FR2981178A1 - Passerelle d'acces securise a un systeme d'information - Google Patents

Passerelle d'acces securise a un systeme d'information Download PDF

Info

Publication number
FR2981178A1
FR2981178A1 FR1103041A FR1103041A FR2981178A1 FR 2981178 A1 FR2981178 A1 FR 2981178A1 FR 1103041 A FR1103041 A FR 1103041A FR 1103041 A FR1103041 A FR 1103041A FR 2981178 A1 FR2981178 A1 FR 2981178A1
Authority
FR
France
Prior art keywords
server
gateway
virtual
information system
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1103041A
Other languages
English (en)
Other versions
FR2981178B1 (fr
Inventor
Jean Francois Tesseraud
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Airbus DS SAS
Original Assignee
Cassidian SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cassidian SAS filed Critical Cassidian SAS
Priority to FR1103041A priority Critical patent/FR2981178B1/fr
Priority to PCT/FR2012/000402 priority patent/WO2014053710A1/fr
Publication of FR2981178A1 publication Critical patent/FR2981178A1/fr
Application granted granted Critical
Publication of FR2981178B1 publication Critical patent/FR2981178B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

L'invention concerne une passerelle (4) d'accès à un système d'information (1), comprenant : - un caisson (4) doté d'une alimentation, - un concentrateur (25) pour connecter la passerelle à un réseau local (12), - un pare-feu (26) pour connecter la passerelle au système d'information et à un réseau de communication externe de type Internet, et - une unité de traitement (27) comprenant : -un serveur pour bureau virtuel (28), accessible depuis le réseau de communication externe par déport d'affichage dans un tunnel sécurisé via le pare-feu, - un serveur pour nomade (29), accessible depuis le réseau de communication externe par liaison client-serveur avec échanges de données dans un tunnel sécurisé via le pare-feu, - un serveur d'authentification (31) pour une authentification forte de chaque utilisateur accédant au pare-feu, cette authentification forte étant réalisée à partir d'un identifiant unique du terminal de l'utilisateur.

Description

-1 "Passerelle d'accès sécurisé à un système d'information." La présente invention concerne une passerelle d'accès à un système d'information offrant l'interconnexion de plusieurs sites entre eux, l'accès à ce système d'information à partir de postes clients connus ou non du système d'information, l'accès à des services mutualisés (SaaS) et l'accès à des bibliothèques d'information (store). Actuellement, la plupart des entreprises disposent d'un système d'information auquel les collaborateurs ont accès pour travailler. Lorsqu'un utilisateur est en déplacement à l'extérieur de l'entreprise, il est nécessaire d'assurer un accès complètement sécurisé au système d'information. De nombreuses solutions existent pour accéder à distance à des ressources d'une entreprise. La présente invention a pour but le déploiement rapide d'un système d'information sans intervention de spécialiste sur site. Un autre but de l'invention est de permettre un travail collaboratif inter réseaux tout en garantissant un cloisonnement des réseaux et la ségrégation des données. L'invention a encore pour but de définir une solution pour se connecter à un système d'information quel que soit le terminal utilisé.
La présente invention a également pour but la mise en place d'une passerelle hautement intégrée, supportant l'ensemble des services nécessaires à l'accès à différents services (voix, données) à partir de n'importe quel type de terminal ou d'infrastructure distants. L'invention a encore pour but une passerelle hautement disponible.
On atteint au moins l'un des objectifs précités avec une passerelle d'accès à un système d'information, comprenant : - un caisson doté d'une alimentation, - un concentrateur pour connecter la passerelle à un ou plusieurs réseaux locaux (réseaux locaux, réseaux invités, réseaux d'interconnexion de réseaux à réseaux), - un pare-feu pour connecter la passerelle au système d'information et à un réseau de communication externe de type Internet, et - une unité de traitement comprenant : - 2 - au moins un serveur de connexion à distance accessible depuis le réseau de communication externe dans un tunnel sécurisé via le pare-feu, et - un serveur d'authentification, configuré pour interagir avec ledit au moins un serveur de connexion à distance pour une authentification forte de chaque utilisateur accédant au pare-feu, cette authentification forte étant réalisée à partir d'un identifiant unique du terminal de l'utilisateur. Ledit au moins un serveur de connexion à distance peut comprendre : - un premier serveur virtuel, dit serveur pour bureau virtuel, accessible 10 depuis le réseau de communication externe par déport d'affichage dans un tunnel sécurisé via le pare-feu ; et/ou - un deuxième serveur virtuel, dit serveur pour nomade, accessible depuis le réseau de communication externe par liaison client-serveur avec échanges de données dans un tunnel sécurisé via le pare-feu ; et/ou 15 - un troisième serveur virtuel, dit serveur pour voix, accessible depuis le réseau de communication externe par une liaison de voix sur IP dans un tunnel sécurisé via le pare-feu. Par serveur pour bureau virtuel, on entend un serveur permettant d'accéder à un bureau virtuel, mais également à d'autres applications comme 20 par exemple des applications WEB. En particulier, le serveur pour bureau virtuel permet la connexion de tout terminal connu ou inconnu du système d'information. Il suffit que ce terminal soit capable de générer un identifiant d'authentification forte. Cet identifiant peut être intégré dans le terminal ou généré à partir d'un 25 exécutable léger stocké au sein du terminal ou dans un moyen de stockage portatif comme une clé USB ou autre. La communication avec le serveur pour bureau virtuel se fait par déport d'affichage ce qui évite avantageusement le transfert de données, notamment malveillant qui pourraient transiter depuis le terminal utilisateur vers le système d'information. 30 Le serveur pour nomade permet la connexion de terminaux connus du système d'information et comportant de préférence une application cliente lourde permettant de dialoguer avec une application serveur dans la passerelle avec échange de données. Avec la passerelle selon l'invention, le système d'information d'une 35 entreprise est accessible depuis Internet par tout terminal. Le concentrateur - 3 - permet une connexion d'un terminal utilisateur en local. Les droits d'accès à tel ou tel élément du système d'information peuvent être gérés par le concentrateur et/ou le pare-feu. La passerelle selon l'invention fait office d'aiguilleur intégrant des 5 fonctions applicatives pour la distribution de services et pour l'authentification. Cette passerelle est un unique boîtier permettant l'interconnexion multi-services (différents types d'accès) multi-environnement (pour toute application dans le système d'information). Elle permet également la redirection vers des services mutualisés. 10 Grâce au troisième serveur virtuel, la passerelle selon l'invention permet à tout terminal d'accéder également aux applications voix du système d'information en plus des applications données. Selon une caractéristique avantageuse de l'invention, le serveur pour bureau virtuel peut être configuré pour exécuter chaque session dans un 15 environnement virtuel isolé. Ainsi, différentes sessions d'un même utilisateur ou de plusieurs utilisateurs sont cloisonnées les unes par rapport aux autres. Avec des sessions ainsi isolées, on préserve l'intégrité des données et applications du système d'information. Avantageusement, le serveur pour bureau virtuel peut comprendre 20 plusieurs navigateurs pour accéder au système d'information. Chaque navigateur peut être configuré pour accéder à un ensemble d'éléments spécifiques du système d'information. On définit ainsi plusieurs navigateurs, chacun dédié à une ou plusieurs applications spécifiques. Les navigateurs sont exécutés dans la passerelle et non localement dans le terminal 25 utilisateur. Cela garantit l'intégrité du terminal utilisateur contre tout acte malveillant depuis Internet par exemple. Le serveur pour bureau virtuel permet notamment à un terminal utilisateur d'accéder à des applications Web, ou à des outils de publication d'applications comme par exemple Citrix® ou TSE (pour « Terminal Server » de Windows®) du système d'information. 30 Selon une caractéristique avantageuse de l'invention, les serveurs virtuels sont disposés dans un environnement isolé tel qu'une zone démilitarisée dite DMZ. De préférence, les tunnels sécurisés peuvent être des tunnels VPN chiffrés SSL ou IPSEC - 4 Avec la passerelle selon l'invention, on assure la sécurité complète du système d'information et des données. Selon d'autres caractéristiques avantageuses de l'invention, le serveur pour nomade comprend : - un module serveur d'un composeur multi-accès, un module client du composeur étant contenu dans un terminal utilisateur, - un module serveur d'une application d'accès à distance pour établir un tunnel VPN SSL, en particulier avec encapsulation des échanges en mode http sécurisé, et pour accéder au système d'information via une passerelle 10 dédiée. Le composeur multi-accès est un assistant de connexion permettant au terminal utilisateur de se connecter au serveur pour nomade à partir de différents réseaux physiques avec ou sans fil. Selon un autre aspect de l'invention, il est proposé un système d'accès 15 à un système d'information contenu dans une architecture de réseau local d'une entité, ce système comprenant : - une passerelle telle que définie ci-dessus, - une pluralité de terminaux utilisateurs pour accéder au système d'information via un réseau de communication de type Internet et ladite 20 passerelle avec une authentification forte et des connexions par tunnels sécurisés, - au moins un serveur virtuel distant de publication, dit serveur « SaaS », dédié à la publication d'applications, ce serveur « SaaS » étant accessible aux utilisateurs via la passerelle, 25 - au moins un serveur virtuel distant de stockage, dit serveur « Store », dédié au stockage d'applications sous forme d'une bibliothèque, ce serveur « Store » étant accessible aux utilisateurs via la passerelle. Avec le système selon l'invention, il est possible d'offrir des services à la demande à partir du serveur « SaaS » et via une installation d'applications 30 dans le système d'information à partir du serveur « Store ». Un tel système peut évoluer et être facilement déployé. L'utilisation du système d'information est simple. Avantageusement, le système comprend en outre un serveur virtuel distant de gestion centralisée de l'ensemble des serveurs virtuels du système. 35 On assure ainsi la gestion complète du système. Il s'agit notamment d'une - 5 gestion de la sécurité et des systèmes d'exploitation depuis une console unique. Le système selon l'invention peut en outre comprendre un serveur virtuel distant de supervision centralisée de la sécurité des échanges dans le 5 système. Bien entendu, les différentes caractéristiques, formes et variantes de réalisation de l'invention peuvent être associées les unes avec les autres selon diverses combinaisons dans la mesure où elles ne sont pas io incompatibles ou exclusives les unes des autres. D'autres avantages et caractéristiques de l'invention apparaîtront à l'examen de la description détaillée d'un mode de mise en oeuvre nullement limitatif, et des dessins annexés, sur lesquels : 15 - La figure 1 est une illustration schématique simplifiée d'un système d'accès à des systèmes d'information selon l'invention, - La figure 2 est une illustration schématique simplifiée d'une passerelle d'accès sécurisé selon l'invention, - La figure 3 est une illustration schématique simplifiée d'un processus 20 d'authentification selon l'art antérieur, - La figure 4 est une illustration schématique simplifiée d'un processus d'authentification selon l'invention, - La figure 5 est une illustration schématique simplifiée d'un boîtier d'accès sécurisé intégrant un système d'information. 25 Sur les figures 1 à 5, les différents éléments communs aux diverses variantes ou formes de réalisation portent les mêmes références. Sur la figure 1 on voit un schéma simplifié d'un système d'accès à des systèmes d'information selon l'invention. On distingue un système 30 d'information 1 d'une entreprise. Ce système d'information est représenté par des serveurs physiques ou virtuels comprenant toutes les composantes d'un système d'information classiques notamment une publication d'applications, des moyens de stockage, des moyens de gestions centralisées des adresses IP, un gestionnaire d'impression et une application d'administration du 35 système d'information de l'entreprise, des applications métiers, (liste non - 6 exclusive et non exhaustive). Ce système d'information est intégré dans un réseau local 2 qui peut être un réseau local avec ou sans fil ou un réseau étendu. Des terminaux utilisateurs 3 peuvent accéder au système d'information 1 via le réseau local. La passerelle selon l'invention a pour objectif de développer les usages suivants : - mobilité individuelle, - mobilité d'équipe, - travail collaboratif, télétravail, et - travail sédentaire. Par ailleurs, le système selon l'invention permet de répartir un système d'information et de mettre en place une publication d'applications en mode « SaaS » pour « Software as a Service », application en tant que service permettant l'utilisation d'une application sans l'installer en local.
Pour ce faire, on utilise une nouvelle passerelle d'accès sécurisé 4 reliée d'une part au système d'information 1, et d'une autre part à Internet (5). La passerelle d'accès sécurisé 4 a pour objet de permettre l'accès au système d'information 1 à partir de terminaux 6 à 9 de différents types. Ces terminaux peuvent être connus du système d'information 1 car appartenant par exemple au réseau local 2, mais ils peuvent avantageusement être tout autre terminal utilisateur. D'autres terminaux 10 et un second réseau local 11 constituent un site déporté sans système d'information propre. La passerelle 4 permet de proposer à ce site tous les accès réseaux et les moyens de connexion disponibles sur le site local 2, mais au travers d'une liaison Internet ou WAN (accès Internet direct, accès distant, accès invité, ségrégation des réseaux clients ....) La répartition du système d'information est obtenue en intégrant tout ou partie du système d'information dans un boîtier infrastructure 12 qui sera décrit plus en détail ci-dessous. Plusieurs boîtiers infrastructure peuvent être connectés en un groupe ou « cluster » 13 comprenant tout ou partie du système d'information. Les terminaux utilisateurs 6 à 9 se connectant au système d'information 1 peuvent également accéder, via la passerelle 4, à un serveur de publication d'applications en mode « SaaS » 14 pour bénéficier d'un certains nombres d'applications sans les télécharger localement sur le terminal utilisateur. Ces terminaux 6 à 9 peuvent également accéder via la - 7 passerelle 4 à un serveur de stockage 15. On prévoit un module gestion centralisée de services 16 et un module de supervision centralisée 17 de la sécurité des échanges dans le système.
Sur la figure 2, on voit un peu plus en détail le contenu de la passerelle d'accès sécurisé 4 selon l'invention. Il s'agit d'un caisson contenant un concentrateur 25 qui est connecté à une architecture de réseaux locaux, représentée simplement ici par le réseau local 2. Ce concentrateur permet l'accès aux terminaux utilisateurs reliés au réseau local 2. Il s'agit généralement des terminaux de l'entreprise. Il permet également de gérer les droits d'accès à des services définis. Le pare-feu 26 permet de laisser passer des communications autorisées provenant du réseau local 2 via le concentrateur 25 ou provenant des terminaux distants 6 à 9 (sur la figure 1) via Internet 5, vers une unité de traitement 27 et/ou vers le système d'information 1. Le pare-feu permet également de contrôler les communications à destination d'Internet, (navigation standard avec filtrage d'URL, antivirus et sonde anti intrusion) ainsi que l'établissement des tunnels IPSEC à destination des différents sites ou administration. En particulier, les communications provenant d'Internet sont dirigées vers l'unité de traitement 27 pour établissement d'une communication sécurisée et pour une authentification forte des terminaux et utilisateurs. En fonction du terminal distant 6 à 9, la communication est dirigée vers un serveur pour bureau virtuel 28, un serveur pour nomade 29 ou un serveur pour voix 30. Chacun des serveurs virtuels 28 à 30 interagit étroitement avec un serveur d'authentification 31. A titre d'exemple non limitatif, le serveur pour bureau virtuel peut être obtenu à partir du produit Virtual Browser® de Common It, du produit Login People ® qui est un serveur d'authentification, ainsi que d'une interface développée pour permettre l'interaction entre le produit Virtual Browser® et le produit Login People®. Un produit Virtual Browser est notamment décrit dans le document WO 2010136317. Le serveur pour nomade peut être de façon également non limitative implémenté au moyen du produit Nomadio® de la société Ibelem en tant que composeur 29A, associé au produit IPDIVA® en tant qu'application d'accès à distance 29B, ces produits étant adaptés pour collaborer avec le Login People® comme serveur d'authentification forte. - 8 Ces serveurs virtuels sont avantageusement disposés dans une zone démilitarisée pour protéger le système d'information contre toute intrusion malveillante. Lorsqu'un utilisateur est au sein du réseau local 2, il peut se connecter grâce à son terminal au concentrateur 25 pour identification. Ce dernier identifie l'utilisateur ainsi que le ou les réseaux pour lesquels il a un droit d'accès. Lorsque cet utilisateur est à l'extérieur du réseau local 2, s'il utilise un terminal non connu, c'est-à-dire non répertorié dans le réseau local, tel que par exemple la machine d'un cyber café ou un ordinateur personnel, ce sont les serveurs pour bureau virtuel et d'authentification qui vont intervenir. Lorsque cet utilisateur est à l'extérieur du réseau local 2, s'il utilise un terminal connu, c'est le concentrateur 25 qui intervient pour l'identification du terminal.
La mise en oeuvre du serveur pour bureau virtuel répond à la problématique de se connecter au système d'information quelque soit le terminal utilisé et de garantir que cette connexion ne permet pas la fuite de données ni l'attaque du système d'information. Ce mode permet un travail collaboratif (accès à l'espace partagé et accès au système d'information personnel de l'utilisateur tout en garantissant qu'aucun transfert ne peut être effectué d'un espace à l'autre). Comme mentionné précédemment, le serveur pour bureau virtuel peut être mis en oeuvre au moyen du produit Virtual Browser® en mode connecté permettant l'accès à des applications en mode web à partir d'un navigateur virtuel installé sur une zone démilitarisée (DMZ) du pare-feu. L'accès à ce navigateur virtuel se fait au moyen d'exécutables stockés soit sur un terminal (PDA, Smartphone) soit sur clé de type USB (clé standard), disques externes ou autres.
Le serveur d'authentification peut être mis en oeuvre avec le produit LOGIN PEOPLE® permettant d'effectuer une authentification forte sans utilisation de « token » cryptographique ou de mécanisme cryptographique spécifique. Cette solution s'appuie sur des paramètres spécifiques d'un terminal afin de rendre son identification unique et non falsifiable. En mode - 9 - bureau virtuel, le serveur pour bureau virtuel et le serveur d'authentification sont interopérables. En pratique, le processus d'accès en mode bureau virtuel peut être tel que décrit ci-après.
L'utilisateur lance un exécutable bureau virtuel stocké soit sur le terminal soit sur une clé USB. Cet exécutable ne nécessite aucune installation ni de privilège particulier. La communication entre le terminal et la passerelle est chiffrée, et authentifiée dans le cas d'utilisation de certificat.
Le chiffrement est effectué via OPENSSL. Une fois la communication établie, l'utilisateur a accès au serveur pour bureau virtuel et aux différents services qui lui sont autorisés en fonction de son profil. Le choix d'un service ouvre automatiquement une session spécifique sur le système d'information concerné. Par défaut, il n'y a aucun transfert d'information entre le client et le serveur pour bureau virtuel. On peut envisager un échange de données en fonction du contexte. En ce qui concerne l'implémentation du serveur d'authentification à partir du produit Login People®, l'authentification du terminal se fait au moyen de plusieurs paramètres intrinsèques au terminal. Cette authentification est effectuée au moyen d'un module d'extension ou « plugin » installé dans un navigateur (ActiveX/Applet Java ou composants spécifiques en fonction des navigateurs). Sur la figure 3, on voit un processus d'authentification selon l'art antérieur dans lequel des terminaux utilisateurs 40 veulent accéder à un système d'information 39 à travers un serveur d'authentification 37 (ID_BOX) et une passerelle VPNSSL 38. La connexion s'effectue en général au travers d'une page web. A l'étape 32, l'utilisateur saisit un code PIN et envoie ce code pin et la signature du terminal utilisé pour la connexion (depuis son Smartphone, sa clé USB, son terminal, ...). Le serveur d'authentification vérifie le code pin et la signature et renvoie à l'utilisateur à l'étape 33 un mot de passe à valeur unique (OTP). Un client VPNSSL (non représenté) installé sur le terminal récupère I'OTP et renvoie à l'étape 34 l'identifiant du terminal à la passerelle VPNSSL 38. Cette dernière renvoie, à l'étape 35 pour vérification, l'OTP vers la passerelle d'authentification, en général selon le - 10 - protocole RADIUS. La communication est ainsi authentifiée et chiffrée. La passerelle VPNSSL 38 autorise l'accès au système d'information à l'étape 36. Sur la figure 4, ce processus d'authentification est modifié en combinaison avec le processus d'accès sécurisé par le serveur pour bureau virtuel. Le processus combiné est indépendant du terminal (zéro adhérence) et fonctionne sur l'ensemble des terminaux. Il permet l'authentification de l'utilisateur et du terminal de manière unique et avant l'accès au système d'information. La communication peut être établie en filaire ou en radio (WiFi, 3G,...). Une authentification unique (SSO, « single sign on ») au niveau du système d'information est également possible. En pratique, la mise en oeuvre peut se faire, sans que cela ne soit limitatif aux produits mentionnés, grâce au développement d'une ou plusieurs interfaces permettant de faire dialoguer des produits Virtual Browser® et Login People®. D'autres développement et/ou produits peuvent être envisagés afin d'implémenter les fonctions définies selon l'invention. Les interfaces rendent les deux produits interopérables. En particulier, dans le cas conventionnel, la génération de la signature issue de Login people® nécessite la mise en oeuvre d'un composant logiciel intégré dans le navigateur sur le poste client. Or Virtual Browser® utilise un navigateur installé en central, donc pas sur le poste client. Avec l'interfaçage entre Virtual Browser ® et Login People®, on récupère l'empreinte de signature sans installer de composant logiciel sur le poste client.
Sur la figure 4, le terminal 40 qui doit être identifié est celui ayant accès à un fichier exécutable adapté à initier une connexion avec le serveur de bureau virtuel (Virtual Browser®). Ce fichier exécutable est stocké dans le terminal 40 ou dans tout moyen de stockage comme une clé USB. Le terminal 40 est un appareil capable de se connecter à Internet, il peut s'agir d'un Smartphone ou d'un PC (tout OS confondu). Aucune installation n'est nécessaire sur le terminal. - Lorsque l'utilisateur ouvre le fichier exécutable, un module client Virtual Browser® modifié s'exécute et se connecte à l'étape 41 au serveur Virtual Browser® modifié (serveur pour bureau virtuel) 28. Par Virtual - 11 - BrowserC) modifié, on entend une application de type Virtual Browser® associée à une interface (une application dédiée) permettant l'échange de données entre l'application Virtual Browser® et une autre application telle que par exemple l'application Login People®. La communication est sécurisée par SSL mais non authentifiée. - A l'étape 42, le serveur de bureau virtuel 28 demande un identifiant ou signature unique du terminal. Une page web spécifique s'ouvre. On calcule la signature du terminal par l'exécution d'un programme local au client et intégré dans le module client Virtual Browser® modifié. Un code pin est demandé à l'utilisateur. L'utilisateur saisit le code pin. - Aux étapes 43 et 44, le code pin et la signature sont transmis pour authentification au serveur d'authentification 31 via le serveur de bureau virtuel. - Le serveur d'authentification génère à l'étape 45 un mot de passe 15 unique dit OTP (pour « One Time Password ») et le transmet au serveur de bureau virtuel. - A l'étape 46 le serveur de bureau virtuel valide et renvoie le mot de passe ainsi que la signature vers le serveur d'authentification 31 pour demander une ouverture de session. On récupère éventuellement des 20 groupes utilisateurs auprès d'un serveur LDAP (non représenté). - A l'étape 47, le serveur d'authentification autorise l'ouverture d'une session pour le bureau virtuel en fonction des droits de l'utilisateur. - A l'étape 48, le terminal 40 accède au système d'information, en particulier à des applications web, bureau et applications publiées. 25 Lorsque l'utilisateur utilise son terminal habituel de l'entreprise, ce terminal contient un module client apte à communiquer avec un module serveur selon un mode client-serveur avec échanges de données. Le processus de connexion peut être le suivant : 30 L'utilisateur initie une connexion en activant un assistant de connexion. Cet assistant de connexion est par exemple un module client apte à communiquer avec un module serveur formant le composeur 29A, l'ensemble client-serveur peut être par exemple obtenu à partir du produit Nomadio®. L'assistant de connexion installé sur le terminal utilisateur détecte et propose 35 tous les moyens de communication possible du terminal : 3G, WiFi,... - 12 - L'utilisateur choisit un mode de communication. L'assistant peut indiquer un mode préférentiel en fonction de paramètres divers comme par exemple le lieu de connexion, la qualité, le moment de la connexion... L'assistant de connexion pointe le pare-feu 26 qui dirige la connexion vers le composeur 29.
Ce dernier lance un processus d'authentification forte en s'interfaçant avec le serveur d'authentification 31. Ce dernier récupère un identifiant unique du terminal. Cet identifiant a été élaboré à partir des caractéristiques logicielles et matérielles permettant d'identifier simplement et rapidement chaque terminal. Lorsque l'authentification est terminée et acceptée, on lance l'application d'accès à distance 29B, comme par exemple le produit IPDIVA® de façon à mettre en place un tunnel VPN SSL entre une application cliente dans le terminal utilisateur et la partie serveur de l'application d'accès à distance contenu dans l'unité de traitement 27. Le terminal utilisateur est ensuite connecté à une passerelle logicielle dans le système d'information pour permettre au terminal utilisateur d'accéder aux différents éléments du système d'information avec échange de données. Le serveur d'authentification utilise un identifiant du terminal, cet identifiant étant un identifiant léger, contrairement aux systèmes de certificat ou de jeton conventionnellement utilisés, qui sont des identifiants lourds en termes de tailles et de manipulation. Sur la figure 5, on voit une passerelle d'accès sécurisé 4 intégrée dans un boîtier infrastructure 50 comprenant un système d'information. Il s'agit d'un boîtier qui, en plus de l'ensemble des composants de la passerelle 4 des figures 1 et 2, comprend en outre : - un pare-feu 51 relié avec le pare-feu 26 (figure 2) présent dans la passerelle 4 pour permettre et surveiller la communication entre la passerelle 4 et les autres éléments du boîtier infrastructure ; - un système d'information intégré 52 comprenant notamment une publication d'applications, un serveur web associé à un relais http, un serveur de dossiers et d'impression, des moyens de gestion centralisée d'adresses IP (DNS, DHCP, AD), et une application d'administration pour gérer la publication d'applications ; - un serveur 53 de stockage en réseau NAS (« Network Attached Storage » en anglais) pour gérer des espaces disques ; - 13 - un commutateur 54 pour gérer la communication entre les différents éléments du boîtier infrastructure, il permet également de mettre en cascade plusieurs boîtiers infrastructure du même type ; - une unité de traitement 55 pour administrer les autres éléments du boîtier infrastructure ; et - une autre unité de traitement 56 pour gérer l'alimentation du boîtier infrastructure, en particulier l'arrêt et le démarrage séquentiel des éléments du boîtier infrastructure ; par exemple une séquence de démarrage peut être la suivante : le commutateur 54, l'unité de traitement 55, un serveur 53 de stockage en réseau NAS, le système d'information intégré 52, et la passerelle 4 d'accès sécurisé ; l'arrêt se faisant dans le sens inverse. La mise en cascade des boîtiers infrastructures permet notamment de réaliser un système redondant. Les différents services sont ainsi toujours disponibles en cas de défaillance de l'un des boîtiers infrastructures. 15 D'une façon générale et en complément notamment de ce qui précède et conformément aux figures 1 à 4, le système selon l'invention peut être défini sous forme de kits pouvant être mis en oeuvre pour chaque famille d'équipements à prendre en compte. Le système selon l'invention comprend 20 au moins les composants suivants : - Famille d'équipements client (distant ou local) : o Pour le kit nomade : kit d'accès nomade permettant à un poste de l'entreprise d'accéder aux ressources de l'entreprise, au boîtier infrastructure intégrant un système d'information, au 25 serveur SaaS et au serveur Store. Le kit comprend le composeur (« dialer » en anglais), la sécurisation de la communication et l'authentification forte. o Pour le kit bureau virtuel : solution permettant à un utilisateur d'accéder aux ressources de l'entreprise, au boîtier infrastructure 30 intégrant un système d'information, au serveur SaaS et au serveur Store. Il permet également de stocker et utiliser des données stockées dans un espace sécurisé. o Pour le kit voix mobile (Smartphone) : solution identique au serveur pour bureau virtuel et/ou au serveur pour nomade mais 35 dédié au monde des Smartphones. - 14 - - Famille d'équipements infrastructure o Le boîtier infrastructure intégrant un système d'information : système d'information complet, intégré (réseau - applications publiées - stockage) évolutif (empilage ou mise en réseau) offrant des services de voix données images, intégrant des services de sécurité (sécurité des communications (voix et données), sécurité des accès Internet, sécurité des données (chiffrement et solution DLP (« Data Loss Prevention » pour prévention de perte de données) / Sauvegarde / Synchronisation), haute disponibilité), pouvant être facilement déployé. o La passerelle d'accès sécurisé : Passerelle d'accès mutualisés, permettant aux solutions clients d'accéder à un système d'information client. Passerelle d'accès permettant à un site distant de s'intégrer dans l'architecture du système selon l'invention sans déploiement spécifique sur le site distant tout en gardant les fonctionnalités offertes dans le boîtier infrastructure intégrant un système d'information (multi VLAN accès invité, accès LAN to LAN) - Famille service o Serveur SaaS : Portail d'accès à des applications en mode service (publication d'applications et exécution distante) et compatible avec les solutions de la famille client. Le serveur SaaS est mutualisable entre plusieurs sociétés tout en garantissant un cloisonnement des communications et des données et des accès. Il est compatible avec des solutions d'authentification fortes. o Serveur Store : Bibliothèque d'applications virtualisées pouvant être: - utilisée par le serveur SaaS (à partir des solutions d'infrastructure et clientes) - téléchargée et utilisée par les produits de la famille client - utilisée sur un poste client sans installation spécifique - Famille Management - 15 - - Le serveur gestion centralisée de services : console de management centralisé permettant l'administration complète du système. Administration des clients, infrastructures, et services. La gestion comprend le management des services et la configuration / le déploiement des différentes solutions. - Le serveur de supervision centralisée de la sécurité des échanges dans le système (remontée d'alarmes, corrélation, gestion des logs, vulnérabilité). Ce serveur assure également le management de la sécurité (configuration des pare-feu, des liens inter systèmes, politique de sécurité et conformité, patch management....) On va maintenant détailler ci-après, certains principes mis en oeuvre au niveau matériel et applicatif : Le système selon l'invention est une solution cohérente mais adaptable car conçue en mode brique. L'architecture technique du système selon l'invention repose sur des briques assurant les différentes fonctions d'un système d'information allant de la communication (architecture réseau) à la mise à disposition d'application en mode SAAS ou local (virtualisation d'application, publication d'application) en intégrant des mécanismes d'authentification forte et un stockage/sauvegarde de données sécurisées soit dans l'infrastructure centrale soit sur un support distant (nomade, bureau virtuel, Smartphone). Architecture des communications : Toutes les communications entre les différents éléments du système sont sécurisées (chiffrement et authentification).
Cette architecture de communication entre les différents éléments est assurée par plusieurs tunnels IPSEC ( pour « Internet Protocol Security ») et/ou SSL (pour « Secure Socket Layer ») en fonction des éléments à connecter. Toutes les communications sont gérées à partir du serveur de gestion centralisée de services. - 16 Une architecture selon l'invention peut être construite soit sur le réseau Internet soit sur un réseau privé, soit les deux. Le débit minimal dépend des services demandés. Les architectures réseaux locaux, implémentées dans la passerelle et dans le boîtier infrastructure permettent la mise à disposition de plusieurs réseaux pour différents usages répartis en trois classes: - Accès au système d'information local: permet à un utilisateur d'accéder à partir d'un poste quelconque au SI local - Accès invité: permet à une personne d'accéder à Internet (en mode invité) en assurant un contrôle des communications et une sauvegarde des données de connexion - Accès LAN to LAN. Offre à un groupe d'utilisateurs une extension de son réseau d'entreprise sans utiliser les accès distants. Chaque classe de réseau peut être subdivisée en plusieurs classes isolées les unes des autres. Les architectures de réseaux s'appuient sur des technologies de VLAN et s'appuie sur des architectures WiFi ou filaire ou les deux rendant ainsi un déploiement rapide et aisé. Toutes les communications clients / infrastructure sont chiffrées et authentifiées par différents mécanismes en fonction de la typologie des réseaux. Virtualisation système: Les différents serveurs du système fonctionnent sur des équipements spécifiques, intégrés sur mesure mais de base commune. Les systèmes de base fonctionnant sur les différents équipements s'appuient sur des technologies de virtualisation d'OS, permettant une évolution simple et une interopérabilité des éléments entre eux (dans une famille donnée). On peut utiliser la solution logicielle de virtualisation VMWare qui propose des fonctionnalités de haute disponibilité et de partage de charge. Système d'information: Le système d'information peut être par exemple un système Microsoft (Active Directory / File / Print...) avec une architecture dans le boîtier infrastructure capable de dialoguer avec l'architecture du serveur SaaS (mise - 17 en place de solution d'approbation de droits entre deux architectures Windows disjointes : fédération des identités) Authentification forte: Plusieurs mécanismes d'authentification forte peuvent être utilisés: - Authentification forte à base de certificat (logiciel ou hardware) - Authentification forte sans certificat (par exemple empreinte de terminal) L'enrôlement des utilisateurs ou la création des certificats peuvent être soit externe au système soit intégré dans l'architecture. L'authentification forte couplée à de l'identification unique (SSO) permet à un utilisateur donné d'accéder aux données et aux réseaux en n'utilisant qu'une séquence d'authentification. Des mécanismes de fédération d'identité permettent à un utilisateur d'accéder à des systèmes répartis ne disposant pas de cohérence de bases utilisateurs sans rejouer les mécanismes d'authentification. Les certificats implémentés peuvent également servir au chiffrement des données.
Stockage: Le boîtier infrastructure intégrant le système d'information offre des capacités de stockage par utilisateur, qui peuvent évoluer et être réparties sur plusieurs boîtiers. Des mécanismes de synchronisation permettent d'assurer la haute disponibilité des données en cas de dysfonctionnement de l'une des infrastructures. Les données peuvent être également sauvegardées/synchronisées sur des serveurs spécifiques tout en garantissant le même niveau de sécurité (confidentialité/intégrité) de la donnée initiale. L'architecture de stockage permet également de synchroniser dans les deux sens des données stockées sur un poste local (nomade et Smartphone) ou sur une clé (bureau virtuel) en gardant les mêmes niveaux de sécurité. Dans ce cas, la synchronisation de données nécessite que le terminal soit connecté à une architecture du système (partiel ou complète).
Solution Voix : - 18 Le système offre une solution de voix sécurisée par défaut (chiffrement de la voix) permettant soit de reboucler sur un IPBX (PABX sur IP) d'entreprise soit d'avoir son propre accès aux réseaux commutés (ceci vaut pour le boîtier infrastructure uniquement). Les infrastructures voix sont compatibles avec le boîtier infrastructure et la passerelle et fonctionnent sur tous les clients du système ainsi que sur des téléphones standards (TOIP pour « Telephony over Internet Protocol »). Protection des données : Des briques spécifiques permettent d'assurer la protection des données stockées dans les différents produits du système. La protection des données comprend la protection de la donnée elle-même (confidentialité / intégrité) ainsi que l'audit / contrôle de l'utilisation de celle-ci.
Publication d'application : Le serveur SaaS et le boîtier infrastructure proposent des solutions de publication d'applications permettant à un utilisateur d'accéder à une application sans installation sur le poste distant. Cette solution est compatible avec tous les clients du système et quel que soit l'endroit où se trouve l'application. Les mécanismes de virtualisation d'applications sont identiques pour le boîtier infrastructure et le serveur SaaS. Virtualisation du terminal : Cette solution couplée à la publication d'application permet à un utilisateur d'accéder au système d'information à partir d'un terminal quelconque ou à partir d'un terminal spécifique mais appartenant à un autre système d'information. La solution garantit par défaut qu'aucune donnée ne pourra être stockée sur le poste client. Il s'agit d'une configuration par défaut qui peut être modifiée en fonction du groupe auquel appartient le poste client (politique adaptative en fonction du contexte). La politique d'utilisation peut être liée au mécanisme d'authentification forte. Application virtualisée Il s'agit d'une solution permettant de virtualiser des applications afin de les faire fonctionner localement (sur le poste d'un utilisateur) sans avoir à - 19 installer ces applications. Les applications sont accessibles en téléchargement à partir par exemple du serveur Store. Sécurité: Tous les éléments de la gamme bénéficient du même niveau de sécurité. On assure ainsi une cohérence du niveau de sécurité. Ce niveau est défini en fonction des risques connus et des exigences des utilisateurs. La sécurité est globale. Dans le cas où cette dernière s'applique à un système d'information existant, elle peut soit être indépendante de ce dernier avec une spécification du niveau de sécurité pour les interfaces, soit intégrée avec des mécanismes de sécurité de l'utilisateur. La sécurité englobe: - La sécurité des systèmes et applications (gestion de patch, mise à jour, contrôle de conformité, gestion des outils de contrôles, ...) - La sécurité des données (chiffrement, sauvegarde, contrôle des accès...) - La gestion des utilisateurs et droits associés. Administration/ supervision : Cette solution couvre la supervision et l'administration des différents éléments du système: - Provisionnement des comptes utilisateurs - Démarrage arrêt de service - Ajout de service supplémentaire - Surveillance des systèmes - Mise en production. Modularité de la gamme : La passerelle peut être intégrée dans le boîtier infrastructure ou être utilisée de façon indépendante. Bien sûr, l'invention n'est pas limitée aux exemples qui viennent d'être décrits et de nombreux aménagements peuvent être apportés à ces exemples sans sortir du cadre de l'invention.35

Claims (13)

  1. REVENDICATIONS1. Passerelle (4) d'accès à un système d'information (1), comprenant : - un caisson (4) doté d'une alimentation, - un concentrateur (25) pour connecter la passerelle à un réseau local (12), - un pare-feu (26) pour connecter la passerelle au système d'information (1) et à un réseau de communication externe de type Internet, et - une unité de traitement (27) comprenant : - au moins un serveur de connexion à distance (28, 29, 30) accessible depuis le réseau de communication externe dans un tunnel sécurisé via le pare-feu, et - un serveur virtuel (31), dit serveur d'authentification, configuré pour interagir avec ledit au moins un serveur de connexion à distance (28, 29, 30) pour une authentification forte de chaque utilisateur accédant au pare-feu, cette authentification forte étant réalisée à partir d'un identifiant unique du terminal de l'utilisateur.
  2. 2. Passerelle selon la revendication 1, caractérisée en ce que ledit au moins un serveur de connexion à distance (28, 29, 30) comprend un premier serveur virtuel (28), dit serveur pour bureau virtuel, accessible depuis le réseau de communication externe par déport d'affichage dans un tunnel sécurisé via le pare-feu.
  3. 3. Passerelle selon la revendication 2, caractérisée en ce que le serveur pour bureau virtuel (28) est configuré pour exécuter chaque session dans un environnement virtuel isolé.
  4. 4. Passerelle selon la revendication 2 ou 3, caractérisée en ce que le serveur pour bureau virtuel (28) comprend plusieurs navigateurs pour accéder au système d'information (1).
  5. 5. Passerelle selon la revendication 4, caractérisée en ce que chaque navigateur est configuré pour accéder à un ensemble d'applications du système d'information (1).35- 21
  6. 6. Passerelle selon la revendication 1 ou 2, caractérisée en ce que ledit au moins un serveur de connexion à distance (28, 29, 30) comprend un deuxième serveur virtuel (29), dit serveur pour nomade, accessible depuis le réseau de communication externe par liaison client-serveur avec échanges de données dans un tunnel sécurisé via le pare-feu.
  7. 7. Passerelle selon la revendication 6, caractérisée en ce que le serveur pour nomade (29) comprend : - un module serveur (29A) d'un composeur multi-accès, un module client du composeur étant contenu dans un terminal utilisateur, - un module serveur (29B) d'une application d'accès à distance pour établir un tunnel VPN SSL et pour accéder au système d'information.
  8. 8. Passerelle selon l'une quelconque des revendications précédentes, caractérisée en ce que ledit au moins un serveur de connexion à distance (28, 29, 30) comprend un troisième serveur virtuel (30), dit serveur pour voix, accessible depuis le réseau de communication externe par une liaison de voix sur IP dans un tunnel sécurisé via le pare-feu.
  9. 9. Passerelle selon l'une quelconque des revendications précédentes, caractérisée en ce que les serveurs virtuels sont disposés dans un environnement isolé.
  10. 10. Passerelle selon l'une quelconque des revendications précédentes, caractérisée en ce que les tunnels sécurisés sont des tunnels VPN chiffrés SSL.
  11. 11. Système d'accès à un système d'information contenu dans une architecture de réseau local d'une entité, ce système comprenant : - une passerelle (4) telle que définie dans l'une quelconque des revendications précédentes, - une pluralité de terminaux utilisateurs (6-9) pour accéder au système d'information via un réseau de communication de type Internet et ladite passerelle avec une authentification forte et des connexions par tunnels 35 sécurisés,- au moins un serveur virtuel distant de publication (14), dit serveur « SaaS », dédié à la publication d'applications, ce serveur « SaaS » étant accessible aux utilisateurs via la passerelle, - au moins un serveur virtuel distant de stockage (15), dit serveur « Store », dédié au stockage d'applications sous forme d'une bibliothèque, ce serveur « Store » étant accessible aux utilisateurs via la passerelle.
  12. 12. Système selon la revendication 11, caractérisé en ce qu'il comprend en outre un serveur virtuel distant (16) de gestion centralisée de l'ensemble des serveurs virtuels du système.
  13. 13. Système selon la revendication 11 ou 12, caractérisé en ce qu'il comprend en outre un serveur virtuel distant (17) de supervision centralisée de la sécurité des échanges dans le système.15
FR1103041A 2011-10-06 2011-10-06 Passerelle d'acces securise a un systeme d'information Active FR2981178B1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR1103041A FR2981178B1 (fr) 2011-10-06 2011-10-06 Passerelle d'acces securise a un systeme d'information
PCT/FR2012/000402 WO2014053710A1 (fr) 2011-10-06 2012-10-08 Passerelle d'accès sécurisé a un système d'information

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1103041A FR2981178B1 (fr) 2011-10-06 2011-10-06 Passerelle d'acces securise a un systeme d'information

Publications (2)

Publication Number Publication Date
FR2981178A1 true FR2981178A1 (fr) 2013-04-12
FR2981178B1 FR2981178B1 (fr) 2014-04-18

Family

ID=47263398

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1103041A Active FR2981178B1 (fr) 2011-10-06 2011-10-06 Passerelle d'acces securise a un systeme d'information

Country Status (2)

Country Link
FR (1) FR2981178B1 (fr)
WO (1) WO2014053710A1 (fr)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112468476B (zh) * 2020-11-20 2022-11-22 中国建设银行股份有限公司 一种不同类型终端访问应用的设备管理系统和方法
CN114301739B (zh) * 2021-12-29 2023-08-22 北京国家新能源汽车技术创新中心有限公司 一种中央网关安全架构、系统及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2809255A1 (fr) * 2000-05-22 2001-11-23 Right Vision Procede et appareil de fourniture et d'administration de services sur le reseau internet
US20080046993A1 (en) * 2006-08-21 2008-02-21 Amarnath Mullick Method and system for authorizing a level of access of a client to a virtual private network connection, based on a client-side attribute
US7584228B1 (en) * 2001-07-18 2009-09-01 Swsoft Holdings, Ltd. System and method for duplication of virtual private server files
WO2010136317A1 (fr) * 2009-05-27 2010-12-02 Commonit Procédé de navigation sur le réseau internet, support d'enregistrement, serveur d'accès et poste d'utilisateur pour la mise en oeuvre de ce procédé

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2809255A1 (fr) * 2000-05-22 2001-11-23 Right Vision Procede et appareil de fourniture et d'administration de services sur le reseau internet
US7584228B1 (en) * 2001-07-18 2009-09-01 Swsoft Holdings, Ltd. System and method for duplication of virtual private server files
US20080046993A1 (en) * 2006-08-21 2008-02-21 Amarnath Mullick Method and system for authorizing a level of access of a client to a virtual private network connection, based on a client-side attribute
WO2010136317A1 (fr) * 2009-05-27 2010-12-02 Commonit Procédé de navigation sur le réseau internet, support d'enregistrement, serveur d'accès et poste d'utilisateur pour la mise en oeuvre de ce procédé

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NILS GRUSCHKA ET AL: "Browser as a Service (BaaS): Security and Performance Enhancements for the Rich Web", 17TH GI/ITG CONFERENCE ON COMMUNICATION IN DISTRIBUTED SYSTEMS (KIVS'11), 11 March 2011 (2011-03-11), XP055023357, Retrieved from the Internet <URL:http://drops.dagstuhl.de/opus/volltexte/2011/2975/pdf/22.pdf> [retrieved on 20120329], DOI: 10.4230/OASIcs.KiVS.2011.208 *

Also Published As

Publication number Publication date
WO2014053710A1 (fr) 2014-04-10
FR2981178B1 (fr) 2014-04-18

Similar Documents

Publication Publication Date Title
CN109558721B (zh) 客户端应用程序的安全单点登录和条件访问的方法和系统
US10382401B1 (en) Cloud over IP for enterprise hybrid cloud network and security
JP6687641B2 (ja) サーバまたは他の装置からのエントロピーに基づくクライアント装置の認証
EP3008872B1 (fr) Procédé d&#39;authentification d&#39;un terminal par une passerelle d&#39;un réseau interne protégé par une entité de sécurisation des accès
US20180343238A1 (en) System and method for protecting communications
US8843998B2 (en) Apparatus, systems and methods for secure and selective access to services in hybrid public-private infrastructures
EP2359302B1 (fr) Equipement de securite
US20180375841A1 (en) Systems and methods for enterprise communications
US20160337484A1 (en) Systems and methods for protecting communications
JP2019525669A (ja) ネットワーク制御システムのパブリッククラウドへの拡張
WO2020236394A1 (fr) Système informatique et procédés permettant de fournir un accès à une session d&#39;après un jeton d&#39;authentification avec différents justificatifs d&#39;authentification
WO2015031866A1 (fr) Système et procédé de virtualisation de fonctions de réseau de services réseau dans et entre des nuages
CA2767179A1 (fr) Procede et systeme pour deployer a la volee et sur demande au moins un reseau virtuel
FR2877521A1 (fr) Dispositif, procede, programme et support de distribution d&#39;informations, d&#39;initialisation, dispositif, procede, programme et support de transfert d&#39;initialisation d&#39;authentification et programme de reception ...
FR2872983A1 (fr) Systeme de pare-feu protegeant une communaute d&#39;appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
EP2112624A1 (fr) Procédé pour gérer des equipements cryptographiques avec une administration unifiée
JP2022533891A (ja) レガシー仮想配信アプライアンスとともに使用するための接続リーシングシステムおよび関連方法
US20170111269A1 (en) Secure, anonymous networking
WO2023283499A1 (fr) Authentification multifactorielle de la session informatique
CN114244651A (zh) 一种基于云桌面的远程办公实现系统及方法
FR2981178A1 (fr) Passerelle d&#39;acces securise a un systeme d&#39;information
CN112511562A (zh) 一种基于单向隔离一体机及云桌面技术的跨网数据传送系统
JP7027612B2 (ja) ヘルパを介したクライアントデバイスの匿名セッションへの接続
FR2981177A1 (fr) Boitier informatique d&#39;acces securise a un systeme d&#39;information
CH718976A2 (fr) Gestion des pares-feux d&#39;entreprise et isolement du réseau.

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13

PLFP Fee payment

Year of fee payment: 14