FR3107798A1 - Procédé de gestion d’une requête d’accès à un site internet depuis un dispositif d’accès - Google Patents

Procédé de gestion d’une requête d’accès à un site internet depuis un dispositif d’accès Download PDF

Info

Publication number
FR3107798A1
FR3107798A1 FR2002081A FR2002081A FR3107798A1 FR 3107798 A1 FR3107798 A1 FR 3107798A1 FR 2002081 A FR2002081 A FR 2002081A FR 2002081 A FR2002081 A FR 2002081A FR 3107798 A1 FR3107798 A1 FR 3107798A1
Authority
FR
France
Prior art keywords
information
request
address
domain name
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR2002081A
Other languages
English (en)
Inventor
Eric Bouvet
Fabrice Fontaine
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR2002081A priority Critical patent/FR3107798A1/fr
Priority to EP21708282.5A priority patent/EP4115579A1/fr
Priority to CN202180017965.XA priority patent/CN115211077A/zh
Priority to US17/908,088 priority patent/US11985106B2/en
Priority to PCT/FR2021/050251 priority patent/WO2021176156A1/fr
Publication of FR3107798A1 publication Critical patent/FR3107798A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/59Network arrangements, protocols or services for addressing or naming using proxies for addressing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Procédé de gestion d’une requête d’accès à un site internet depuis un dispositif d’accès L’invention se rapporte à un procédé de gestion d’une requête d’accès à un site internet issue d’un dispositif (OBJ) et transmise au travers d’un réseau de télécommunication (RES), caractérisé en ce qu’il comprend les étapes suivantes, - Une étape de réception (ET1) d’une requête incluant un nom de domaine, issue d’un dispositif, destinée à être émise vers un serveur de résolution de noms de domaine; - Une étape de routage (ET2) de la requête à destination d’un serveur de résolution de noms de domaine; - Une étape de réception (ET6) d’une réponse incluant une adresse IP et d’informations, dites premières information, liées à l’adresse IP ; - En fonction des premières informations, transmission (ET9,ET7a) ou pas de la requête sur le réseau (RES). Figure 3

Description

Procédé de gestion d’une requête d’accès à un site internet depuis un dispositif d’accès
L'invention se rapporte au domaine des télécommunications.
L’invention se rapporte plus particulièrement à un procédé de gestion de l’accès à un site Internet depuis un dispositif de traitement de données appelé dispositif d’accès dans la suite.
Le dispositif d’accès choisi pour illustrer l’invention est un objet connecté.
Etat de la technique
Sur Internet, les ordinateurs communiquent entre eux grâce à un ensemble de protocoles dont le protocole IP (Internet Protocol). Ce protocole utilise des adresses numériques que l’on appelle communément adresses IP (@ IP).
Aussi, aux ordinateurs répartis dans le réseau sont associés un nom de domaine du type «exemple.com». A ce nom de domaine correspond une URL (Uniform Resource Locator) qui est l’adresse unique qui permet d’accéder à un ordinateur du réseau, par exemple un serveur hébergeant un site Internet.
Deux méthodes existent pour accéder à un site Internet depuis un dispositif d’accès. Une première méthode d’accès s’effectue en utilisant l’adresse IP, une deuxième méthode s’effectue en utilisant une URL.
Lorsqu’une URL est utilisée, le dispositif d’accès transmet une requête à un serveur de résolution de nom de domaine ou serveur DNS (pour « Domain Name System ») pour récupérer l’adresse IP correspondante. Une fois l’adresse IP récupérée, le dispositif d’accès accède à l’ordinateur grâce à l’adresse IP.
L’utilisation d’une adresse IP en lieu et place d’une URL permet au dispositif d’accès d’accéder directement aux sites Internet sans nécessiter de requêtes DNS préalables.
Quelle que soit la méthode utilisée visée ci-dessus, accéder à des sites Internet présente des risques certains. Par exemple, le site Internet peut appartenir à un tiers malveillant capable de prendre la main sur le dispositif d’accès à l’insu du propriétaire du dispositif d’accès. Lorsque le dispositif d’accès est un objet connecté, par exemple un aspirateur équipé d’une caméra, le tiers malveillant peut installer, dans l’objet, un logiciel malveillant capable de transmettre des données depuis l’objet vers le réseau Internet. Le logiciel malveillant installé sur l’objet peut en effet commander une capture vidéo de l’environnement de la caméra et transmettre le contenu vidéo résultant sur le réseau Internet.
L'invention vient améliorer la situation.
L'invention
A cet effet, selon un aspect fonctionnel, l'invention a trait à un procédé de gestion d’une requête d’accès à un site internet issue d’un dispositif et transmise au travers d’un réseau de télécommunication, caractérisé en ce qu’il comprend les étapes suivantes,
  • Une étape de réception d’une requête incluant un nom de domaine, issue d’un dispositif, destinée à être émise vers un serveur de résolution de noms de domaine;
  • Une étape de routage de la requête à destination d’un serveur de résolution de noms de domaine;
  • Une étape de réception d’une réponse incluant une adresse IP et des informations, dites premières informations, liées à l’adresse IP ;
  • En fonction des premières informations, transmission ou pas de la requête sur le réseau.
Selon l’invention, une entité externe au dispositif d’accès, intercepte les requêtes d’accès aux sites Internet et requiert l’obtention à la fois d’une adresse IP à un serveur de résolution de noms de domaine, et des informations relatives à l’adresse IP.
A réception des informations, l’entité les analyse et décide de donner suite ou pas à la requête d’accès. On verra que, dans un mode de réalisation, lorsque l’entité décide de donner suite, l’adresse IP est transmise au dispositif d’accès à l’origine de la requête.
Un serveur de résolution de noms de domaine est situé dans un environnement sécurisé. Les premières informations relatives à l’adresse IP sont donc stockées dans un environnement de confiance difficilement attaquable par un tiers malveillant. De plus, ce serveur de confiance tient idéalement à jour les premières informations liées aux adresses IP.
Enfin, l’entité est située hors du dispositif d’accès, idéalement dans un dispositif sécurisé telle qu’une passerelle domestique à laquelle est connecté le dispositif d’accès; les chances de compromettre à la fois le dispositif d’accès et la passerelle domestique sont donc très réduites.
A noter qu’on entend, par «informations», toutes informations descriptives aptes à caractériser un ordinateur (ou site Internet) à savoir son niveau de confiance, une catégorie d’ordinateur (site pour enfants, pour adultes, etc.). D’autres exemples d’informations descriptives seront décrits ci-dessous.
Aujourd'hui, comme indiqué précédemment, les dispositifs d’accès, tels que des objets connectés, peuvent accéder directement à un site Internet avec une adresse IP sans étape préalable de résolution de nom de domaine par un serveur de résolution de noms de domaine. Selon un premier mode de mise en œuvre particulier de l'invention, lorsque la requête initiale inclut une adresse IP d’un dispositif à accéder, l’étape de réception est précédée d’une étape de transmission, à destination du dispositif d’accès, d’un message requérant une transmission d’une requête destinée à un serveur de résolution de noms de domaine. Ce mode de réalisation force le dispositif d’accès à réaliser une résolution de nom par le biais d’un serveur de résolution de noms de domaine, ce de manière à récupérer des informations liées au site Internet qui correspond au nom de domaine reçu. Après vérification des informations reçues, l’entité de gestion transmet ou pas la requête reçue à destination du dispositif associé à l’adresse IP.
Selon encore un deuxième mode de mise en œuvre particulier de l'invention, qui pourra être mis en œuvre alternativement ou cumulativement avec le précédent mode, le procédé comprend en outre
- Une étape d’obtention d’informations liées au dispositif d’accès, dites secondes informations ;
- Une étape de comparaison à la fois des premières et des desdites secondes informations ;
- En fonction de l’étape de comparaison, transmission ou pas de la requête sur le réseau.
Ce mode renforce la sécurité en prenant en compte des informations non seulement sur le site Internet conerné, mais aussi des informations sur le dispositif d’accès. L’entité de gestion récupère les informations liées au dispositif d’accès et celles liées au site Internet, et les compare et détecte d’éventuelles incompatibilités entre les premières et les deuxièmes informations avant de décider de transmettre ou pas l’adresse IP. Par exemple, le site Internet peut être un site Internet pour adulte alors que le dispositif d’accès est un jeu pour enfant, l’entité décide dans ce cas de ne pas donner suite à la requête d’accès pour des raisons d’incompatibilité entre le dispositif d’accès et le site Internet pour lequel un accès est demandé.
Selon le cas, lorsqu’il y a incompatibilité, l’entité ne transmet pas:
  • l’adresse IP au dispositif d’accès dans le cas où la requête d’accès initiale reçue est basée sur un nom de domaine; ou
  • la requête sur le réseau Internet dans le cas où la requête d’accès initiale reçue est basée sur une adresse IP.
Selon encore un troisième mode de mise en œuvre particulier de l'invention, qui pourra être mis en œuvre alternativement ou cumulativement avec les précédents, suite à l’étape de réception d’une réponse incluant une adresse IP et d’informations liées à l’adresse IP, les informations reçues sont stockées dans la passerelle. Dans cette configuration, dans le présent mode, la réception d’une nouvelle requête d’accès ultérieure est suivie d’une vérification de la présence d’informations liées au nom de domaine en mémoire dans la passerelle, et de transmission ou pas de l’adresse IP en fonction des informations stockées en mémoire.
Selon encore un quatrième mode de mise en œuvre particulier de l'invention, qui pourra être mis en œuvre alternativement ou cumulativement avec les précédents, une durée de validité est associée aux informations stockées. Dans cette configuration, une présence d’informations liées au nom de domaine en mémoire est suivie d’une vérification que les informations sont toujours valides. Dans la négative, le procédé réalise les étapes décrites précédemment:
- Une étape de routage de la requête à destination d’un serveur de résolution de noms de domaine;
- Une étape de réception d’une réponse incluant une adresse IP et des informations liées à l’adresse IP ;
- En fonction de la réponse, transmission ou pas de la requête sur le réseau.
Selon encore un quatrième mode de mise en œuvre particulier de l'invention, qui pourra être mis en œuvre alternativement ou cumulativement avec les précédents, lorsque la durée de validité a expiré, le procédé comprend
- Une étape de transmission, à destination d’un serveur de résolution de noms de domaine, d’une requête d’obtention de mise à jour des informations associées à une adresse IP stockées en mémoire;
- Une étape de réception d’une réponse incluant les informations associées à l’adresse IP et
- Une étape de stockage des informations reçues.
Ce quatrième mode a pour avantage de mettre à jours les informations stockées dans la passerelle par exemple dès qu’elles ne sont plus valides. Cela permet, lorsque l’entité reçoit une requête d’accès d’avoir à disposition des informations valides. Cela évite à l’entité de transmettre une requête de résolution de nom de domaine sur le réseau. Ayant des informations valides stockées dans la passerelle, l’entité peut donc décider plus rapidement d’autoriser ou pas de transmettre la requête d’accès reçue à l’adresse IP concernée.
Selon un aspect matériel, l’invention se rapporte à une entité de gestion comprenant
  • Un module de réception d’une requête incluant un nom de domaine, issue d’un dispositif, destinée à être émise vers un serveur de résolution de noms de domaine;
  • Un module de routage de la requête à destination du serveur de résolution ;
  • un module de réception d’une réponse incluant une adresse IP et des informations, dites premières informations, liées à l’adresse IP ;
  • un module de transmission apte à transmettre ou pas la requête sur le réseau en fonction des premières informations.
Selon un autre aspect matériel, l’invention se rapporte à une passerelle domestique incluant l’entité décrite ci-dessus.
Selon un autre aspect matériel, l’invention a trait à un programme d’ordinateur apte à être mis en œuvre sur une entité de gestion telle que définie ci-dessus, le programme comprenant des instructions de code qui, lorsqu’il est exécuté par un processeur, réalise les étapes du procédé définies ci-dessus.
Enfin, l’invention a trait à un support de données sur lequel a été mémorisée au moins une série d’instructions de code de programme pour l’exécution du procédé défini ci-dessus.
Le support de données peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique tel qu’un un disque dur. D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet. Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Enfin, signalons ici que, dans le présent texte, le terme «module» ou «entité» peut correspondre aussi bien à un composant logiciel qu’à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d’ordinateur ou de manière plus générale à tout élément d’un programme apte à mettre en œuvre une fonction ou un ensemble de fonctions telles que décrites pour les modules concernés. De la même manière, un composant matériel correspond à tout élément d’un ensemble matériel (ou hardware) apte à mettre en œuvre une fonction ou un ensemble de fonctions pour le module concerné (circuit intégré, carte à puce, carte à mémoire, etc.).
L'invention sera mieux comprise à la lecture de la description qui suit, donnée à titre d'exemple et faite en référence aux dessins annexés sur lesquels:
La figure 1 représente un système informatique sur lequel est illustré un exemple de réalisation de l’invention.
la figure 2 est une vue schématique de l’architecture d’une passerelle domestique selon un mode de réalisation de l’invention.
la figure 3 illustre un exemple d’étapes mises en œuvre dans le cadre d’un procédé selon un mode de réalisation.
la figure 4 illustre une variante possible du mode de réalisation décrit en référence à la figure 3.
la figure 5 illustre une autre variante possible du mode de réalisation décrit en référence à la figure 3.
Description détaillée d'un (ou d’) exemple(s) de réalisation illustrant l'invention
La figure 1 représente un dispositif d’accès d’un utilisateur OBJ pouvant accéder à un réseau de communication RES via un dispositif d’interface GTW. Le réseau de communication RES peut être Internet et le dispositif d’interface GTW peut être une passerelle domestique ou un routeur permettant l’accès du terminal d’un utilisateur OBJ à Internet. L’accès au réseau de communication est fourni par un fournisseur d’accès au réseau de communication.
Le dispositif d’accès OBJ peut être tout type de dispositif configuré pour accéder à un réseau de communication tel qu’Internet via la passerelle domestique GTW. Le dispositif d’accès OBJ peut être un téléphone portable ou autre terminal de communication mobile, tel qu’une tablette ou un ordinateur portable, un ordinateur de bureau ou un appareil domestique pouvant établir une connexion avec le réseau de communication RES.
D’une manière générale, lorsqu’un utilisateur renseigne un nom de domaine sur le navigateur installé sur un dispositif d’accès, une requête de résolution de nom de domaine est émise par le dispositif d’accès vers un serveur de résolution ou serveur DNS.
Le serveur DNS répond ensuite au dispositif d’accès 10 avec une adresse réseau ou adresse de type « Internet Protocol » correspondant au nom de domaine, le dispositif d’accès pouvant ensuite accéder à l’adresse IP via la passerelle domestique GTW.
La passerelle domestique GTW est un dispositif d’interface permettant les échanges entre le dispositif d’accès OBJ et le réseau de communication RES. Elle joue entre autres un rôle de relais DNS. En d’autres mots, la passerelle se charge d’adresser les requêtes de résolution REQ vers des serveurs de résolution DNS. Une architecture possible du dispositif d’interface sera décrite ultérieurement en référence à la figure 2.
Rappelons ici qu’il est nécessaire d’obtenir l’adresse IP du site Internet pour accéder à celui-ci. En général, un site Internet a une (ou plusieurs) adresse(s) IP (par exemple 93.184.216.34) et un nom de domaine (www.exemple.com).
La traduction d’un nom de domaine en une adresse numérique est réalisée par un serveur de résolution de noms de domaine DNS (sigle anglo saxon de «Domain Name System»).
La figure 2 illustre une passerelle domestique configurée pour mettre en œuvre le procédé de gestion selon un mode particulier de réalisation de l'invention.
Selon ce mode particulier, la passerelle a l'architecture classique d'un ordinateur et comprend notamment un processeur CPU (ou microcontrôleur), une mémoire MEM dans laquelle, dans laquelle, une entité ENT est stockée. Dans notre exemple l’entité ENT est un programme d’ordinateur qui comprend des instructions pour mettre en œuvre les étapes du procédé de gestion qui sera décrit par la suite en référence à la figure 3, lorsque le programme est exécuté par le processeur CPU.
La passerelle comprend en outre un module WiFi et un module RES pour communiquer avec un réseau local tel qu’un réseau WiFi et un réseau étendu tel qu’un réseau ADSL, Fibre, etc.
La figure 3 illustre un organigramme du procédé de traitement conforme à un premier mode de réalisation de l’invention.
Dans notre exemple, le dispositif d’accès OBJ est un objet connecté.
Lorsque l’objet connecté OBJ souhaite accéder au réseau de communication RES via la passerelle domestique GTW, l’objet OBJ 10 créé, lors d’une première étape ET1, une requête de résolution REQ du nom de domaine DN d’un site Internet auquel il souhaite accéder et transmet cette requête de résolution REQ à la passerelle GTW.
Lors d’une deuxième étape ET2, la passerelle domestique GTW transmet la requête de résolution au serveur DNS.
Ensuite, le serveur DNS réalise deux tâches. Une première tâche consistant à obtenir, lors d’une troisième étape ET3, l’adresse IP associée au nom de domaine; une deuxième tâche consistant à obtenir des informations descriptives sur l’adresse IP en interrogeant le serveur SRV lors d’une quatrième étape ET4, les informations descriptives ayant pour fonction par exemple de fournir un niveau de confiance N-IP associé au dispositif auquel correspond l’adresse IP résolue. Ces informations, dites informations descriptives, peuvent être stockées dans le serveur DNS ou stockées sur un serveur externe au serveur DNS. Lors d’une cinquième étape ET5, le serveur DNS obtient et transmet à l’entité ENT les informations descriptives obtenues N-IP sur l’adresse IP concernée.
Ces informations descriptives peuvent être diverses et variées. Une information descriptive peut être un type de site Internet associé à l’adresse IP: réseau social, jeux-vidéo, crypto-minage, etc.
Une autre information descriptive peut être le lieu géographique où se situe le serveur: Chine, Russie, Etats-Unis, Brésil, France
Une autre information descriptive peut être un score de confiance associé à l’adresse IP par exemple donné sur une échelle de un à dix.
Lors d’une sixième étape ET6, la passerelle reçoit la réponse du serveur DNS, la réponse incluant l’adresse IP résolue et un ensemble d’informations descriptives associée à l’adresse IP.
On suppose ici, pour simplifier l’exemple de réalisation, que l’ensemble des informations descriptives reçu est un niveau de confiance N-IP fourni sous forme de score de confiance sur une échelle de 1 à 10, par exemple 9 pour le site Internet concerné.
Lors d’une septième étape ET7, l’entité de gestion ENT reçoit la réponse, vérifie VRF les informations reçues N-IP et décide de transmettre l’adresse IP à l’objet en fonction des informations descriptives reçues, dans notre exemple le score de confiance reçu.
On suppose ici que l’entité ne transmet l’adresse IP que si le score de confiance est supérieur ou égal à 7. Dans cet exemple, le score reçu par l’entité ENT étant de 9, l’entité transmet l’adresse IP à l’objet lors d’une huitième étape ET8.
Si le score reçu du serveur DNS avait été un score inférieur à 7, l’entité n’aurait pas transmis l’adresse IP.
Après réception de l’adresse IP, l’objet OBJ accède au site Internet ayant l’adresse IP reçue.
Selon une première variante, la requête d’accès est basée sur une adresse IP en lieu et place d’un nom de domaine.
En référence à la figure 4, dans le cas où l’objet OBJ souhaite accéder, lors d’une étape ET1a, à un site Internet via une adresse URL en lieu et place d’un nom de domaine, une requête REQ(IP) est transmise depuis l’objet OBJ à destination de l’entité ENT. A réception de la requête REQ(IP), au lieu de transmettre une requête comme à l’étape ET2 décrite ci-dessus, répond à l’objet OBJ lors d’une étape ET1b, en requérant à l’objet de transmettre une requête d’accès au site Internet en utilisant un nom de domaine.
Lors d’une étape ultérieure ET1c, l’objet OBJ transmet en retour une requête d’accès REQ(DN) au site Internet en utilisant un nom de domaine.
L’entité reçoit la requête d’accès.
A ce stade; le procédé se déroule de nouveau comme décrit ci-dessus de l’étape ET2 à l’étape ET6.
Ensuite, lors d’une sixième étape ET6a, l’entité de gestion ENT reçoit la réponse, vérifie VRF les informations reçues N-IP et décide de transmettre l’adresse IP à l’objet en fonction des informations descriptives reçues, dans notre exemple le score de confiance reçu.
On suppose ici à nouveau que l’entité ne transmet l’adresse IP que si le score de confiance est supérieur ou égal à 7.
Dans cet exemple, le score reçu par l’entité ENT étant de 9, l’entité transmet la requête reçue sur le réseau Internet, lors d’une septième étape ET7a, au site Internet ayant l’adresse IP.
Selon une deuxième variante, le procédé prend en compte des informations liées à l’objet connecté dans la prise de décision. Dans cette configuration, l’entité ENT prend en compte non seulement des informations descriptives relatives au site Internet auquel souhaite accéder l’objet OBJ mais aussi des informations descriptives sur l’objet OBJ lui-même.
Des informations descriptives sur l’objet peuvent être de toute sorte. Par exemple, une information descriptive est une catégorie d’utilisateur susceptible d’utiliser l’objet: enfant/adulte, une catégorie d’objet (jouet, jeu vidéo pour enfant ou adulte, objet «IoT»(pour «Internet of Things ») comme une caméra ou un réfrigérateur, etc.).
L’objet est par exemple un jeu connecté pour enfant (une peluche, une voiture électrique pour enfant, etc.)
Dans cette configuration, l’entité ENT compare les informations reçues relativement au site Internet avec les informations relatives à l’objet. L’entité détecte d’éventuelles incompatibilités entre l’objet et le site Internet. Par exemple, si le site Internet est un site pour adulte, sans être malveillant, et que la catégorie d’utilisateur de l’objet est «enfant», l’entité ENT ne transmet pas l’adresse IP à l’objet ou ne transmet pas la requête d’accès selon le cas.
De la même façon, si le site Internet est un site de crypto-minage (c’est-à-dire un site permettant de «miner» des crypto-monnaies), et que l’objet est de type «IoT», l’entité ENT ne transmet pas l’adresse IP à l’objet ou ne transmet pas la requête d’accès selon le cas.
Un niveau de confiance peut aussi être attribué à l’objet OBJ. Dans ce cas, l’entité peut utiliser ce niveau de confiance pour décider de transmettre l’adresse IP ou pas.
Selon un mode de réalisation, les informations descriptives reçues du serveur de résolution sont stockées dans la mémoire MEM de la passerelle GTW. Une durée TM peut aussi être fixée au-delà de laquelle les informations sont périmées.
Dans cette configuration, lorsqu’une requête d’accès basée sur un nom de domaine est reçue, l’entité ENT vérifie si ce nom de domaine DN a déjà fait l’objet d’une résolution en consultant la mémoire de la passerelle (étape DN/MEM).
Dans la négative, les étapes ET2 et suivantes sont de nouveau exécutées.
Dans l’affirmative, optionnellement, en référence à la figure 5, une vérification de la validité des informations descriptives est réalisée par l’entité (étape TM?).
Si les données ne sont plus valides parce que la durée de validité a expiré, les étapes ET2 et suivantes sont de nouveau exécutées.
Si les données sont valides, les étapes ET8 ou ET7a sont exécutées selon le cas d’usage défini ci-dessus. Sue la figure 5, seule l’étape ET8 est représentée.
Selon une autre variante, lorsque les informations liées à une adresse IP, stockées en mémoire dans la passerelle domestique, sont périmées et donc ne sont plus valides, l’entité ENT transmet une requête de résolution de nom de domaine afin d’obtenir les dernières informations descriptives mises à jour.
Plus précisément, lorsque les informations ne sont plus valides, ce mode de réalisation comprend les étapes suivantes:
- Une étape de transmission, à destination d’un serveur de résolution de noms de domaine, d’une requête d’obtention de mise à jour des informations associées à une adresse IP stockées en mémoire
- Une étape de réception d’une réponse incluant les informations associées à l’adresse IP et
- Une étape de stockage des informations reçues.
Dans cette variante, le déclencheur de la transmission de requête en résolution n’est pas une réception d’une requête d’accès à un nom de domaine DN issue du dispositif d’accès mais un état des informations descriptives stockées en mémoire, plus précisément une péremption des informations descriptives.
Enfin, pour conclure, précisons ici que les «informations descriptives» vise des données aptes à caractériser un objet ou un serveur distant.
Des informations descriptives relatives à l’objet sont par exemple des permissions et/ou des metadonnées qui sont connues par la passerelle domestique, cette dernière tenant à jour les objets connectés auxquels elle est connectée.
Les permissions visent par exemple un administrateur, un utilisateur normal, etc.
Les métadonnées visent par exemple
- un type d'équipement: Camera, PC, Téléphone, Tablette, Imprimante, TV
- un niveau de confiance tel qu’un score de confiance: 0 - 10
- un type d’équipement: dangereux, non-sécurisé, parental, réseau social, jeux-vidéo
- une catégorie d’équipement/logiciel: dangereux/pas dangereux; parmi les logiciels dangereux, on connaît par exemple des logiciels de cryptominage qui ont pour fonction d’utiliser la puissance de traitement d’un périphérique dans le but de générer de la crypto monnaie. Ces sites Internet peuvent être utilisés de manière légitime par l’utilisateur de l’objet mais sont aussi utilisées de manière illégitime par des tiers malveillants.
- un pays d’origine: Chine, Russie, Etats-Unis, France, etc.

Claims (10)

  1. Procédé de gestion d’une requête d’accès à un site internet issue d’un dispositif (OBJ) et transmise au travers d’un réseau de télécommunication (RES), caractérisé en ce qu’il comprend les étapes suivantes,
    • Une étape de réception (ET1) d’une requête incluant un nom de domaine, issue d’un dispositif, destinée à être émise vers un serveur de résolution de noms de domaine;
    • Une étape de routage (ET2) de la requête à destination d’un serveur de résolution de noms de domaine;
    • Une étape de réception (ET6) d’une réponse incluant une adresse IP et des informations, dites premières information, liées à l’adresse IP ;
    • En fonction des premières informations, transmission (ET9,ET7a) ou pas de la requête sur le réseau (RES).
  2. Procédé de gestion selon la revendication 1, caractérisé en ce que, lorsque la requête d’accès initiale inclut une adresse IP d’un dispositif, l’étape de réception est précédée d’une étape de transmission, à destination du dispositif, d’un message requérant une transmission d’une requête destinée à un serveur de résolution de nom de domaine.
  3. Procédé de gestion selon l’une des revendications 1 à 2, caractérisé en ce qu’il comprend en outre
    • Une étape d’obtention d’informations liées au dispositif (OBJ), dites secondes informations;
    • Une étape de comparaison à la fois des premières et des desdites secondes informations;
    • En fonction de l’étape de comparaison, transmission ou pas de la requête sur le réseau.
  4. Procédé de gestion selon l’une des revendications 1 à 3, caractérisé en ce que, suite à l’étape de réception d’une réponse incluant une adresse IP et d’informations liées à l’adresse IP, les informations reçues sont stockées dans la passerelle, et en ce qu’une réception d’une nouvelle requête d’accès est suivie d’une vérification de la présence d’informations liées au nom de domaine en mémoire et de transmission ou pas de l’adresse IP en fonction des informations stockées dans la passerelle.
  5. Procédé de gestion selon la revendication 4 caractérisé en ce qu’une durée de validité est associée aux informations stockées.
  6. Procédé de gestion selon la revendication 5, caractérisé en ce que lorsque la durée de validité a expirée, le procédé comprend
    • Une étape de transmission, à destination d’un serveur de résolution de noms de domaine, d’une requête d’obtention de mise à jour des informations associées à une adresse IP stockées en mémoire
    • Une étape de réception d’une réponse incluant les informations associées à l’adresse IP et
    • Une étape de stockage des informations reçues.
  7. Entité de gestion (ENT) d’une requête d’accès à un site internet issue d’un dispositif (OBJ), caractérisé en ce qu’il comprend
    • Un module de réception d’une requête incluant un nom de domaine, issue d’un dispositif, destinée à être émise vers un serveur de résolution de noms de domaine;
    • Un module de routage de la requête à destination d’un serveur de résolution de noms de domaine;
    • Un module de réception d’une réponse incluant une adresse IP et des informations, dites premières informations, liées à l’adresse IP ;
    • un module de transmission apte à transmettre ou pas la requête sur le réseau en fonction des premières informations.
  8. Passerelle domestique comprenant une entité de gestion telle que définie dans la revendication 7.
  9. Programme d’ordinateur apte à être mis en œuvre sur un terminal mobile, le programme comprenant des instructions de code qui, lorsqu’il est exécuté par un processeur, réalise les étapes du procédé définies dans l’une des revendications 1 à 6.
  10. Support de données sur lequel a été mémorisée au moins une série d’instructions de code de programme pour l’exécution d’un procédé défini dans l’une des revendications 1 à 6.
FR2002081A 2020-03-02 2020-03-02 Procédé de gestion d’une requête d’accès à un site internet depuis un dispositif d’accès Withdrawn FR3107798A1 (fr)

Priority Applications (5)

Application Number Priority Date Filing Date Title
FR2002081A FR3107798A1 (fr) 2020-03-02 2020-03-02 Procédé de gestion d’une requête d’accès à un site internet depuis un dispositif d’accès
EP21708282.5A EP4115579A1 (fr) 2020-03-02 2021-02-11 Procédé de gestion d'une requête d'accès à un site internet depuis un dispositif d'accès
CN202180017965.XA CN115211077A (zh) 2020-03-02 2021-02-11 用于管理来自访问设备的网站访问请求的方法
US17/908,088 US11985106B2 (en) 2020-03-02 2021-02-11 Method for managing a request to access an internet site from an access device
PCT/FR2021/050251 WO2021176156A1 (fr) 2020-03-02 2021-02-11 Procédé de gestion d'une requête d'accès à un site internet depuis un dispositif d'accès

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2002081 2020-03-02
FR2002081A FR3107798A1 (fr) 2020-03-02 2020-03-02 Procédé de gestion d’une requête d’accès à un site internet depuis un dispositif d’accès

Publications (1)

Publication Number Publication Date
FR3107798A1 true FR3107798A1 (fr) 2021-09-03

Family

ID=71094482

Family Applications (1)

Application Number Title Priority Date Filing Date
FR2002081A Withdrawn FR3107798A1 (fr) 2020-03-02 2020-03-02 Procédé de gestion d’une requête d’accès à un site internet depuis un dispositif d’accès

Country Status (5)

Country Link
US (1) US11985106B2 (fr)
EP (1) EP4115579A1 (fr)
CN (1) CN115211077A (fr)
FR (1) FR3107798A1 (fr)
WO (1) WO2021176156A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3113460A2 (fr) * 2015-06-28 2017-01-04 Verisign, Inc. Surveillance inter-réseau améliorée et gestion adaptative de la circulation dns
US20170041333A1 (en) * 2015-08-07 2017-02-09 Cisco Technology, Inc. Domain classification based on domain name system (dns) traffic
EP3270573A1 (fr) * 2016-07-13 2018-01-17 DNSthingy Inc. Procédé et routeur pour permettre ou bloc de protocole internet (ip) basées sur la génération de connectivité de serveur de nom de domaine (dns) des requêtes

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7769766B1 (en) * 2004-05-24 2010-08-03 Sonicwall, Inc. Method and an apparatus to store content rating information
US8713188B2 (en) * 2007-12-13 2014-04-29 Opendns, Inc. Per-request control of DNS behavior
US9634993B2 (en) * 2010-04-01 2017-04-25 Cloudflare, Inc. Internet-based proxy service to modify internet responses
US10069837B2 (en) * 2015-07-09 2018-09-04 Biocatch Ltd. Detection of proxy server
US9118702B2 (en) * 2011-05-31 2015-08-25 Bce Inc. System and method for generating and refining cyber threat intelligence data
US20140156845A1 (en) * 2012-12-04 2014-06-05 Thomson Licensing Mechanism to block web sites using return traffic
US9396330B2 (en) * 2013-05-15 2016-07-19 Citrix Systems, Inc. Systems and methods for reducing denial of service attacks against dynamically generated next secure records
WO2015195093A1 (fr) * 2014-06-17 2015-12-23 Hewlett-Packard Development Company, L. P. Notations d'infection à base de dns
CN105338126B (zh) * 2014-07-17 2018-10-23 阿里巴巴集团控股有限公司 远程查询信息的方法及服务器
US9954815B2 (en) * 2014-09-15 2018-04-24 Nxp Usa, Inc. Domain name collaboration service using domain name dependency server
CN108737327B (zh) * 2017-04-14 2021-11-16 阿里巴巴集团控股有限公司 拦截恶意网站的方法、装置、系统和存储器
US10498751B2 (en) * 2017-05-31 2019-12-03 Infoblox Inc. Inline DGA detection with deep networks
US11245667B2 (en) * 2018-10-23 2022-02-08 Akamai Technologies, Inc. Network security system with enhanced traffic analysis based on feedback loop and low-risk domain identification
US11115387B2 (en) * 2019-02-04 2021-09-07 Cisco Technology, Inc. Method for policy-driven, classifying, and routing traffic using the domain name system
US11159943B2 (en) * 2019-02-06 2021-10-26 Verizon Patent And Licensing Inc. Security monitoring for wireless communication devices
US11290472B2 (en) * 2019-09-25 2022-03-29 International Business Machines Corporation Threat intelligence information access via a DNS protocol
US11652792B2 (en) * 2019-10-30 2023-05-16 AVAST Software s.r.o. Endpoint security domain name server agent
US11632254B2 (en) * 2020-02-21 2023-04-18 Mcafee, Llc Home or enterprise router-based secure domain name services

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3113460A2 (fr) * 2015-06-28 2017-01-04 Verisign, Inc. Surveillance inter-réseau améliorée et gestion adaptative de la circulation dns
US20170041333A1 (en) * 2015-08-07 2017-02-09 Cisco Technology, Inc. Domain classification based on domain name system (dns) traffic
EP3270573A1 (fr) * 2016-07-13 2018-01-17 DNSthingy Inc. Procédé et routeur pour permettre ou bloc de protocole internet (ip) basées sur la génération de connectivité de serveur de nom de domaine (dns) des requêtes

Also Published As

Publication number Publication date
US11985106B2 (en) 2024-05-14
EP4115579A1 (fr) 2023-01-11
CN115211077A (zh) 2022-10-18
US20230283586A1 (en) 2023-09-07
WO2021176156A1 (fr) 2021-09-10

Similar Documents

Publication Publication Date Title
EP2692089B1 (fr) Mécanisme de redirection entrante sur un proxy inverse
EP2867817B1 (fr) Procédé d'authentification d'un dispositif pour l'accès à un service
WO2013110884A1 (fr) Systeme et procede de controle d'une requête dns
FR3107798A1 (fr) Procédé de gestion d’une requête d’accès à un site internet depuis un dispositif d’accès
EP3688932A2 (fr) Procédé et dispositif de traitement d'une requête d'instanciation d'un service réseau
EP2504957B1 (fr) Acces a un contenu reference par un serveur de contenu
FR3074386A1 (fr) Gestion de l'acces a un serveur de contenus via a une passerelle
WO2012010803A1 (fr) Mise a disposition d'informations par un terminal mobile dans un reseau
FR3108816A1 (fr) Procédé de délégation d’une fonction de résolution d’identifiants de nommage
EP4073999A1 (fr) Procede de traitement de requetes de resolution de nom de domaine
EP4362391A1 (fr) Procédé de gestion d'accès d'un utilisateur à au moins une application, programme d'ordinateur et système associés
FR3129052A1 (fr) Procédé de traitement d’au moins un paquet de données, dispositif et système associés.
WO2018234662A1 (fr) Procédé de contrôle de l'obtention par un terminal d'un fichier de configuration
FR3089089A1 (fr) Procédé pour l’optimisation par type de message de l’échange de données entre objets connectés
FR2952262A1 (fr) Autorisation d'etablissement d'appels simultanes
FR3042362A1 (fr) Moyens de gestion d'acces a des donnees
FR3061385A1 (fr) Dispositif d'acces securise
EP2448218A1 (fr) Procédé de présentation de services sur un écran d'un terminal
FR3024008A1 (fr) Procede et dispositifs de controle parental
FR2880703A1 (fr) Procede d'identification d'utilisateur, de creation d'un document de partage et de service correspondant dans un systeme de partage d'un reseau pair a pair
WO2010012961A2 (fr) Mise à jour de critères de recherche de contenu définis pour un fournisseur de service
FR2969888A1 (fr) Procede de traitement de donnees pour acceder a un contenu au travers du reseau internet.

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20210903

ST Notification of lapse

Effective date: 20221105