité individuelle, - mobilité d'équipe, - travail collaboratif, - télétravail, et - travail sédentaire. - 7 - Par ailleurs, le système selon l'invention permet de répartir un système d'information et de mettre en place une publication d'applications en mode « SaaS » pour « Software as a Service », application en tant que service permettant l'utilisation d'une application sans l'installer en local.
Pour ce faire, on utilise une nouvelle passerelle d'accès sécurisé 4 reliée d'une part au système d'information 1, et d'une autre part à Internet (5). La passerelle d'accès sécurisé 4 a pour objet de permettre l'accès au système d'information 1 à partir de terminaux 6 à 9 de différents types. Ces terminaux peuvent être connus du système d'information 1 car appartenant par exemple au réseau local 2, mais ils peuvent avantageusement être tout autre terminal utilisateur. D'autres terminaux 10 et un second réseau local 11 constituent un site déporté sans système d'information propre. La passerelle 4 permet de proposer à ce site tous les accès réseaux et les moyens de connexion disponibles sur le site local 2, mais au travers d'une liaison Internet ou WAN (accès Internet direct, accès distant, accès invité, ségrégation des réseaux clients ....) La répartition du système d'information est obtenue en intégrant tout ou partie du système d'information dans un boîtier infrastructure 12 qui sera décrit plus en détail ci-dessous. Plusieurs boîtiers infrastructure peuvent être connectés en un groupe ou « cluster » 13 comprenant tout ou partie du système d'information. Les terminaux utilisateurs 6 à 9 se connectant au système d'information 1 peuvent également accéder, via la passerelle 4, à un serveur de publication d'applications en mode « SaaS » 14 pour bénéficier d'un certains nombres d'applications sans les télécharger localement sur le terminal utilisateur. Ces terminaux 6 à 9 peuvent également accéder via la passerelle 4 à un serveur de stockage 15. On prévoit un module gestion centralisée de services 16 et un module de supervision centralisée 17 de la sécurité des échanges dans le système.
Sur la figure 2, on voit un peu plus en détail le contenu de la passerelle d'accès sécurisé 4 selon l'invention. Il s'agit d'un caisson contenant un concentrateur 25 qui est connecté à une architecture de réseaux locaux, représentée simplement ici par le réseau local 2. Ce concentrateur permet l'accès aux terminaux utilisateurs reliés au réseau local 2. Il s'agit généralement des terminaux de l'entreprise. Il permet également de gérer les - 8 - droits d'accès à des services définis. Le pare-feu 26 permet de laisser passer des communications autorisées provenant du réseau local 2 via le concentrateur 25 ou provenant des terminaux distants 6 à 9 (sur la figure 1) via Internet 5, vers une unité de traitement 27 et/ou vers le système d'information 1. Le pare-feu permet également de contrôler les communications à destination d'Internet, (navigation standard avec filtrage d'URL, antivirus et sonde anti intrusion) ainsi que l'établissement des tunnels IPSEC à destination des différents sites ou administration. En particulier, les communications provenant d'Internet sont dirigées vers l'unité de traitement 27 pour établissement d'une communication sécurisée et pour une authentification forte des terminaux et utilisateurs. En fonction du terminal distant 6 à 9, la communication est dirigée vers un serveur pour bureau virtuel 28, un serveur pour nomade 29 ou un serveur pour voix 30. Chacun des serveurs virtuels 28 à 30 interagit étroitement avec un serveur d'authentification 31. A titre d'exemple non limitatif, le serveur pour bureau virtuel peut être obtenu à partir du produit Virtual Browser® de Common It, du produit Login People ® qui est un serveur d'authentification, ainsi que d'une interface développée pour permettre l'interaction entre le produit Virtual Browser® et le produit Login People®. Un produit Virtual Browser est notamment décrit dans le document WO 2010136317. Le serveur pour nomade peut être de façon également non limitative implémenté au moyen du produit Nomadio® de la société Ibelem en tant que composeur 29A, associé au produit IPDIVA® en tant qu'application d'accès à distance 29B, ces produits étant adaptés pour collaborer avec le Login People® comme serveur d'authentification forte. Ces serveurs virtuels sont avantageusement disposés dans une zone démilitarisée pour protéger le système d'information contre toute intrusion malveillante. Lorsqu'un utilisateur est au sein du réseau local 2, il peut se connecter grâce à son terminal au concentrateur 25 pour identification. Ce dernier identifie l'utilisateur ainsi que le ou les réseaux pour lesquels il a un droit d'accès. Lorsque cet utilisateur est à l'extérieur du réseau local 2, s'il utilise un terminal non connu, c'est-à-dire non répertorié dans le réseau local, tel que - 9 - par exemple la machine d'un cyber café ou un ordinateur personnel, ce sont les serveurs pour bureau virtuel et d'authentification qui vont intervenir. Lorsque cet utilisateur est à l'extérieur du réseau local 2, s'il utilise un terminal connu, c'est le concentrateur 25 qui intervient pour l'identification du terminal. La mise en oeuvre du serveur pour bureau virtuel répond à la problématique de se connecter au système d'information quelque soit le terminal utilisé et de garantir que cette connexion ne permet pas la fuite de io données ni l'attaque du système d'information. Ce mode permet un travail collaboratif (accès à l'espace partagé et accès au système d'information personnel de l'utilisateur tout en garantissant qu'aucun transfert ne peut être effectué d'un espace à l'autre). Comme mentionné précédemment, le serveur pour bureau virtuel peut 15 être mis en oeuvre au moyen du produit Virtual Browser® en mode connecté permettant l'accès à des applications en mode web à partir d'un navigateur virtuel installé sur une zone démilitarisée (DMZ) du pare-feu. L'accès à ce navigateur virtuel se fait au moyen d'exécutables stockés soit sur un terminal (PDA, Smartphone) soit sur clé de type USB (clé standard), disques externes 20 ou autres. Le serveur d'authentification peut être mis en oeuvre avec le produit LOGIN PEOPLE® permettant d'effectuer une authentification forte sans utilisation de « token » cryptographique ou de mécanisme cryptographique spécifique. Cette solution s'appuie sur des paramètres spécifiques d'un 25 terminal afin de rendre son identification unique et non falsifiable. En mode bureau virtuel, le serveur pour bureau virtuel et le serveur d'authentification sont interopérables. En pratique, le processus d'accès en mode bureau virtuel peut être tel que décrit ci-après. 30 L'utilisateur lance un exécutable bureau virtuel stocké soit sur le terminal soit sur une clé USB. Cet exécutable ne nécessite aucune installation ni de privilège particulier. La communication entre le terminal et la passerelle est chiffrée, et authentifiée dans le cas d'utilisation de certificat. 35 Le chiffrement est effectué via OPENSSL. - Une fois la communication établie, l'utilisateur a accès au serveur pour bureau virtuel et aux différents services qui lui sont autorisés en fonction de son profil. Le choix d'un service ouvre automatiquement une session spécifique sur le système d'information concerné. Par défaut, il n'y a aucun transfert d'information entre le client et le serveur pour bureau virtuel. On peut envisager un échange de données en fonction du contexte. En ce qui concerne l'implémentation du serveur d'authentification à partir du produit Login People®, l'authentification du terminal se fait au moyen de plusieurs paramètres intrinsèques au terminal. Cette authentification est effectuée au moyen d'un module d'extension ou « plugin » installé dans un navigateur (ActiveX/Applet Java ou composants spécifiques en fonction des navigateurs). Sur la figure 3, on voit un processus d'authentification selon l'art antérieur dans lequel des terminaux utilisateurs 40 veulent accéder à un système d'information 39 à travers un serveur d'authentification 37 (ID_BOX) et une passerelle VPNSSL 38. La connexion s'effectue en général au travers d'une page web. A l'étape 32, l'utilisateur saisit un code PIN et envoie ce code pin et la signature du terminal utilisé pour la connexion (depuis son Smartphone, sa clé USB, son terminal, ...). Le serveur d'authentification vérifie le code pin et la signature et renvoie à l'utilisateur à l'étape 33 un mot de passe à valeur unique (OTP). Un client VPNSSL (non représenté) installé sur le terminal récupère l'OTP et renvoie à l'étape 34 l'identifiant du terminal à la passerelle VPNSSL 38. Cette dernière renvoie, à l'étape 35 pour vérification, l'OTP vers la passerelle d'authentification, en général selon le protocole RADIUS. La communication est ainsi authentifiée et chiffrée. La passerelle VPNSSL 38 autorise l'accès au système d'information à l'étape 36. Sur la figure 4, ce processus d'authentification est modifié en combinaison avec le processus d'accès sécurisé par le serveur pour bureau virtuel.
Le processus combiné est indépendant du terminal (zéro adhérence) et fonctionne sur l'ensemble des terminaux. Il permet l'authentification de l'utilisateur et du terminal de manière unique et avant l'accès au système d'information. La communication peut être établie en filaire ou en radio (WiFi, - 11 -3G,...). Une authentification unique (SSO, « single sign on ») au niveau du système d'information est également possible. En pratique, la mise en oeuvre peut se faire, sans que cela ne soit limitatif aux produits mentionnés, grâce au développement d'une ou plusieurs interfaces permettant de faire dialoguer des produits Virtual Browser® et Login People®. D'autres développement et/ou produits peuvent être envisagés afin d'implémenter les fonctions définies selon l'invention. Les interfaces rendent les deux produits interopérables. En particulier, dans le cas conventionnel, la génération de la signature issue de Login people® nécessite la mise en oeuvre d'un composant logiciel intégré dans le navigateur sur le poste client. Or Virtual Browser® utilise un navigateur installé en central, donc pas sur le poste client. Avec l'interfaçage entre Virtual Browser et Login People®, on récupère l'empreinte de signature sans installer de composant logiciel sur le poste client.
Sur la figure 4, le terminal 40 qui doit être identifié est celui ayant accès à un fichier exécutable adapté à initier une connexion avec le serveur de bureau virtuel (Virtual Browser®). Ce fichier exécutable est stocké dans le terminal 40 ou dans tout moyen de stockage comme une clé USB. Le terminal 40 est un appareil capable de se connecter à Internet, il peut s'agir d'un Smartphone ou d'un PC (tout OS confondu). Aucune installation n'est nécessaire sur le terminal. - Lorsque l'utilisateur ouvre le fichier exécutable, un module client Virtual Browser® modifié s'exécute et se connecte à l'étape 41 au serveur Virtual Browser® modifié (serveur pour bureau virtuel) 28. Par Virtual Browser® modifié, on entend une application de type Virtual Browser® associée à une interface (une application dédiée) permettant l'échange de données entre l'application Virtual Browser® et une autre application telle que par exemple l'application Login People®. La communication est sécurisée par SSL mais non authentifiée. - A l'étape 42, le serveur de bureau virtuel 28 demande un identifiant ou signature unique du terminal. Une page web spécifique s'ouvre. On calcule la signature du terminal par l'exécution d'un programme local au client et intégré dans le module client Virtual Browser® modifié. Un code pin est demandé à l'utilisateur. L'utilisateur saisit le code pin. - 12 - - Aux étapes 43 et 44, le code pin et la signature sont transmis pour authentification au serveur d'authentification 31 via le serveur de bureau virtuel. - Le serveur d'authentification génère à l'étape 45 un mot de passe 5 unique dit OTP (pour « One Time Password ») et le transmet au serveur de bureau virtuel. - A l'étape 46 le serveur de bureau virtuel valide et renvoie le mot de passe ainsi que la signature vers le serveur d'authentification 31 pour demander une ouverture de session. On récupère éventuellement des 10 groupes utilisateurs auprès d'un serveur LDAP (non représenté). - A l'étape 47, le serveur d'authentification autorise l'ouverture d'une session pour le bureau virtuel en fonction des droits de l'utilisateur. - A l'étape 48, le terminal 40 accède au système d'information, en particulier à des applications web, bureau et applications publiées. 15 Lorsque l'utilisateur utilise son terminal habituel de l'entreprise, ce terminal contient un module client apte à communiquer avec un module serveur selon un mode client-serveur avec échanges de données. Le processus de connexion peut être le suivant : 20 L'utilisateur initie une connexion en activant un assistant de connexion. Cet assistant de connexion est par exemple un module client apte à communiquer avec un module serveur formant le composeur 29A, l'ensemble client-serveur peut être par exemple obtenu à partir du produit Nomadio®. L'assistant de connexion installé sur le terminal utilisateur détecte et propose 25 tous les moyens de communication possible du terminal : 3G, WiFi,... L'utilisateur choisit un mode de communication. L'assistant peut indiquer un mode préférentiel en fonction de paramètres divers comme par exemple le lieu de connexion, la qualité, le moment de la connexion... L'assistant de connexion pointe le pare-feu 26 qui dirige la connexion vers le composeur 29. 30 Ce dernier lance un processus d'authentification forte en s'interfaçant avec le serveur d'authentification 31. Ce dernier récupère un identifiant unique du terminal. Cet identifiant a été élaboré à partir des caractéristiques logicielles et matérielles permettant d'identifier simplement et rapidement chaque terminal. Lorsque l'authentification est terminée et acceptée, on lance 35 l'application d'accès à distance 29B, comme par exemple le produit IPDIVA® - 13 de façon à mettre en place un tunnel VPN SSL entre une application cliente dans le terminal utilisateur et la partie serveur de l'application d'accès à distance contenu dans l'unité de traitement 27. Le terminal utilisateur est ensuite connecté à une passerelle logicielle dans le système d'information pour permettre au terminal utilisateur d'accéder aux différents éléments du système d'information avec échange de données. Le serveur d'authentification utilise un identifiant du terminal, cet identifiant étant un identifiant léger, contrairement aux systèmes de certificat ou de jeton conventionnellement utilisés, qui sont des identifiants lourds en termes de tailles et de manipulation. Sur la figure 5, on voit une passerelle d'accès sécurisé 4 intégrée dans un boîtier infrastructure 50 comprenant un système d'information. Il s'agit d'un boîtier qui, en plus de l'ensemble des composants de la passerelle 4 des figures 1 et 2, comprend en outre : - un pare-feu 51 relié avec le pare-feu 26 (figure 2) présent dans la passerelle 4 pour permettre et surveiller la communication entre la passerelle 4 et les autres éléments du boîtier infrastructure ; - un système d'information intégré 52 comprenant notamment une publication d'applications, un serveur web associé à un relais http, un serveur de dossiers et d'impression, des moyens de gestion centralisée d'adresses IP (DNS, DHCP, AD), et une application d'administration pour gérer la publication d'applications ; - un serveur 53 de stockage en réseau NAS (« Network Attached Storage » en anglais) pour gérer des espaces disques ; - un commutateur 54 pour gérer la communication entre les différents éléments du boîtier infrastructure, il permet également de mettre en cascade plusieurs boîtiers infrastructure du même type ; - une unité de traitement ou carte électronique 55 pour administrer les autres éléments du boîtier infrastructure ; et - une autre unité de traitement ou carte électronique 56 pour gérer l'alimentation du boîtier infrastructure, en particulier l'arrêt et le démarrage séquentiel des éléments du boîtier infrastructure ; par exemple une séquence de démarrage peut être la suivante : le commutateur 54, l'unité de traitement 55, un serveur 53 de stockage en réseau NAS, le système - 1 4 - d'information intégré 52, et la passerelle 4 d'accès sécurisé ; l'arrêt se faisant dans le sens inverse. La mise en cascade des boîtiers infrastructures permet notamment de réaliser un système redondant. Les différents services sont ainsi toujours disponibles en cas de défaillance de l'un des boîtiers infrastructures. D'une façon générale et en complément notamment de ce qui précède et conformément aux figures 1 à 4, le système selon l'invention peut être défini sous forme de kits pouvant être mis en oeuvre pour chaque famille d'équipements à prendre en compte. Le système selon l'invention comprend notamment les familles suivantes : - Famille d'équipements client (distant ou local) : o Pour le kit nomade : kit d'accès nomade permettant à un poste de l'entreprise d'accéder aux ressources de l'entreprise, au boîtier infrastructure intégrant un système d'information, au serveur SaaS et au serveur Store. Le kit comprend le composeur (« dialer » en anglais), la sécurisation de la communication et l'authentification forte. o Pour le kit bureau virtuel : solution permettant à un utilisateur d'accéder aux ressources de l'entreprise, au boîtier infrastructure intégrant un système d'information, au serveur SaaS et au serveur Store. Il permet également de stocker et utiliser des données stockées dans un espace sécurisé. o Pour le kit voix mobile (Smartphone) : solution identique au serveur pour bureau virtuel et/ou au serveur pour nomade mais dédié au monde des Smartphones. - Famille d'équipements infrastructure o Le boîtier infrastructure intégrant un système d'information : système d'information complet, intégré (réseau - applications publiées - stockage) évolutif (empilage ou mise en réseau) offrant des services de voix données images, intégrant des services de sécurité (sécurité des communications (voix et données), sécurité des accès Internet, sécurité des données (chiffrement et solution DLP (« Data Loss Prevention » pour - 1 5 - prévention de perte de données) / Sauvegarde / Synchronisation), haute disponibilité), pouvant être facilement déployé. o La passerelle d'accès sécurisé : Passerelle d'accès mutualisés, permettant aux solutions clients d'accéder à un système d'information client. Passerelle d'accès permettant à un site distant de s'intégrer dans l'architecture du système selon l'invention sans déploiement spécifique sur le site distant tout en gardant les fonctionnalités offertes dans le boîtier infrastructure intégrant un système d'information (multi VLAN accès invité, accès LAN to LAN) - Famille service o Serveur SaaS : Portail d'accès à des applications en mode service (publication d'applications et exécution distante) et compatible avec les solutions de la famille client. Le serveur SaaS est mutualisable entre plusieurs sociétés tout en garantissant un cloisonnement des communications et des données et des accès. Il est compatible avec des solutions d'authentification fortes. o Serveur Store : Bibliothèque d'applications virtualisées pouvant être: - utilisée par le serveur SaaS (à partir des solutions d'infrastructure et clientes) - téléchargée et utilisée par les produits de la famille client - utilisée sur un poste client sans installation spécifique - Famille Management o Le serveur gestion centralisée de services : console de management centralisé permettant l'administration complète du système. Administration des clients, infrastructures, et services.
La gestion comprend le management des services et la configuration / le déploiement des différentes solutions. o Le serveur de supervision centralisée de la sécurité des échanges dans le système (remontée d'alarmes, corrélation, gestion des logs, vulnérabilité). Ce serveur assure également le management de la sécurité (configuration des pare-feu, des liens - 16 - inter systèmes, politique de sécurité et conformité, patch management....) On va maintenant détailler ci-après, certains principes mis en oeuvre au niveau matériel et applicatif : Le système selon l'invention est une solution cohérente mais adaptable car conçue en mode brique. L'architecture technique du système selon l'invention repose sur des briques assurant les différentes fonctions d'un système d'information allant de la communication (architecture réseau) à la mise à disposition d'application en mode SAAS ou local (virtualisation d'application, publication d'application) en intégrant des mécanismes d'authentification forte et un stockage/sauvegarde de données sécurisées soit dans l'infrastructure centrale soit sur un support distant (nomade, bureau virtuel, Smartphone). Architecture des communications Toutes les communications entre les différents éléments du système sont sécurisées (chiffrement et authentification).
Cette architecture de communication entre les différents éléments est assurée par plusieurs tunnels IPSEC ( pour « Internet Protocol Security ») et/ou SSL (pour « Secure Socket Layer ») en fonction des éléments à connecter. Toutes les communications sont gérées à partir du serveur de gestion centralisée de services. Une architecture selon l'invention peut être construite soit sur le réseau Internet soit sur un réseau privé, soit les deux. Le débit minimal dépend des services demandés. Les architectures réseaux locaux, implémentées dans la passerelle et dans le boîtier infrastructure permettent la mise à disposition de plusieurs réseaux pour différents usages répartis en trois classes: - Accès au système d'information local: permet à un utilisateur d'accéder à partir d'un poste quelconque au SI local - 17 - - Accès invité: permet à une personne d'accéder à Internet (en mode invité) en assurant un contrôle des communications et une sauvegarde des données de connexion - Accès LAN to LAN. Offre à un groupe d'utilisateurs une extension de son réseau d'entreprise sans utiliser les accès distants. Chaque classe de réseau peut être subdivisée en plusieurs classes isolées les unes des autres. Les architectures de réseaux s'appuient sur des technologies de VLAN et s'appuie sur des architectures WiFi ou filaire ou les deux rendant ainsi un déploiement rapide et aisé. Toutes les communications clients / infrastructure sont chiffrées et authentifiées par différents mécanismes en fonction de la typologie des réseaux.
Virtualisation système: Les différents serveurs du système fonctionnent sur des équipements spécifiques, intégrés sur mesure mais de base commune. Les systèmes de base fonctionnant sur les différents équipements s'appuient sur des technologies de virtualisation d'OS, permettant une évolution simple et une interopérabilité des éléments entre eux (dans une famille donnée). On peut utiliser la solution logicielle de virtualisation VMWare qui propose des fonctionnalités de haute disponibilité et de partage de charge. Système d'information: Le système d'information peut être par exemple un système Microsoft (Active Directory / File / Print...) avec une architecture dans le boîtier infrastructure capable de dialoguer avec l'architecture du serveur SaaS (mise en place de solution d'approbation de droits entre deux architectures Windows disjointes : fédération des identités) Authentification forte: Plusieurs mécanismes d'authentification forte peuvent être utilisés: - Authentification forte à base de certificat (logiciel ou hardware) - Authentification forte sans certificat (par exemple empreinte de terminal) - 18 - L'enrôlement des utilisateurs ou la création des certificats peuvent être soit externe au système soit intégré dans l'architecture. L'authentification forte couplée à de l'identification unique (SSO) permet à un utilisateur donné 5 d'accéder aux données et aux réseaux en n'utilisant qu'une séquence d'authentification. Des mécanismes de fédération d'identité permettent à un utilisateur d'accéder à des systèmes répartis ne disposant pas de cohérence de bases utilisateurs sans rejouer les mécanismes d'authentification. Les certificats implémentés peuvent également servir au chiffrement des 10 données. Stockage: Le boîtier infrastructure intégrant le système d'information offre des capacités de stockage par utilisateur, qui peuvent évoluer et être réparties 15 sur plusieurs boîtiers. Des mécanismes de synchronisation permettent d'assurer la haute disponibilité des données en cas de dysfonctionnement de l'une des infrastructures. Les données peuvent être également sauvegardées/synchronisées sur des serveurs spécifiques tout en garantissant le même niveau de sécurité (confidentialité/intégrité) de la 20 donnée initiale. L'architecture de stockage permet également de synchroniser dans les deux sens des données stockées sur un poste local (nomade et Smartphone) ou sur une clé (bureau virtuel) en gardant les mêmes niveaux de sécurité. Dans ce cas, la synchronisation de données nécessite que le terminal soit 25 connecté à une architecture du système (partiel ou complète). Solution Voix : Le système offre une solution de voix sécurisée par défaut (chiffrement de la voix) permettant soit de reboucler sur un IPBX (PABX sur IP) 30 d'entreprise soit d'avoir son propre accès aux réseaux commutés (ceci vaut pour le boîtier infrastructure uniquement). Les infrastructures voix sont compatibles avec le boîtier infrastructure et la passerelle et fonctionnent sur tous les clients du système ainsi que sur des téléphones standards (TOIP pour « Telephony over Internet Protocol »). 35 - 19- Protection des données : Des briques spécifiques permettent d'assurer la protection des données stockées dans les différents produits du système. La protection des données comprend la protection de la donnée elle-même (confidentialité / intégrité) ainsi que l'audit / contrôle de l'utilisation de celle-ci. Publication d'application : Le serveur SaaS et le boîtier infrastructure proposent des solutions de publication d'applications permettant à un utilisateur d'accéder à une application sans installation sur le poste distant. Cette solution est compatible avec tous les clients du système et quel que soit l'endroit où se trouve l'application. Les mécanismes de virtualisation d'applications sont identiques pour le boîtier infrastructure et le serveur SaaS.
Virtualisation du terminal : Cette solution couplée à la publication d'application permet à un utilisateur d'accéder au système d'information à partir d'un terminal quelconque ou à partir d'un terminal spécifique mais appartenant à un autre système d'information. La solution garantit par défaut qu'aucune donnée ne pourra être stockée sur le poste client. Il s'agit d'une configuration par défaut qui peut être modifiée en fonction du groupe auquel appartient le poste client (politique adaptative en fonction du contexte). La politique d'utilisation peut être liée au mécanisme d'authentification forte.
Application virtualisée Il s'agit d'une solution permettant de virtualiser des applications afin de les faire fonctionner localement (sur le poste d'un utilisateur) sans avoir à installer ces applications. Les applications sont accessibles en téléchargement à partir par exemple du serveur Store.
Sécurité: Tous les éléments de la gamme bénéficient du même niveau de sécurité. On assure ainsi une cohérence du niveau de sécurité. Ce niveau est défini en fonction des risques connus et des exigences des utilisateurs. La sécurité est globale. Dans le cas où cette dernière s'applique à un système - 20 - d'information existant, elle peut soit être indépendante de ce dernier avec une spécification du niveau de sécurité pour les interfaces, soit intégrée avec des mécanismes de sécurité de l'utilisateur. La sécurité englobe: - La sécurité des systèmes et applications (gestion de patch, mise à jour, contrôle de conformité, gestion des outils de contrôles, ...) - La sécurité des données (chiffrement, sauvegarde, contrôle des accès...) - La gestion des utilisateurs et droits associés.
Administration/ supervision : Cette solution couvre la supervision et l'administration des différents éléments du système: - Provisionnement des comptes utilisateurs - Démarrage arrêt de service - Ajout de service supplémentaire - Surveillance des systèmes - Mise en production.
Modularité de la gamme : La passerelle peut être intégrée dans le boîtier infrastructure ou être utilisée de façon indépendante. Bien sûr, l'invention n'est pas limitée aux exemples qui viennent d'être 25 décrits et de nombreux aménagements peuvent être apportés à ces exemples sans sortir du cadre de l'invention.

Claims (10)

  1. REVENDICATIONS1. Boîtier informatique portatif comprenant : - un système d'information intégré (52), - une passerelle (4) d'accès au un système d'information intégré (52), cette passerelle comprenant: - un caisson (4) doté d'une alimentation, - un concentrateur (25) pour connecter la passerelle à un réseau local (12), - un premier pare-feu (26) pour connecter la passerelle au système d'information intégré (52) et à un réseau de communication externe de type Internet, et - une unité de traitement (27) comprenant : - au moins un serveur de connexion à distance (28, 29, 30) accessible depuis le réseau de communication externe dans un tunnel sécurisé via le premier pare-feu, et - un serveur virtuel (31), dit serveur d'authentification, configuré pour interagir avec ledit au moins un serveur de connexion à distance (28, 29, 30) pour une authentification forte de chaque utilisateur accédant au premier pare-feu, cette authentification forte étant réalisée à partir d'un identifiant unique du terminal de l'utilisateur ; un serveur de stockage en réseau, dit serveur NAS, un commutateur pour gérer les connexions internes du boîtier, et un deuxième pare-feu disposé entre ladite passerelle informatique et les autres composants.
  2. 2. Boîtier selon la revendication 1, caractérisé en ce que ledit au moins un serveur de connexion à distance (28, 29, 30) comprend un premier serveur virtuel (28), dit serveur pour bureau virtuel, accessible depuis le réseau de communication externe par déport d'affichage dans un tunnel sécurisé via le premier pare-feu.
  3. 3. Boîtier selon la revendication 2, caractérisé en ce que le serveur pour bureau virtuel (28) est configuré pour exécuter chaque session dans un environnement virtuel isolé.- 22 -
  4. 4. Boîtier selon la revendication 2 ou 3, caractérisé en ce que le serveur pour bureau virtuel (28) comprend plusieurs navigateurs pour accéder au système d'information (1).
  5. 5. Boîtier selon la revendication 4, caractérisé en ce que chaque navigateur est configuré pour accéder à un ensemble d'applications du système d'information (1).
  6. 6. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce que ledit au moins un serveur de connexion à distance (28, 29, 30) comprend un deuxième serveur virtuel (29), dit serveur pour nomade, accessible depuis le réseau de communication externe par liaison client-serveur avec échanges de données dans un tunnel sécurisé via le premier pare-feu.
  7. 7. Boîtier selon la revendication 6, caractérisé en ce que le serveur pour nomade (29) comprend : - un module serveur (29A) d'un composeur multi-accès, un module client du composeur étant contenu dans un terminal utilisateur, - un module serveur (29B) d'une application d'accès à distance pour établir un tunnel VPN SSL et pour accéder au système d'information.
  8. 8. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce que ledit au moins un serveur de connexion à distance (28, 29, 30) comprend un troisième serveur virtuel (30), dit serveur pour voix, accessible depuis le réseau de communication externe par une liaison de voix sur IP dans un tunnel sécurisé via le premier pare-feu.
  9. 9. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce que les serveurs virtuels sont disposés dans un environnement isolé.
  10. 10. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce que les tunnels sécurisés sont des tunnels VPN chiffrés SSL.35- 23 . Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend en outre une carte électronique (56) pour gérer l'alimentation des différents composants du boîtier. 12. Boîtier selon la revendication 11, caractérisé en ce que la carte électronique (56) est configurée pour démarrer séquentiellement de façon automatique différents composants du boîtier après un arrêt. 13. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend en outre une carte électronique (55) d'administration des différents composants du boîtier. 14. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce que le système d'information intégré comprend : - des applications en mode publication, - un serveur Web, - un serveur d'impression, - serveur de gestion d'adresses IP, et - un module de gestion de la publication des applications. 15. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce que le commutateur comprend au moins deux connecteurs pour disposer en cascade plusieurs boîtiers équivalents. 16. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend une alimentation unique permettant un démarrage et un arrêt des composants du boîtier selon une séquence prédéfinie.
FR1103040A 2011-10-06 2011-10-06 Boitier informatique d'acces securise a un systeme d'information Active FR2981177B1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR1103040A FR2981177B1 (fr) 2011-10-06 2011-10-06 Boitier informatique d'acces securise a un systeme d'information
PCT/FR2012/000401 WO2013050674A1 (fr) 2011-10-06 2012-10-08 Boîtier informatique d'accès sécurisé à un système d'information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1103040A FR2981177B1 (fr) 2011-10-06 2011-10-06 Boitier informatique d'acces securise a un systeme d'information

Publications (2)

Publication Number Publication Date
FR2981177A1 true FR2981177A1 (fr) 2013-04-12
FR2981177B1 FR2981177B1 (fr) 2013-10-25

Family

ID=47291083

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1103040A Active FR2981177B1 (fr) 2011-10-06 2011-10-06 Boitier informatique d'acces securise a un systeme d'information

Country Status (2)

Country Link
FR (1) FR2981177B1 (fr)
WO (1) WO2013050674A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11548245B2 (en) 2013-11-22 2023-01-10 Johns Manville Fiber-containing prepregs and methods and systems of making

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2809255A1 (fr) * 2000-05-22 2001-11-23 Right Vision Procede et appareil de fourniture et d'administration de services sur le reseau internet
US20080046993A1 (en) * 2006-08-21 2008-02-21 Amarnath Mullick Method and system for authorizing a level of access of a client to a virtual private network connection, based on a client-side attribute
US7584228B1 (en) * 2001-07-18 2009-09-01 Swsoft Holdings, Ltd. System and method for duplication of virtual private server files
WO2010136317A1 (fr) * 2009-05-27 2010-12-02 Commonit Procédé de navigation sur le réseau internet, support d'enregistrement, serveur d'accès et poste d'utilisateur pour la mise en oeuvre de ce procédé

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2809255A1 (fr) * 2000-05-22 2001-11-23 Right Vision Procede et appareil de fourniture et d'administration de services sur le reseau internet
US7584228B1 (en) * 2001-07-18 2009-09-01 Swsoft Holdings, Ltd. System and method for duplication of virtual private server files
US20080046993A1 (en) * 2006-08-21 2008-02-21 Amarnath Mullick Method and system for authorizing a level of access of a client to a virtual private network connection, based on a client-side attribute
WO2010136317A1 (fr) * 2009-05-27 2010-12-02 Commonit Procédé de navigation sur le réseau internet, support d'enregistrement, serveur d'accès et poste d'utilisateur pour la mise en oeuvre de ce procédé

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NILS GRUSCHKA ET AL: "Browser as a Service (BaaS): Security and Performance Enhancements for the Rich Web", 17TH GI/ITG CONFERENCE ON COMMUNICATION IN DISTRIBUTED SYSTEMS (KIVS'11), 11 March 2011 (2011-03-11), XP055023357, Retrieved from the Internet <URL:http://drops.dagstuhl.de/opus/volltexte/2011/2975/pdf/22.pdf> [retrieved on 20120329], DOI: 10.4230/OASIcs.KiVS.2011.208 *

Also Published As

Publication number Publication date
WO2013050674A1 (fr) 2013-04-11
FR2981177B1 (fr) 2013-10-25

Similar Documents

Publication Publication Date Title
US10382401B1 (en) Cloud over IP for enterprise hybrid cloud network and security
EP3008872B1 (fr) Procédé d&#39;authentification d&#39;un terminal par une passerelle d&#39;un réseau interne protégé par une entité de sécurisation des accès
JP6909863B2 (ja) ピアツーピア通信に基づく仮想プライベート・ネットワーキング
EP2359302B1 (fr) Equipement de securite
EP3044913B1 (fr) Procede et systeme d&#39;etablissement de reseaux prives virtuels entre reseaux locaux
CA2767179A1 (fr) Procede et systeme pour deployer a la volee et sur demande au moins un reseau virtuel
US20120331528A1 (en) Apparatus, systems and methods for secure and selective access to services in hybrid public-private infrastructures
CN107690793A (zh) 用于移动平台的微vpn隧穿
FR2872983A1 (fr) Systeme de pare-feu protegeant une communaute d&#39;appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
EP2112624A1 (fr) Procédé pour gérer des equipements cryptographiques avec une administration unifiée
FR2801754A1 (fr) Methode pour assigner une double adresse ip a un poste de travail relie a un reseau de transmission de donnees ip
JP2011250209A (ja) ルータ、情報処理装置及びプログラム
CN105991642A (zh) 利用公有云端网络的方法、私有云端路由服务器及智能装置客户端
FR2981178A1 (fr) Passerelle d&#39;acces securise a un systeme d&#39;information
CN112511562A (zh) 一种基于单向隔离一体机及云桌面技术的跨网数据传送系统
FR2981177A1 (fr) Boitier informatique d&#39;acces securise a un systeme d&#39;information
FR2981179A1 (fr) Procede pour acceder a un systeme d&#39;information dispose derriere une passerelle informatique
EP3311531B1 (fr) Composant matériel et procédé d&#39;accès d&#39;un terminal distant à un réseau local, passerelle de service, procédé d&#39;autorisation d&#39;accès et programme d&#39;ordinateur correspondants
Hodanić et al. Data storage and synchronization in private cloud
EP4080923B1 (fr) Dispositif électronique de gestion décentralisée de groupe(s) de communication
EP3265948B1 (fr) Transfert sécurisé d&#39;information d&#39;authentification
EP4210277A1 (fr) Procédé de création d&#39;un canal de communication entre une application locale et une application saas, et procédé et système de communication entre lesdites applications
FR3017729A1 (fr) Procede d&#39;authentification a distance
EP4362391A1 (fr) Procédé de gestion d&#39;accès d&#39;un utilisateur à au moins une application, programme d&#39;ordinateur et système associés
Yeluri et al. Network security in the cloud

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13