WO2007003764A2 - Method for controlling the admission of data packets - Google Patents

Method for controlling the admission of data packets Download PDF

Info

Publication number
WO2007003764A2
WO2007003764A2 PCT/FR2006/001516 FR2006001516W WO2007003764A2 WO 2007003764 A2 WO2007003764 A2 WO 2007003764A2 FR 2006001516 W FR2006001516 W FR 2006001516W WO 2007003764 A2 WO2007003764 A2 WO 2007003764A2
Authority
WO
WIPO (PCT)
Prior art keywords
packet
stream
flow
admission
flows
Prior art date
Application number
PCT/FR2006/001516
Other languages
French (fr)
Other versions
WO2007003764A3 (en
Inventor
Thang Vu Duong
Armand Vandenbussche
Eric Barault
Original Assignee
France Telecom S.A.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom S.A. filed Critical France Telecom S.A.
Publication of WO2007003764A2 publication Critical patent/WO2007003764A2/en
Publication of WO2007003764A3 publication Critical patent/WO2007003764A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/21Flow control; Congestion control using leaky-bucket
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5629Admission control

Abstract

The invention relates to a method and a device for controlling the admission of data packets transferred via at least one telecommunication network, for the protection of telecommunication equipment, characterised in that, for each data packet transferred towards the protected equipment, it is determined (E301) whether the packet belongs to an authorised flow, and, in the event of identification of the packet as pertaining to an authorised flow, a service category associated with the authorised flow is determined, and a decision is taken concerning the transfer of the packet towards the protected equipment, said decision consisting in authorising the transfer of the packet towards the protected equipment or rejecting the packet, according to the service category associated with the authorised flow, the rate of the flow, and the rates of at least part of other flows transferred towards the protected equipment.

Description

Procédé de contrôle d'admission de paquets de données Method of controlling the admission of data packets
La présente invention concerne un procédé de contrôle d'admission d'un paquet reçu d'un ou plusieurs réseaux de télécommunication par un dispositif de contrôle d'admission pour la protection d'au moins un équipement de télécommunication. Le domaine d'application de la présente invention est celui de la sécurité préventive et réactive vis-à-vis d'attaques connues sous la dénomination de déni de service. Le déni de service ou en anglais « Denial-of-service » est une attaque visant à rendre inopérant un dispositif de télécommunication, tel que par exemple, un serveur relié à un réseau de télécommunication IP, en submergeant le lien reliant le dispositif de télécommunication au réseau de télécommunication ou le dispositif de télécommunication lui-même, de trafic inutile. D'une manière générale, on parle de déni de service lorsqu'une personne ou une organisation est privée d'un service utilisant des ressources qu'elle est en droit d'attendre en temps normal. On trouvera, par exemple, des dénis de service touchant le service de courrier électronique, l'accès au réseau Internet, l'accès à des ressources partagées telles que des pages WEB, etc.The present invention relates to a method of admission control of a packet received from one or more telecommunication networks by an admission control device for the protection of at least one telecommunication equipment. The field of application of the present invention is that of the preventive and reactive security vis-à-vis attacks known under the name of denial of service. Denial-of-service denial of service is an attack aimed at rendering inoperative a telecommunication device, such as, for example, a server connected to an IP telecommunication network, by submerging the link connecting the telecommunication device to the telecommunication network or the telecommunication device itself, unnecessary traffic. Generally speaking, denial of service occurs when a person or an organization is deprived of a service that uses resources that they are entitled to expect in normal times. For example, there will be denials of service affecting the e-mail service, access to the Internet, access to shared resources such as web pages, etc.
Un système de contrôle d'admission classique tel qu'un pare-feu n'est pas adapté à traiter ce type d'attaques. En effet, un pare-feu, appelé aussi coupe-feu ou « firewall » en anglais, est un système qui permet de protéger 1Un ordinateur des intrusions provenant d'un réseau de télécommunication IP, tel que par exemple le réseau Internet, ou de protéger un réseau local des attaques provenant du réseau Internet. Un pare-feu contient un ensemble de règles prédéfinies permettant d'autoriser uniquement les communications ayant été explicitement autorisées ou d'interdire explicitement des sites.A conventional admission control system such as a firewall is not suitable for dealing with such attacks. Indeed, a firewall, also called firewall or "Firewall" in English, is a system that protects 1 A computer intrusion from an IP telecommunications network, such as for example the Internet, or to protect a LAN from attacks from the Internet. A firewall contains a set of predefined rules that allow only those communications that have been explicitly allowed or explicitly forbid sites.
Un pare-feu fonctionne sur le principe du contrôle de l'admission de paquets. Il analyse les en-têtes de chaque paquet échangé entre une machine protégée et une machine extérieure. L'adresse IP de la machine émettrice, l'adresse IP de la machine réceptrice, le numéro de port associé à un service ou une application sont ainsi analysés. Par exemple les paquets ne correspondant pas à un quadruplet autorisé constitué d'adresse IP source, d'un port source, d'une adresse IP destination, d'un port destination autorisé, ne sont pas transférés.A firewall works on the principle of controlling the admission of packets. It analyzes the headers of each packet exchanged between a protected machine and an external machine. The IP address of the sending machine, the IP address of the receiving machine, the port number associated with a service or an application are thus analyzed. For example, packets that do not correspond to an authorized quadruplet consisting of a source IP address, a source port, a destination IP address, an authorized destination port, are not transferred.
Un pare-feu ne permet pas d'éviter que le dispositif de télécommunication protégé soit submergé par du trafic inutile lorsque des attaques sont effectuées en utilisant des quadruplets autorisés par le pare-feu.A firewall does not prevent the protected telecommunication device from being overwhelmed by unnecessary traffic when attacks are made using quadruplets allowed by the firewall.
Le but de la présente invention permet de résoudre les inconvénients de l'art antérieur et de proposer un procédé de contrôle d'admission de paquets de données transférés à travers au moins un réseau de télécommunication, pour la protection d'au moins un équipement de télécommunication, caractérisé en ce que, pour un paquet de données transféré à destination dudit équipement de télécommunication, le procédé comporte les étapes de :The object of the present invention makes it possible to solve the disadvantages of the prior art and to propose a method of admission control of data packets transferred through at least one telecommunication network, for the protection of at least one piece of equipment. telecommunication, characterized in that, for a data packet transferred to said telecommunication equipment, the method comprises the steps of:
- identification du paquet consistant à déterminer si le paquet appartient à un flux autorisé, et - en cas d'identification du paquet comme appartenant à un flux autorisé,identification of the packet consisting in determining whether the packet belongs to an authorized stream, and in case of identification of the packet as belonging to an authorized stream,
- détermination d'une classe de service associée au flux autorisé, etdetermining a class of service associated with the authorized stream, and
- prise de décision concernant le transfert du paquet vers l'équipement protégé, ladite décision consistant à autoriser le transfert du paquet vers l'équipement protégé ou à rejeter ledit paquet, en fonction de la classe de service associée au flux autorisé, du débit de ce flux et des débits d'au moins une partie d'autres flux transférés vers l'équipement protégé. Corrélativement, l'invention concerne un dispositif de contrôle d'admission d'un paquet reçu, transféré à travers un réseau de télécommunication à destination d'au moins un équipement de télécommunication, pour la protection du ou de chaque équipement de télécommunication, caractérisé en ce que le dispositif de contrôle d'admission comporte:decision making concerning the transfer of the packet to the protected equipment, said decision consisting in authorizing the transfer of the packet to the protected equipment or in rejecting said packet, according to the class of service associated with the authorized flow, the bit rate, this flow and flow rates of at least a portion of other flows transferred to the protected equipment. Correlatively, the invention relates to an admission control device of a received packet, transferred through a telecommunication network to at least one telecommunication equipment, for the protection of the or each telecommunication equipment, characterized in that the admission control device comprises:
- des moyens d'identification du paquet, agencés pour déterminer si le paquet reçu appartient à un flux autorisé, - des moyens de détermination de la classe de service associée au flux autorisé auquel le paquet appartient,means for identifying the packet, arranged to determine whether the received packet belongs to an authorized flow, means for determining the class of service associated with the authorized stream to which the packet belongs,
- des moyens de prise de décision concernant le transfert du paquet vers l'équipement protégé, agencés pour, dans le cas où le paquet appartient à un flux autorisé, déterminer si le transfert dudit paquet vers l'équipement protégé doit être autorisé ou si le paquet doit être rejeté, en fonction de la classe de service associée au flux auquel le paquet appartient et des débits d'au moins une partie d'autres flux transférés vers l'équipement protégé.decision-making means concerning the transfer of the packet to the protected equipment, arranged for, in the case where the packet belongs to an authorized flow, determining whether the transfer of said packet to the protected equipment must be authorized or if the packet shall be rejected, depending on the class of service associated with the stream to which the packet belongs and the bit rates of at least some of the other flows transferred to the protected equipment.
Ainsi, un équipement de télécommunication est protégé par des attaques de type déni de service. En prenant la décision de ne transférer seulement que des paquets vers l'équipement de télécommunication lorsque les paquets reçus appartiennent à des flux autorisés et en fonction de la classe de service associée respectivement à ces flux autorisés, du débit du flux et des débits d'au moins une partie des autres flux transférés vers l'équipement de télécommunication, l'équipement de télécommunication n'est pas saturé. - • De plus, en associant à des flux différentes classes de service, le traitement du paquet peut être adapté à la classe du flux.Thus, telecommunication equipment is protected by denial of service attacks. By making the decision to transfer only packets to the telecommunication equipment when the packets received belong to authorized flows and according to the class of service associated respectively with these authorized flows, the flow rate and the flow rates at least a part of the other flows transferred to the telecommunication equipment, the telecommunication equipment is not saturated. - • In addition, by associating flows with different classes of service, the processing of the packet can be adapted to the class of the stream.
Selon un autre aspect de l'invention, l'identification du paquet consiste à déterminer si le paquet appartient à un flux de l'une des deux catégories de flux comportant respectivement des flux en cours admis et des flux susceptibles d'être admis.According to another aspect of the invention, the identification of the packet consists in determining whether the packet belongs to a stream of one of the two stream categories respectively comprising admitted current flows and flows that may be admitted.
Ainsi, le contrôle de l'admission peut être effectué différemment, par exemple plus rapidement, lorsque des paquets appartenant au flux ont déjà été reçus.Thus, admission control can be performed differently, for example more quickly, when packets belonging to the stream have already been received.
Selon un autre aspect de l'invention, pour un flux susceptible d'être admis ou pour un flux en cours admis, sont au moins mémorisées des informations identifiant ledit flux, des informations représentatives d'une classe de service associée audit flux, des informations représentatives d'un débit théorique dudit flux et une règle d'admission associée audit flux pouvant être modifiée en fonction du débit dudit flux et des débits d'au moins une partie d'autres flux transférés vers l'équipement de télécommunication et le transfert du paquet est effectué en fonction de la règle d'admission associée au flux auquel le paquet appartient.According to another aspect of the invention, for a stream that may be admitted or for an admitted current stream, at least one of the information identifying said stream, information representative of a class of service associated with said stream, information representative of a theoretical flow rate of said flow and an admission rule associated with said flow that can be modified as a function of the flow rate of said flow and flow rates of at least a portion of other flows transferred to the flow equipment. telecommunication and packet transfer is performed according to the admission rule associated with the stream to which the packet belongs.
Ainsi, en modifiant les règles d'admission en fonction des débits instantanés d'au moins une partie des autres flux transférés vers l'équipement de télécommunication, l'équipement de télécommunication n'est pas saturé et est protégé des attaques de type déni de service.Thus, by modifying the admission rules according to the instantaneous bit rates of at least a portion of the other streams transferred to the telecommunication equipment, the telecommunication equipment is not saturated and is protected from denial-type attacks. service.
Selon un autre aspect de l'invention, lorsqu'un paquet appartient à un flux dont la classe de service associée est de priorité maximale, on effectue au moins une des vérifications suivantes : - vérifier si la somme des débits instantanés de l'ensemble des flux transférés vers l'équipement protégé est inférieure à un seuil prédéterminé associé aux flux de priorité maximale, et transférer le paquet dans l'affirmative,According to another aspect of the invention, when a packet belongs to a stream whose associated class of service is of maximum priority, at least one of the following checks is carried out: - check whether the sum of the instantaneous bit rates of all the flows transferred to the protected equipment is less than a predetermined threshold associated with the streams of maximum priority, and transfer the packet in the affirmative,
- vérifier si le débit instantané du flux auquel appartient le paquet est inférieur à un débit théorique dudit flux et transférer le paquet dans l'affirmative ou rejeter le paquet dans la négative.- Check if the instantaneous flow rate of the stream to which the packet belongs is less than a theoretical flow of said flow and transfer the packet in the affirmative or reject the packet in the negative.
Selon un autre aspect de l'invention, lorsqu'un paquet appartient à un flux dont la classe de service associée est de priorité minimale, on vérifie si la somme des débits instantanés de l'ensemble des flux transférés vers l'équipement de télécommunication est inférieure à un seuil minimal prédéterminé, associé aux flux de priorité minimale, on décide de transférer le paquet dans l'affirmative, et on décide de rejeter ledit paquet dans la négative.According to another aspect of the invention, when a packet belongs to a stream whose associated class of service is of minimum priority, it is checked whether the sum of the instantaneous bit rates of all the flows transferred to the telecommunication equipment is below a predetermined minimum threshold, associated with the minimum priority streams, it is decided to transfer the packet in the affirmative, and it is decided to reject the said packet in the negative.
Selon un autre aspect de l'invention, lorsqu'un paquet appartient à un flux dont la classe de service associée est de priorité intermédiaire, on vérifie si la somme des débits instantanés de l'ensemble des flux transférés vers l'équipement de télécommunication est inférieure à un seuil prédéterminé associé aux flux de priorité intermédiaire, on transfère le paquet dans l' affirmative, on vérifie dans la négative, si le débit instantané du flux auquel appartient le paquet est inférieur au débit théorique dudit flux, on rejette le paquet reçu dans la négative, et dans l'affirmative, on modifie la règle d'admission associée au flux auquel le paquet appartient pour rejeter de nouveaux paquets appartenant audit flux et on rejette ledit paquet.According to another aspect of the invention, when a packet belongs to a stream whose associated service class is of intermediate priority, it is checked whether the sum of the instantaneous bit rates of all the flows transferred to the telecommunication equipment is less than a predetermined threshold associated with the intermediate priority flows, the packet is transferred in the affirmative, it is checked in the negative, if the instantaneous flow rate of the flow to which the packet belongs is lower than the theoretical flow rate of said flow, the received packet is rejected. in the negative, and if so, modifying the admission rule associated with the stream to which the packet belongs to reject new packets belonging to said stream and rejecting said packet.
Ainsi, en associant à des flux différentes classes de service, le traitement du paquet peut être effectué de différentes manières adaptées à la classe du flux.Thus, by associating flows with different service classes, the processing of the packet can be performed in different ways adapted to the class of the stream.
Selon un autre aspect de l'invention, si au moins une règle d'admission associée à un flux est modifiée pour rejeter de nouveaux paquets appartenant au flux, on vérifie si la somme des débits instantanés de l'ensemble des flux transférés* 'vers l'équipement protégé est inférieure à un seuil prédéterminé et, dans l'affirmative, on vérifie si la date et/ou l'heure de modification de la règle d'admission est ancienne et dans l'affirmative, on réinitialise la règle d'admission associée au flux auquel ledit paquet appartient pour autoriser le transfert de nouveaux paquets appartenant au flux.According to another aspect of the invention, if at least one admission rule associated with a stream is modified to reject new packets belonging to the stream, one checks if the sum of snapshots of all transferred flow rates * 'to the protected equipment is below a predetermined threshold and, if so, it is checked whether the date and / or time change of the rule admission is old and if so, resetting the admission rule associated with the stream to which said packet belongs to allow the transfer of new packets belonging to the stream.
Ainsi, la modification d'une règle d'admission d'un flux est effectuée de manière temporaire.Thus, the modification of an admission rule of a stream is performed temporarily.
Selon un autre aspect de l'invention, si au moins une règle d'admission associée à un flux est modifiée pour rejeter de nouveaux paquets appartenant au flux, on vérifie si la somme des débits instantanés de l'ensemble des flux transférés vers l'équipement protégé est inférieure à un seuil prédéterminé et, dans l'affirmative, on réinitialise la règle d'admission associée à chaque flux dont la règle a été préalablement modifiée pour autoriser le transfert de nouveaux paquets appartenant à chacun desdits flux.According to another aspect of the invention, if at least one admission rule associated with a stream is modified to reject new packets belonging to the stream, it is checked whether the sum of the instantaneous flows of all the streams transferred to the stream. protected equipment is below a predetermined threshold and, if so, resetting the admission rule associated with each stream whose rule has been previously modified to allow the transfer of new packets belonging to each of said streams.
Ainsi, la modification d'une règle d'admission d'un flux est effectuée de manière temporaire. Lorsque la somme des débits des flux transférés vers l'équipement de télécommunication redevient inférieure à un seuil prédéterminé, le transfert de paquets appartenant à des flux dont les règles d'admission ont été modifiées devient alors possible.Thus, the modification of an admission rule of a stream is performed temporarily. When the sum of the flow rates of the flows transferred to the telecommunication equipment falls below a predetermined threshold, the transfer of packets belonging to flows whose admission rules have been modified then becomes possible.
L'invention concerne aussi le programme d'ordinateur stocké sur un support * = d'informations, ledit programme comportant des instructions permettant de mettre en œuvre le procédé précédemment décrit, lorsqu'il est chargé et exécuté par un système informatique.The invention also relates to the computer program stored on a support * = information, said program comprising instructions for implementing the method described above, when it is loaded and executed by a computer system.
Les caractéristiques de l'invention mentionnées ci-dessus, ainsi que d'autres, apparaîtront plus clairement à la lecture de la description suivante d'un exemple de réalisation, ladite description étant faite en relation avec les dessins joints, parmi lesquels : la Fig. 1 représente un système de télécommunication dans lequel la présente invention est implémentée; la Fig. 2 représente un schéma bloc d'un dispositif de contrôle d'admission selon la présente invention ; les Figs. 3a, 3b, 3c, 3d et 3e représentent l'algorithme de contrôle d'admission selon la présente invention ; la Fig. 4 représente un premier algorithme de mise à jour de la table des règles d'admission lorsqu'au moins une règle est modifiée de manière à ne pas autoriser le transfert de paquets appartenant à un flux vers'1 l'équipement de télécommunication protégé ; la Fig. 5 représente un second algorithme de mise à joui- de la table des règles d'admission lorsqu'au moins une règle est modifiée de manière à ne pas autoriser le transfert de paquets appartenant à au moins un flux vers l'équipement de télécommunication protégé.The characteristics of the invention mentioned above, as well as others, will appear more clearly on reading the following description of an exemplary embodiment, said description being made in connection with the attached drawings, among which: FIG. . 1 represents a telecommunication system in which the present invention is implemented; FIG. 2 is a block diagram of an admission control device according to the present invention; Figs. 3a, 3b, 3c, 3d and 3e represent the admission control algorithm according to the present invention; FIG. 4 represents a first algorithm for updating the admission rules table when at least one rule is modified so as not to authorize the transfer of packets belonging to a flow to '1 protected telecommunication equipment; FIG. 5 represents a second algorithm for taking advantage of the admission rule table when at least one rule is modified so as not to allow the transfer of packets belonging to at least one stream to the protected telecommunication equipment.
La Fig. 1 représente un système de télécommunication dans lequel la présente invention est implémentée. Dans le système de télécommunication de la Fig. 1, une pluralité de dispositifs de télécommunication 12a, 12b, 12c sont reliés respectivement à des réseaux de télécommunication 15a, 15b et 15c. Les dispositifs de télécommunication 12 sont par exemple des ordinateurs, des assistants personnels, voire des téléphones mobiles. Les réseaux de télécommunication 15a, 15b et 15c sont, par exemple, des réseaux basés sur le protocole IP (Internet Protocol) tel que le réseau Internet appartenant à différents opérateurs de télécommunication ou des réseaux de type ATM (Asynchronous Transfer Mode).Fig. 1 represents a telecommunication system in which the present invention is implemented. In the telecommunication system of FIG. 1, a plurality of telecommunication devices 12a, 12b, 12c are respectively connected to telecommunication networks 15a, 15b and 15c. Telecommunication devices 12 are for example computers, personal assistants or even mobile phones. The telecommunication networks 15a, 15b and 15c are, for example, networks based on the Internet protocol (IP) such as the Internet network belonging to different telecommunication operators or ATM (Asynchronous Transfer Mode) networks.
En variante, les réseaux de communication 15a, 15b et 15c forment un unique réseau de télécommunication. • ' Un dispositif de contrôle d'admission 100 est relié aux réseaux de télécommunication 15. Selon la présente invention, le dispositif de contrôle d'admission 100 protège au moins un équipement de télécommunication 17 d'éventuelles attaques de déni de service effectuées par des dispositifs de télécommunication reliés aux réseaux de télécommunication 15. Nous entendons par équipement de télécommunication 17 un équipement de télécommunication tel qu'un réseau local ou une partie d'un réseau de télécommunication, ou un serveur Web ou un ordinateur personnel ou une partie du réseau de télécommunication 15 que l'on souhaite protéger.In a variant, the communication networks 15a, 15b and 15c form a single telecommunication network. An admission control device 100 is connected to the telecommunication networks 15. According to the present invention, the admission control device 100 protects at least one telecommunication equipment 17 from any denial of service attacks carried out by the telecommunication networks. telecommunication devices connected to telecommunication networks 15. Telecommunication equipment 17 means telecommunication equipment such as a local area network or part of a telecommunications network, or a web server or personal computer or part of the network. telecommunication 15 that one wishes to protect.
Les dispositifs de télécommunication 12 émettent sur les réseaux de télécommunication 15 des flux de données sous la forme de paquets à destination de l'équipement de télécommunication protégé 17. Selon l'invention un flux est un ensemble de paquets transitant dans le réseau de télécommunication 15 comportant au moins une information identifiant la même source et au moins une information identifiant la même destination. Par exemple, et de manière non limitative, un flux est un ensemble de paquets transitant dans le réseau de télécommunication 15 qui comporte la même adresse IP source, la même adresse IP de destination, le même identifiant de port source et le même identifiant de port de destination.The telecommunication devices 12 transmit data streams in the form of packets to the telecommunication equipment 17 on the telecommunication networks. According to the invention, a stream is a set of packets transiting in the telecommunication network 15 comprising at least one information identifying the same source and at least one information identifying the same destination. For example, and without limitation, a flow is a set of packets transiting in the telecommunication network 15 which has the same source IP address, the same destination IP address, the same source port identifier and the same destination port identifier.
Selon l'invention, le dispositif de contrôle d'admission 100 n'autorise le transfert d'un paquet vers l'équipement de télécommunication 17 protégé que lorsque le paquet reçu d'un réseau de télécommunication 15a, 15b ou 15c appartient à un flux autorisé et en fonction d'une classe de service associée à ce flux autorisé auquel appartient le paquet, du débit du flux et des débits d'au moins une partie des autres flux transférés vers l'équipement de télécommunication 17. Lorsqu'un paquet n'est pas autorisé à être transféré vers l'équipement de télécommunication 17, celui-ci est rejeté. Nous entendons ici par rejet, un traitement consistant à interdire son transfert vers l'équipement protégé tel que, par exemple, la suppression de celui-ci, un marquage de celui-ci ou une mémorisation de celui-ci.According to the invention, the admission control device 100 authorizes the transfer of a packet to the telecommunication equipment 17 protected only when the packet received from a telecommunications network 15a, 15b or 15c belongs to a stream authorized and to a service class associated with this authorized stream to which the packet belongs, the flow rate and the bit rates of at least some of the other flows transferred to the telecommunication equipment. is not allowed to be transferred to telecommunication equipment 17, it is rejected. Here we mean by rejection, a treatment consisting in prohibiting its transfer to the protected equipment such as, for example, the deletion thereof, a marking thereof or a storage thereof.
Le dispositif de contrôle d'admission 100 vérifie aussi si le paquet reçu est autorisé d'un point de vue syntaxique et sémantique, c'est-à-dire que le dispositif de contrôle d'admission vérifie si la taille du paquet est correcte et si le paquet s'insère bien dans le flux de données.The admission control device 100 also verifies whether the received packet is syntactically and semantically authorized, i.e. the admission control device checks whether the packet size is correct and if the package fits well in the data stream.
Pour cela, chaque flux émis par un dispositif de télécommunication 12 doit préalablement être enregistré auprès du dispositif de contrôle d'admission 100. Plus précisément, pour chaque flux autorisé par le dispositif de contrôle d'admission 100, une classe de service et éventuellement des débits sont associés à ce flux et enregistrés auprès du dispositif de contrôle d'admission.For this, each stream sent by a telecommunication device 12 must first be registered with the admission control device 100. More specifically, for each flow authorized by the admission control device 100, a class of service and possibly flows are associated with this flow and recorded with the admission control device.
L'administrateur du dispositif de contrôle d'admission 100 enregistre et met à jour les informations identifiant la source et la destination de chaque flux susceptible d'être autorisé à être transféré vers l'équipement de télécommunication 17 ainsi que la classe de service, voire le débit qui lui est associé. Le débit qui est associé à un flux est par exemple un débit instantané.The administrator of the admission control device 100 records and updates the information identifying the source and destination of each stream that may be authorized to be transferred to the telecommunication equipment 17 as well as the class of service, or even the flow associated with it. The flow rate that is associated with a flow is for example an instantaneous flow rate.
La Fig. 2 représente un schéma bloc d'un dispositif de contrôle d'admission selon la présente invention. Le dispositif de contrôle d'admission 100 est constitué d'une unité de filtrage de flux 110 et d'une unité de contrôle d'admission de flux 120. Le dispositif de contrôle d'admission 100 comporte des moyens pour décider si un paquet doit être transféré ou non vers l'équipement de télécommunication 17. Le dispositif de contrôle d'admission 100 comporte aussi des moyens pour transférer ou non un paquet vers l'équipement de télécommunication 17.Fig. 2 shows a block diagram of an admission control device according to the present invention. The admission control device 100 consists of a flow filtering unit 110 and a flow admission control unit 120. The admission control device 100 comprises means for deciding whether a package should whether or not transferred to telecommunication equipment 17. Admission control device 100 also comprises means for transferring or not a packet to the telecommunication equipment 17.
L'unité de filtrage de flux 110 comprend une interface réseau 111, un module de filtrage 112, une table des règles de contrôle d'admission 114 et une table des flux admis 116.The stream filtering unit 110 comprises a network interface 111, a filtering module 112, an admission control rules table 114 and an admitted flows table 116.
L'unité de filtrage de flux 110 a pour fonction d'accepter ou non le transfert de paquets issus du ou des réseaux de télécommunication 15 vers l'unité de contrôle d'admission de flux 120 en fonction d'au moins un identifiant de l'émetteur du paquet et d'au moins un identifiant du destinataire du paquet et d'une règle de contrôle d'admission associée au flux auquel le paquet appartient.The function of the flow filtering unit 110 is to accept or not the transfer of packets from the telecommunication network or networks 15 to the flow admission control unit 120 as a function of at least one identifier of the stream transmitter of the packet and at least one identifier of the recipient of the packet and an admission control rule associated with the stream to which the packet belongs.
L'interface réseau 111 comporte un module de routage qui reçoit, d'au moins un réseau de télécommunication 15a, 15b 15c, les différents paquets des flux issus des dispositifs de télécommunication 12 et transfère les paquets reçus vers le module de filtrage 112. L'interface réseau 111 reçoit, par l'intermédiaire de l'unité de contrôle d'admission 120 et du module de filtrage 112, des paquets issus de l'équipement de télécommunication 17 et transfère ceux-ci vers le réseau de télécommunication 15 auquel est relié le dispositif de télécommunication 12 dont l'adresse IP destination est comprise dans l'entête des paquets.The network interface 111 comprises a routing module which receives, from at least one telecommunications network 15a, 15b 15c, the different packets of the streams coming from the telecommunication devices 12 and transfers the packets received to the filtering module 112. L The network interface 111 receives, via the admission control unit 120 and the filter module 112, packets from the telecommunications equipment 17 and transfers them to the telecommunication network 15 to which it is connected. connected the telecommunication device 12 whose destination IP address is included in the header of the packets.
Le module de filtrage 112 détermine, pour chaque paquet reçu du réseau de télécommunication 15, si celui-ci doit être transféré ou non à l'unité de contrôle d'admission de flux 120. Pour cela, le module de filtrage 112 interroge la table des flux admis 116 ou la table des règles d'admission 114, détermine le flux auquel appartient chaque paquet reçu et transfère ou non, le paquet reçu vers l'unité de contrôle d'admission 120 en fonction des informations comprises dans les tables 114 ou 116 et qui sont associées au flux auquel appartient le paquet.The filtering module 112 determines, for each packet received from the telecommunications network 15, whether the latter must be transferred or not to the flow admission control unit 120. For this, the filtering module 112 interrogates the table admitted flows 116 or admission rules table 114, determines the flow to which each received packet belongs and transfers or not, the received packet to the admission control unit 120 according to the information included in the tables 114 or 116 and associated with the stream to which the packet belongs.
La table des règles d'admission 114 comprend des informations associées à chaque flux susceptible d'être admis et transféré vers l'équipement de télécommunication 17. La table des règles d'admission 114 est créée et maintenue par l'administrateur du dispositif de contrôle d'admission 100 et est mise à jour par le module de filtrage 112 conformément à la présente invention. La table des règles d'admission 114 comprend, pour chaque flux susceptible d'être transféré vers l'équipement de télécommunication 17, des informations identifiant le flux telles que par exemple l'adresse IP de la source du flux, l'adresse IP de la destination du flux, l'identifiant du port source du flux et l'identifiant du port destination du flux. La table des règles d'admission 114 comprend aussi, pour chaque flux ' susceptible d'être transféré vers l'équipement de télécommunication 17, une règle autorisant ou non le transfert du flux vers l'équipement de télécommunication 17. Les règles autorisant ou non le transfert du flux vers l'équipement de télécommunication 17 sont modifiées par le module de filtrage 112 sur requête de l'unité de contrôle d'admission de flux 120 et sous certaines conditions, comme cela sera explicité par la suite en regard de la Fig. 3. La table des règles d'admission 114 comprend aussi, pour chaque flux susceptible d'être admis et transféré vers l'équipement de télécommunication 17, des informations représentatives de la classe de service associée à chaque flux. La table des règles d'admission 114 comprend aussi, pour certains des flux susceptibles d'être autorisés, un débit autorisé. Le débit autorisé est préférentiellement un débit crête. En variante, le débit autorisé est un débit moyen. En effet, différentes classes de service sont associées aux flux susceptibles d'être admis. Ces classes de service sont par exemple définies ou mises à jour par l'administrateur du dispositif de contrôle d'admission 100. Par exemple, et de manière non limitative, l'administrateur du dispositif de contrôle d'admission 100 attribue à chaque flux une classe de service parmi trois différentes classes de service : une première classe de service dite prioritaire ou de priorité maximale avec un seuil maximum de débit autorisé, une seconde classe de service dite de priorité intermédiaire avec un débit crête associé, un troisième classe ' de service dite minimale ou de priorité minimale sans débit crête associé. Bien entendu, un nombre beaucoup plus important de classes de service peut être défini.The admission rules table 114 includes information associated with each flow that may be admitted and transferred to the telecommunication equipment 17. The admission rules table 114 is created and maintained by the controller of the control device 100 and is updated by the filter module 112 according to the present invention. The admission rules table 114 includes, for each stream that may be transferred to the telecommunication equipment 17, information identifying the stream such as, for example, the IP address of the source of the stream, the IP address of the destination of the stream, the identifier of the source port of the stream and the identifier of the destination port of the stream. Table admission rules 114 also includes, for each flow 'likely to be transferred to the telecommunications equipment 17, a rule authorizing or not the transfer of the stream to the telecommunication equipment 17. The rules authorizing or not the transfer the flow to the telecommunication equipment 17 are modified by the filtering module 112 at the request of the flow admission control unit 120 and under certain conditions, as will be explained hereinafter with reference to FIG. 3. The admission rules table 114 also includes, for each flow likely to be admitted and transferred to the telecommunications equipment 17, information representative of the class of service associated with each stream. The admission rules table 114 also includes, for some of the flows that may be authorized, an authorized bit rate. The authorized flow rate is preferably a peak flow. In a variant, the authorized flow rate is an average flow rate. Indeed, different classes of service are associated with the flows likely to be admitted. These classes of service are for example defined or updated by the administrator of the admission control device 100. For example, and without limitation, the administrator of the admission control device 100 assigns each flow a class of service among three different classes of service: a first class of service called priority or maximum priority with a maximum authorized rate threshold, a second class of intermediate priority service with an associated peak rate, a third class of service minimum or minimum priority without associated peak flow. Of course, a much larger number of classes of service can be defined.
La table des flux admis 116 comprend des informations identifiant chaque flux admis par le module de filtrage 112. Chaque flux admis est au moins identifié par une adresse IP source, une adresse IP de destination, un identifiant de port source et un identifiant de port de destination.The admitted flow table 116 includes information identifying each flow admitted by the filtering module 112. Each admitted stream is at least identified by a source IP address, a destination IP address, a source port identifier and a port identifier of destination.
La table des flux admis 116 est mise à jour par le module de filtrage 112 lorsque celui-ci accepte un paquet d'un flux, lorsque le flux est interrompu ou considéré comme interrompu, ou lorsque l'unité de contrôle d'admission de flux 120 notifie au module de filtrage 112 le rejet d'un paquet d'un flux autorisé par le module de filtrage 112. Un compteur est associé aux informations identifiant chaque flux comprises dans la table des flux admis 116. La valeur de ce compteur est incrémentée par l'horloge interne (non représentée en Fig. 2) du dispositif de contrôle d'admission 100. La valeur du compteur associé à un flux est mise à une valeur nulle lors du transfert de chaque paquet appartenant audit flux et, lorsqu'elle est égale à un seuil prédéterminé, les informations identifiant le flux correspondant 'au compteur sont supprimées de la table des flux admis 116 par le module de filtrage 112.The admitted flow table 116 is updated by the filtering module 112 when it accepts a packet of a stream, when the stream is interrupted or considered interrupted, or when the flow admission control unit 120 notifies the filtering module 112 the rejection of a packet of a stream authorized by the filtering module 112. A counter is associated with the information identifying each stream included in the admitted flow table 116. The value of this counter is incremented by the internal clock (not shown in Fig. 2) of the admission control device 100. The value of the counter associated with a flow is set to zero when transferring each packet belonging to said flow and, when is equal to a threshold predetermined, the information identifying the flow corresponding to the counter are removed from the admitted flow table 116 by the filtering module 112.
La table des flux admis 116 permet au module de filtrage 112 de rapidement vérifier si un paquet peut être transféré à l'unité de contrôle d'admission de flux 120 sans avoir à consulter la table des règles d'admission 114.The admitted flow table 116 allows the filtering module 112 to quickly check whether a packet can be transferred to the flow admission control unit 120 without having to consult the admission rules table 114.
L'unité de contrôle d'admission de flux 120 comprend un module d'admission 122, une table des flux en cours 124 et une table des caractéristiques théoriques 126 des flux susceptibles d'être transférés vers l'équipement de télécommunication 17.The flow admission control unit 120 comprises an intake module 122, a current flow table 124 and a table of the theoretical characteristics 126 of the flows that can be transferred to the telecommunication equipment 17.
Le module d'admission 122 a pour fonction de calculer le débit des différents flux transférés vers l'équipement de télécommunication protégé 17 et de contrôler si ces flux satisfont aux conditions définies dans la table des flux en cours 124 et la table des caractéristiques théoriques 126. Le module d'admission 122 notifie au module de filtrage 112 les mises à jour à effectuer sur la table des flux admis 116 et sur la table des règles d'admission 114. Le module d'admission 122 transfère chaque paquet reçu du module de filtrage 112 dont le flux auquel il appartient satisfait aux conditions des tables 124 et 126.The function of the admission module 122 is to calculate the flow rate of the different flows transferred to the protected telecommunication equipment 17 and to check whether these flows satisfy the conditions defined in the current flow table 124 and the theoretical characteristics table 126 The admission module 122 notifies the filtering module 112 of the updates to be made on the admitted flow table 116 and on the admission rules table 114. The admission module 122 transfers each packet received from the admission module. filtering 112 whose flow to which it belongs satisfies the conditions of tables 124 and 126.
La table des flux en cours 124 comprend, pour chaque flux en cours, c'est-à-dire pour chaque flux identifié dans la table des flux admis 116, l'adresse IP de la source du flux, l'adresse IP de la destination du flux, l'identifiant du port source du flux et l'identifiant du port destination du flux. La table des flux en cours 124 comprend, pour chaque flux en cours, le débit calculé par le module d'admission 122. Un débit est calculé en comptant le nombre de paquets transmis pendant une durée prédéterminée. Préférentiellement, et de manière non limitative, le débit calculé est un débit instantané. La table des caractéristiques théoriques des flux 126 mémorise, pour chaque flux susceptible d'être transféré sur le réseau protégé 17, les caractéristiques théoriques telles que la classe de service du flux, le débit crête théorique autorisé pour le flux.The current flow table 124 comprises, for each current flow, that is to say for each flow identified in the admitted flow table 116, the IP address of the source of the flow, the IP address of the destination of the stream, the identifier of the source port of the stream and the identifier of the destination port of the stream. The current flow table 124 includes, for each current flow, the rate calculated by the admission module 122. A rate is calculated by counting the number of packets transmitted for a predetermined duration. Preferably, and in a nonlimiting manner, the calculated flow rate is an instantaneous flow rate. The table of the theoretical characteristics of the streams 126 stores, for each flow likely to be transferred on the protected network 17, the theoretical characteristics such as the class of service of the stream, the theoretical peak flow allowed for the stream.
La table des caractéristiques théoriques des flux 126 mémorise aussi les différents seuils utilisés par la présente invention, le seuil maximum Smax du débit susceptible d'être transféré à l'équipement de télécommunication 17, le seuil maximum Spriomax associé aux flux de priorité maximale, le seuil intermédiaireThe table of the theoretical characteristics of the streams 126 also stores the different thresholds used by the present invention, the maximum threshold Smax of the rate that can be transferred to the telecommunication equipment 17, the maximum threshold Spriomax associated with the streams of maximum priority, the intermediate threshold
Sprioint associé aux flux de priorité intermédiaire et le seuil minimal Spriomin associé aux flux de priorité minimale. La table des caractéristiques théoriques dés flux 126 mémorise aussi un seuil noté SRST.Sprioint associated with intermediate priority flows and the associated minimal Spriomin threshold minimum priority flows. The table of the theoretical characteristics of stream 126 also stores a threshold denoted SRST.
Il est à remarquer ici que le seuil Smax est supérieur au seuil Spriomax ; le seuil Spriomax est supérieur au seuil Sprioint ; le seuil Sprioint est supérieur au seuil Sprimin et le seuil Spriomin est supérieur au seuil SRST.It should be noted here that the threshold Smax is greater than the threshold Spriomax; the Spriomax threshold is greater than the Sprioint threshold; the Sprioint threshold is greater than the Sprimin threshold and the Spriomin threshold is greater than the SRST threshold.
Il est à remarquer ici que le dispositif de contrôle d'admission est en variante réparti dans deux dispositifs distincts reliés entre eux par une liaison dédiée ou par un réseau de télécommunication. Selon cette variante, un premier dispositif comprend l'unité de filtrage de flux 110 et un second dispositif comprend l'unité de contrôle d'admission de flux 120. L'unité de contrôle de flux 120 reçoit des paquets d'un ou plusieurs unités de filtrages 110 ainsi que les informations qui seront explicitées par la suite et décide si les règles d'admission doivent être modifiées pour le flux correspondant à chaque paquet reçu.It should be noted here that the admission control device is alternatively distributed in two separate devices interconnected by a dedicated link or a telecommunications network. According to this variant, a first device comprises the flow filtering unit 110 and a second device comprises the flow admission control unit 120. The flow control unit 120 receives packets from one or more units filtering 110 and the information that will be explained later and decides whether the admission rules must be changed for the flow corresponding to each packet received.
L'unité de contrôle de flux 120, dans une autre variante de réalisation, notifie la décision qu'elle prend pour chaque paquet et la notifie à un dispositif distant qui transfère le paquet ou le rejette en fonction de la décision de l'unité de contrôle de flux 120.The flow control unit 120, in another embodiment, notifies the decision it takes for each packet and notifies it to a remote device that transfers the packet or rejects it depending on the decision of the unit of the packet. flow control 120.
Les Figs. 3a, 3b, 3c, 3d et 3e représentent l'algorithme de contrôle d'admission selon la présente invention. ' ' L'algorithme de la Fig. 3a représente les étapes d'un processus exécuté par le module de filtrage 112, tandis que l'algorithme des Figs. 3b à 3e représente les étapes d'un processus exécuté par le module d'admission 122.Figs. 3a, 3b, 3c, 3d and 3e represent the admission control algorithm according to the present invention. The algorithm of FIG. 3a represents the steps of a process executed by the filtering module 112, while the algorithm of Figs. 3b-3e represents the steps of a process executed by the admission module 122.
Dans une variante de réalisation, les étapes des processus représentées en Fig. 3 a à 3e sont regroupées pour former un unique processus. Selon une autre variante, lorsque le dispositif de contrôle d'admission 100 est implémenté dans un dispositif informatique tel que par exemple un ordinateur, le présent algorithme est exécuté par le processeur du dispositif informatique.In an alternative embodiment, the steps of the processes shown in FIG. 3 to 3 are grouped together to form a single process. According to another variant, when the admission control device 100 is implemented in a computing device such as for example a computer, the present algorithm is executed by the processor of the computing device.
A l'étape E300 de la Fig. 3a, un paquet issu du réseau de télécommunication 15 est reçu par l'interface réseau 111 et est transféré au module de filtrage 112. A l'étape suivante E301, le module de filtrage 112 vérifie si le paquet reçu appartient à un flux pour lequel des paquets ont déjà été admis. Pour cela, le module de filtrage 112 vérifie si le paquet reçu est le premier paquet d'un flux, par exemple, un paquet de type SYN tel que conforme au protocole TCP ou lit, dans le paquet reçu, l'adresse IP source, l'adresse IP de destination, l'identifiant du port source et l'identifiant de port de destination et vérifie si ces adresses et ces identifiants correspondent à un ensemble d'informations identifiant un flux dans la table des flux admis 116. TCP est l'acronyme de « Transmission Control Protocol » ou en français Protocole de Contrôle de Transmission. S'il n'existe pas d'ensemble d'informations identifiant un flux dans la table des flux admis 116 correspondant aux adresses et aux identifiants lus ou si c'est un premier paquet d'un flux, le module de filtrage 112 passe à l'étape E306.In step E300 of FIG. 3a, a packet from the telecommunication network 15 is received by the network interface 111 and is transferred to the filtering module 112. In the next step E301, the filtering module 112 checks whether the received packet belongs to a stream for which packages have already been admitted. For this, the filtering module 112 checks whether the received packet is the first packet of a stream, for example, a packet of SYN type that conforms to the TCP protocol or reads, in the received packet, the source IP address, the destination IP address, the source port identifier, and the destination port identifier and verifies whether these addresses and these identifiers correspond to a set of information identifying a flow in the admitted flow table 116. TCP is the acronym for "Transmission Control Protocol" or in French Control Protocol Transmission. If there is no set of information identifying a stream in the admitted flow table 116 corresponding to the read addresses and identifiers or if it is a first packet of a stream, the filtering module 112 proceeds to step E306.
S'il existe un ensemble d'informations identifiant un flux dans la table des flux 116 correspondant aux adresses et aux identifiants lus, le module de filtrage 112 passe à l'étape E302.If there is a set of information identifying a stream in the flow table 116 corresponding to the read addresses and identifiers, the filtering module 112 proceeds to step E302.
A l'étape E302, le module de filtrage 112 vérifie si le paquet reçu est représentatif d'une fin de flux. Ceci est par exemple effectué, si le paquet est conforme au protocole TCP, en vérifiant si le paquet reçu est un paquet de type FIN ou RST. Si le paquet reçu est représentatif d'une fin de flux, le module de filtrage 112 passe à l'étape E303 et modifie la table des flux admis 116 en supprimant de celle-ci l'ensemble d'informations identifiant le flux auquel le paquet appartient dans la table des flux 116.In step E302, the filtering module 112 checks whether the received packet is representative of an end of flow. This is for example performed, if the packet is compliant with the TCP protocol, checking if the received packet is a packet type FIN or RST. If the received packet is representative of a flow end, the filtering module 112 proceeds to step E303 and modifies the admitted flow table 116 by removing from it the set of information identifying the flow to which the packet belongs in the flow table 116.
A l'étape suivante E304, le module de filtrage 112 transfère le paquet vers le module d'admission 122 et retourne à l'étape E300 précédemment décrite. Le module d'admission 122 transfère le paquet vers l'équipement de télécommunication 17 et supprime les données associées au flux auquel le paquet appartient de la table des flux en cours 124.In the next step E304, the filtering module 112 transfers the packet to the admission module 122 and returns to the step E300 previously described. The admission module 122 transfers the packet to the telecommunication equipment 17 and deletes the data associated with the stream to which the packet belongs from the current stream table 124.
Si le paquet reçu n'est pas représentatif d'une fin de flux, le module de filtrage 112 passe de l'étape E302 à l'étape E305 et transfère à cette étape le paquet reçu au module d'admission 122. Cette opération effectuée, le module de filtrage 112 retourne à l'étape E300.If the received packet is not representative of a flow end, the filtering module 112 goes from step E302 to step E305 and transfers at this step the packet received to the admission module 122. This operation carried out , the filtering module 112 returns to step E300.
A l'étape E306, le module de filtrage 112 interroge la table des règles d'admission pour vérifier si les adresses et les identifiants lus correspondent à un ensemble d'informations identifiant un flux dans la table des règles d'admission 114 et pour obtenir la règle d'admission associée au flux correspondant. Si aucun ensemble d'informations identifiant un flux ne correspond aux adresses et aux identifiants lus, ou si la règle d'admission n'autorise pas le transfert de flux, le module de filtrage 112 passe à l'étape E307. Si un ensemble d'informations identifiant un flux correspond aux adresses et aux identifiants lus et si la règle d'admission autorise le transfert de flux, le module de filtrage 112 passe à l'étape E308.In step E306, the filtering module 112 queries the admission rules table to check whether the read addresses and identifiers correspond to a set of information identifying a flow in the admission rules table 114 and to obtain the admission rule associated with the corresponding flow. If no set of information identifying a stream matches the read addresses and identifiers, or if the admission rule does not allow the flow transfer, the filtering module 112 proceeds to step E307. If a set of information identifying a stream corresponds to the read addresses and identifiers and if the admission rule allows the transfer of flows, the filtering module 112 proceeds to step E308.
A l'étape E307, le module de filtrage 112 décide de rejeter le paquet, rejette et efface le paquet reçu et retourne à l'étape E300 précédemment décrite. A l'étape E308, le module de filtrage 112 modifie la table des flux admis 116 en ajoutant à celle-ci l'ensemble d'informations identifiant le flux auquel le paquet appartient.In step E307, the filtering module 112 decides to reject the packet, rejects and erases the received packet and returns to step E300 previously described. In step E308, the filtering module 112 modifies the admitted flow table 116 by adding thereto the set of information identifying the flow to which the packet belongs.
A l'étape suivante E309, le module de filtrage 112 transfère l'ensemble d'informations identifiant ce flux obtenu à l'étape E309 à la table des flux en cours 124.In the next step E309, the filtering module 112 transfers the set of information identifying this stream obtained in step E309 to the current flow table 124.
Cette opération effectuée, le module de filtrage 112 transfère à l'étape E310 le paquet reçu au module d'admission 122. Cette opération effectuée, le module de filtrage 112 retourne à l'étape E300 en attente d'un nouveau paquet à traiter.Once this is done, the filtering module 112 transfers the packet received to the admission module 122 to the step E310. This operation carried out, the filtering module 112 returns to the step E300 waiting for a new packet to be processed.
A l'étape E311 de la Fig. 3b, un paquet issu du module de filtrage 112 est reçu par le module d'admission 122.In step E311 of FIG. 3b, a packet from the filter module 112 is received by the admission module 122.
A l'étape E312, le module d'admission 122 détermine l'état de congestion de l'équipement de télécommunication 17.In step E312, the admission module 122 determines the state of congestion of the telecommunication equipment 17.
Il est à remarquer ici qu'en parallèle à l'exécution du présent algorithme, le module d'admission 122 calcule, pour chaque flux en cours compris dans la table des - ' flux en cours 124, le débit instantané de chaque flux transmis vers l'équipement de télécommunication 17 et mémorise chaque débit instantané calculé dans la table des flux en cours 124.It should be noted here that in parallel to the execution of this algorithm, the intake module 122 calculates for each stream being included in the table - 'current stream 124, the instantaneous flow rate of each stream transmitted to telecommunication equipment 17 and stores each instantaneous flow calculated in the current flow table 124.
Le module d'admission 122 détermine l'état de congestion de l'équipement de télécommunication 17 en calculant la somme des débits instantanés des flux transférés vers l'équipement de télécommunication 17.The admission module 122 determines the state of congestion of the telecommunication equipment 17 by calculating the sum of the instantaneous flows of the flows transferred to the telecommunication equipment 17.
A l'étape suivante E313, le module d'admission 122 vérifie si la somme des débits instantanés des flux transférés vers l'équipement de télécommunication 17 est supérieure ou égale à un seuil prédéterminé appelé Smax.In the next step E313, the admission module 122 checks whether the sum of the instantaneous flows of the flows transferred to the telecommunication equipment 17 is greater than or equal to a predetermined threshold called Smax.
Dans l'affirmative, le module d'admission 122 passe à l'étape E314. A cette étape, le module d'admission 122 décide de rejeter le paquet en cours de traitement et rejette celui-ci. Le module d'admission modifie la table des flux en cours 124 et retourne à l'étape E311 en attente d'un nouveau paquet à traiter. Si la somme des débits instantanés des flux transférés vers l'équipement de télécommunication 17 est inférieure au seuil prédéterminé Smax, le module d'admission 122 passe à l'étape E315.If so, the intake module 122 proceeds to step E314. At this stage, the admission module 122 decides to reject the packet being processed and rejects it. The admission module modifies the current flow table 124 and returns to step E311 waiting for a new packet to be processed. If the sum of the instantaneous bit rates of the flows transferred to the telecommunication equipment 17 is less than the predetermined threshold Smax, the admission module 122 proceeds to the step E315.
A l'étape E315, le module d'admission 122 détermine la classe de service notée Cos associée au flux auquel le paquet en cours de traitement appartient. Pour cela, le module d'admission 122 interroge la table des caractéristiques théoriques 126 qui, en retour, transfère la classe de service associée au flux auquel le paquet appartient.In step E315, the admission module 122 determines the class of service denoted Cos associated with the stream to which the packet being processed belongs. For this, the admission module 122 queries the theoretical characteristics table 126 which, in return, transfers the class of service associated with the stream to which the packet belongs.
A l'étape suivante E316, le module d'admission 122 vérifie si la classe associée est une classe de priorité maximale. Dans l'affirmative, le module d'admission 122 passe à l'étape E320 de l'algorithme représenté à la Fig. 3c. Dans la négative, le module d'admission 122 passe à l'étape E317.In the next step E316, the admission module 122 checks whether the associated class is a maximum priority class. If so, the admission module 122 proceeds to step E320 of the algorithm shown in FIG. 3c. If not, the intake module 122 proceeds to step E317.
A l'étape suivante E317, le module d'admission 122 vérifie si la classe associée est une classe de priorité minimale. Dans l'affirmative, le module d'admission 122 passe à l'étape E330 de l'algorithme représenté à la Fig. 3d. Dans la négative, le module d'admission 122 passe à l'étape E340 de l'algorithme représenté à la Fig. 3e.In the next step E317, the admission module 122 checks whether the associated class is a minimum priority class. If so, the admission module 122 proceeds to step E330 of the algorithm shown in FIG. 3d. If not, the admission module 122 proceeds to step E340 of the algorithm shown in FIG. 3rd.
A l'étape E320 de la Fig. 3c, le module d'admission 122 vérifie si la somme des débits instantanés des flux transférés vers l'équipement de télécommunication 17 est inférieure au seuil maximum autorisé pour les flux de priorité maximale Spriomax. Dans l'affirmative, le module d'admission 122 passe à l'étape E321 et prend la décision de transférer le paquet en cours de traitement vers l'équipement de télécommunication 17 et/ou procède au transfert de celui-ci. Cette opération effectuée, le module d'admission 122 retourne à l'étape E311 en attente d'un nouveau paquet à traiter.In step E320 of FIG. 3c, the admission module 122 checks whether the sum of the instantaneous flows of the flows transferred to the telecommunication equipment 17 is less than the maximum threshold authorized for the Spriomax maximum priority streams. If so, the admission module 122 proceeds to step E321 and makes the decision to transfer the packet being processed to the telecommunication equipment 17 and / or proceeds with the transfer thereof. Once this is done, the admission module 122 returns to step E311 waiting for a new packet to be processed.
Si la somme des débits instantanés des flux transférés vers l'équipement de télécommunication 17 est supérieure ou égale au seuil maximum associé aux flux de priorité maximale Spriomax, le module d'admission 122 passe à l'étape E322.If the sum of the instantaneous bit rates of the flows transferred to the telecommunication equipment 17 is greater than or equal to the maximum threshold associated with the Spriomax maximum priority flows, the admission module 122 proceeds to the step E322.
A l'étape E322, le module d'admission 122 vérifie si le débit instantané du flux auquel appartient le paquet en cours de traitement est inférieur au débit théorique du flux auquel appartient le paquet en cours de traitement. Pour cela, le module d'admission 122 interroge les tables 124 et 126. Dans l'affirmative, le module d'admission 122 passe à l'étape E323 et prend la décision de transférer le paquet en cours de traitement vers l'équipement de télécommunication 17 et/ou procède au transfert de celui-ci. Cette opération effectuée, le module d'admission 122 retourne à l'étape E311 en attente d'un nouveau paquet à traiter. Si le débit instantané du flux auquel appartient le paquet en cours dé traitement est supérieur ou égal au débit théorique du flux auquel appartient le paquet en cours de traitement, le module d'admission 122 passe à l'étape E324 et décide de rejeter le paquet en cours. Lorsque le paquet est rejeté, le module d'admission 122 retourne à l'étape E311 en attente d'un nouveau paquet à traiter.In step E322, the admission module 122 checks whether the instantaneous flow rate of the stream to which the packet being processed belongs is less than the theoretical flow rate of the stream to which the packet being processed belongs. For this, the admission module 122 interrogates the tables 124 and 126. If so, the admission module 122 goes to the step E323 and makes the decision to transfer the packet being processed to the equipment of telecommunication 17 and / or proceeds with the transfer thereof. Once this is done, the admission module 122 returns to step E311 waiting for a new packet to be processed. If the instantaneous flow rate of the stream to which the packet being processed belongs is greater than or equal to the theoretical flow rate of the stream to which the packet being processed belongs, the admission module 122 proceeds to step E324 and decides to reject the packet. In progress. When the packet is rejected, the admission module 122 returns to the step E311 waiting for a new packet to be processed.
Selon une variante de réalisation, le module d'admission 122 transfère à l'étape E324 un message au module de filtrage 112 d'invitation à modifier la table des règles d'admission 114 de manière à ce que le module de filtrage 112 modifie la règle autorisant ou non le transfert du flux auquel le paquet appartient vers l'équipement de télécommunication 17. Le module de filtrage 112 met la règle d'admission dans un état qui n'autorise pas le transfert du flux vers l'équipement de télécommunication 17. Préférentiellement, le module de filtrage 112 horodate la règle qui n'autorise pas le transfert du flux vers l'équipement de télécommunication 17. Le module de filtrage 112 modifie la table des flux admis 116 en supprimant de celle-ci les informations identifiant le flux auquel appartient le paquet.According to an alternative embodiment, the admission module 122 transfers to the step E324 a message to the filtering module 112 inviting to modify the table of the admission rules 114 so that the filtering module 112 modifies the rule allowing or not the transfer of the stream to which the packet belongs to the telecommunication equipment 17. The filtering module 112 puts the admission rule in a state which does not allow the transfer of the stream to the telecommunication equipment 17 Preferably, the filtering module 112 timestamps the rule which does not authorize the transfer of the stream to the telecommunication equipment 17. The filtering module 112 modifies the admitted flow table 116 by removing from it the information identifying the stream to which the package belongs.
A l'étape E340 de la Fig. 3e, le module d'admission 122 vérifie si la somme des débits instantanés des différents flux transférés vers l'équipement de télécommunication 17 est inférieure au seuil intermédiaire associé aux flux de priorité intermédiaire noté Sprioint. Dans l'affirmative, le module d'admission 122 passe à ' ! l'étape E341 et prend la décision de transférer le paquet en cours de traitement vers l'équipement de télécommunication 17 et/ou procède au transfert de celui-ci. Cette opération effectuée, le module d'admission 122 retourne à l'étape E311 en attente d'un nouveau paquet à traiter.In step E340 of FIG. 3e, the admission module 122 checks whether the sum of the instantaneous flows of the different flows transferred to the telecommunication equipment 17 is less than the intermediate threshold associated with the intermediate priority flows noted Sprioint. If so, the intake module 122 changes to ' ! step E341 and makes the decision to transfer the packet being processed to the telecommunication equipment 17 and / or proceeds with the transfer thereof. Once this is done, the admission module 122 returns to step E311 waiting for a new packet to be processed.
Si la somme des débits instantanés des flux transférés vers l'équipement de télécommunication 17 est supérieure ou égale au seuil intermédiaire associé aux flux de priorité intermédiaire noté Sprioint, le module d'admission 122 passe à l'étape E342.If the sum of the instantaneous bit rates of the flows transferred to the telecommunication equipment 17 is greater than or equal to the intermediate threshold associated with the intermediate priority flows noted Sprioint, the admission module 122 proceeds to the step E342.
A l'étape E342, le module d'admission 122 vérifie si le débit instantané du flux auquel appartient le paquet en cours de traitement est inférieur au débit théorique du flux auquel appartient le paquet en cours de traitement qui est mémorisé dans la table des caractéristiques théoriques 126 des flux susceptibles d'être transférés vers l'équipement de télécommunication 17. Dans l'affirmative, le module d'admission 122 passe à l'étape E343, décide le rejet du paquet en cours de traitement et procède au rejet de celui-ci. Cette opération effectuée, le module d'admission 122 retourne à l'étape E311 en attente d'un nouveau paquet à traiter.In step E342, the admission module 122 checks whether the instantaneous flow rate of the stream to which the packet being processed belongs is less than the theoretical flow rate of the stream to which the packet in process which is stored in the characteristics table belongs. theoretical flows 126 likely to be transferred to the telecommunication equipment 17. If so, the admission module 122 goes to the step E343, decides the rejection of the packet being processed and proceeds to the rejection of it. Once this is done, the admission module 122 returns to step E311 waiting for a new packet to be processed.
Si le débit instantané du flux auquel appartient le paquet en cours de traitement est supérieur ou égal au débit théorique du flux auquel appartient le paquet en cours de traitement, le module d'admission 122 passe à l'étape E344 et transfère un message au module de filtrage 112 d'invitation à modifier la table des règles d'admission 114 de manière à ce que le module de filtrage 112 modifie la règle autorisant ou non le transfert du flux auquel le paquet appartient vers l'équipement de télécommunication 17. Le module de filtrage 112 met la règle de filtrage dans un état qui n'autorise pas le transfert du flux vers l'équipement de télécommunication 17. Dans un mode particulier de réalisation, le module de filtrage 112 horodate cette règle avec la date et l'heure de la modification de la règle. Le module de filtrage 112 modifie aussi la table des flux admis 116 en supprimant de celle-ci les informations associées au flux auquel appartient le paquet de manière à ce que lorsque des nouveaux paquets appartenant au flux seront reçus, ceux-ci seront rejetés.If the instantaneous flow rate of the stream to which the packet being processed belongs is greater than or equal to the theoretical flow rate of the stream to which the packet being processed belongs, the admission module 122 proceeds to step E344 and transfers a message to the module filter 112 invites to modify the table of admission rules 114 so that the filtering module 112 modifies the rule allowing or not the transfer of the stream to which the packet belongs to the telecommunication equipment 17. The module In a particular embodiment, the filtering module 112 timestamps this rule with the date and the time. of the rule change. The filtering module 112 also modifies the admitted flow table 116 by removing from it the information associated with the flow to which the packet belongs so that when new packets belonging to the stream are received, they will be rejected.
A l'étape suivante E345, le module d'admission 122 décide de rejeter le paquet en cours de traitement et procède au rejet de celui-ci. Cette opération effectuée, le module d'admission 122 retourne à l'étape E311 en attente d'un nouveau paquet à traiter. ' • A l'étape E330 de la Fig. 3d, le module d'admission 122 vérifie si la somme des débits instantanés des flux transférés vers l'équipement de télécommunication 17 est inférieure au seuil minimal associé aux flux de priorité minimale Spriomin. Dans l'affirmative, le module d'admission 122 passe à l'étape E331, prend la décision de transférer le paquet en cours de traitement vers l'équipement de télécommunication 17 et/ou procède au transfert de celui-ci. Cette opération effectuée, le module d'admission 122 retourne à l'étape E311 en attente d'un nouveau paquet à traiter.In the next step E345, the admission module 122 decides to reject the packet being processed and proceeds to reject it. Once this is done, the admission module 122 returns to step E311 waiting for a new packet to be processed. '• At the step E330 of FIG. 3d, the admission module 122 checks whether the sum of the instantaneous flows of the flows transferred to the telecommunication equipment 17 is less than the minimum threshold associated with the Spriomin minimum priority flows. If so, the admission module 122 goes to the step E331, makes the decision to transfer the packet being processed to the telecommunication equipment 17 and / or proceeds with the transfer thereof. Once this is done, the admission module 122 returns to step E311 waiting for a new packet to be processed.
Si la somme des débits instantanés des flux transférés vers l'équipement de télécommunication 17 est supérieure ou égale au seuil minimal associé aux flux de priorité minimale Spriomin, le module d'admission 122 passe à l'étape E332. A l'étape suivante E332, le module d'admission 122 décide et procède au rejet du paquet en cours de traitement. Cette opération effectuée, le module d'admission 122 retourne à l'étape E311 en attente d'un nouveau paquet à traiter. La Fig. 4 représente un premier algorithme de mise à jour de' la table des règles d'admission lorsqu'au moins une règle est modifiée de manière à ne pas autoriser le transfert de paquets appartenant à un flux vers l'équipement de télécommunication.If the sum of the instantaneous bit rates of the flows transferred to the telecommunication equipment 17 is greater than or equal to the minimum threshold associated with the Spriomin minimum priority flows, the admission module 122 proceeds to the step E332. In the next step E332, the admission module 122 decides and rejects the packet being processed. Once this is done, the admission module 122 returns to step E311 waiting for a new packet to be processed. Fig. 4 represents a first algorithm for updating the admission rule table when at least one rule is modified so as not to allow the transfer of packets belonging to a stream to the telecommunication equipment.
Le module de filtrage 112 exécute le présent algorithme parallèlement aux différentes étapes de l'algorithme précédemment décrit à la Fig. 3.The filtering module 112 executes the present algorithm in parallel with the various steps of the algorithm previously described in FIG. 3.
L'étape E400 est une boucle d'attente de la modification d'au moins une règle de la table d'admission 114 de manière à ne pas autoriser le transfert de paquets appartenant à au moins un flux vers l'équipement de télécommunication 17.The step E400 is a waiting loop for the modification of at least one rule of the admission table 114 so as not to allow the transfer of packets belonging to at least one stream to the telecommunication equipment 17.
Lorsqu'une règle d'admission a été modifiée de manière à ne pas autoriser le transfert d'au moins un flux vers l'équipement de télécommunication 17, le module de filtrage 112 passe à l'étape suivante E401.When an admission rule has been modified so as not to allow the transfer of at least one stream to the telecommunications equipment 17, the filtering module 112 proceeds to the next step E401.
A cette étape, le module de filtrage 112 obtient du module d'admission 122 la somme des débits des différents flux transférés vers l'équipement de télécommunication 17. A l'étape suivante E402, le module de filtrage 112 détermine si la somme obtenue à l'étape E401 est supérieure ou égale à un seuil prédéterminé appelé SRST. Dans la négative, le module d'admission 122 retourne à l'étape E401.At this step, the filtering module 112 obtains from the admission module 122 the sum of the bit rates of the different flows transferred to the telecommunication equipment 17. At the next step E402, the filtering module 112 determines whether the sum obtained at step E401 is greater than or equal to a predetermined threshold called SRST. If not, the admission module 122 returns to step E401.
Si la somme obtenue à l'étape E401 est inférieure au seuil SRST, le module de filtrage 112 passe à l'étape E403. Si la somme obtenue à l'étape E401 est supérieure ou égale au seuil SRST, le module de filtrage 112 retourne à l'étape E401.If the sum obtained in step E401 is less than the threshold SRST, the filtering module 112 proceeds to step E403. If the sum obtained in step E401 is greater than or equal to the threshold SRST, the filtering module 112 returns to step E401.
A l'étape E403, le module de filtrage 112 lit dans la table des règles d'admission 1-14 chaque règle d'admission ayant été modifiée de manière à ne pas autoriser le transfert de paquets appartenant à au moins un flux vers l'équipement de télécommunication 17 ainsi que leur horodatage. A l'étape suivante E404, le module de filtrage 112 considère la première des règles d'admission obtenues précédemment.In step E403, the filtering module 112 reads in the admission rules table 1-14 each admission rule that has been modified so as not to allow the transfer of packets belonging to at least one stream to the packet. telecommunication equipment 17 as well as their time stamp. In the next step E404, the filtering module 112 considers the first of the admission rules obtained previously.
A l'étape suivante E405, le module de filtrage 112 vérifie si Phorodatage associé à la règle en cours de traitement est considéré comme ancien. Un horodatage est considéré comme ancien si la différence entre l'heure et la date courante avec l'horodatage de la règle est supérieure à un seuil prédéterminé.In the next step E405, the filtering module 112 checks whether the timestamp associated with the rule being processed is considered old. A timestamp is considered old if the difference between the current time and date with the rule's timestamp is greater than a predetermined threshold.
Dans la négative, le module de filtrage 112 passe à l'étape E407. Dans l'affirmative, le module d'admission 122 passe à l'étape E406.If not, the filtering module 112 proceeds to step E407. If so, the intake module 122 proceeds to step E406.
A l'étape E406, le module de filtrage 112 modifie la table des règles d'admission 114 de manière à ce que la règle en cours de traitement soit réinitialisée dans l'état où elle était avant la modification, autorisant ainsi le transfert des paquets appartenant aux flux associés aux règles modifiées. Le module de filtrage 112 supprime l'horodatage associé à la règle. Cette opération effectuée, le module de filtrage 112 passe à l'étape suivante E407. A l'étape E405, le module de filtrage 112 vérifie si toutes les règles obtenues à l'étape E403 ont été considérées. Si toutes les règles ont été traitées, le module de filtrage 112 retourne à l'étape E400.In step E406, the filtering module 112 modifies the admission rule table 114 so that the rule being processed is reset. in the state where it was before the change, thus allowing the transfer of packets belonging to the flows associated with the modified rules. The filtering module 112 deletes the time stamp associated with the rule. Once this has been done, the filtering module 112 proceeds to the next step E407. In step E405, the filtering module 112 checks whether all the rules obtained in step E403 have been considered. If all the rules have been processed, the filtering module 112 returns to step E400.
Si toutes les règles n'ont pas été considérées, le module de filtrage 112 passe à l'étape E408, considère la règle suivante et retourne à l'étape E405. Tant que toutes les règles n'ont pas été considérées, le module de filtrage 112 réitère la boucle constituée des étapes E405 à E408.If all the rules have not been considered, the filtering module 112 proceeds to step E408, considers the next rule and returns to step E405. As long as all the rules have not been considered, the filtering module 112 repeats the loop consisting of steps E405 to E408.
La Fig. 5 représente un second algorithme de mise à jour de la table des règles d'admission lorsqu'au moins une règle est modifiée de manière à ne pas autoriser le transfert de paquets appartenant à au moins un flux vers l'équipement de télécommunication.Fig. 5 represents a second algorithm for updating the admission rule table when at least one rule is modified so as not to allow the transfer of packets belonging to at least one stream to the telecommunication equipment.
Le module de filtrage 112 exécute le présent algorithme parallèlement aux différentes étapes de l'algorithme précédemment décrit à la Fig. 3.The filtering module 112 executes the present algorithm in parallel with the various steps of the algorithm previously described in FIG. 3.
L'étape E500 est une boucle d'attente de la modification d'au moins une règle de la table d'admission 114 de manière à ne pas autoriser le transfert de paquets ' ' appartenant à au moins un flux vers l'équipement de télécommunication 17.The step E500 is a waiting loop for the modification of at least one rule of the admission table 114 so as not to allow the transfer of packets belonging to at least one stream to the telecommunication equipment 17.
Lorsqu'une règle d'admission a été modifiée de manière à ne pas autoriser le transfert d'au moins un flux vers l'équipement de télécommunication 17, le module de filtrage 112 passe à l'étape suivante E501.When an admission rule has been modified so as not to authorize the transfer of at least one stream to the telecommunication equipment 17, the filtering module 112 proceeds to the next step E501.
A cette étape, le module de filtrage 112 obtient du module d'admission 122 la somme des débits des différents flux transférés vers l'équipement de télécommunication 17.At this stage, the filtering module 112 obtains from the admission module 122 the sum of the bit rates of the different flows transferred to the telecommunication equipment 17.
A l'étape suivante E503, le module de filtrage 112 détermine si la somme obtenue à l'étape E501 est supérieure ou égale à un seuil prédéterminé appelé SRST. Dans la négative, le module d'admission 122 retourne à l'étape E501. Si la somme obtenue à l'étape E503 est inférieure au seuil SRST, le module de filtrage 112 passe à l'étape E504. A cette étape, le module de filtrage 112 modifie la table des règles d'admission 114 de manière à ce que chaque règle ayant été modifiée soit réinitialisée dans l'état où elle était avant la modification, autorisant ainsi le transfert des paquets appartenant aux flux associés aux règles modifiées. Si la somme obtenue à l'étape E503 est supérieure ou égale au seuil SRST, le module de filtrage 112 retourne à l'étape E501.In the next step E503, the filtering module 112 determines whether the sum obtained in step E501 is greater than or equal to a predetermined threshold called SRST. If not, the admission module 122 returns to step E501. If the sum obtained in step E503 is less than the threshold SRST, the filtering module 112 proceeds to step E504. At this step, the filtering module 112 modifies the admission rules table 114 so that each rule that has been modified is reset in the state where it was before the modification, thus allowing the transfer of the packets belonging to the streams. associated with the changed rules. If the sum obtained in step E503 is greater than or equal to the threshold SRST, the filtering module 112 returns to step E501.
Les étapes du procédé précédemment décrit sont exécutées par un dispositif informatique, en l'espèce le dispositif de contrôle d'admission 100, sous la commande d'instructions logicielles. Par conséquent, l'invention concerne également un programme d'ordinateur pour un dispositif de contrôle d'admission comprenant des instructions logicielles pour faire exécuter le procédé précédemment décrit par le dispositif de contrôle d'admission. Le programme d'ordinateur peut être stocké dans ou transmis par un support de données. Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette magnétique ou un disque dur, ou bien un support transmissible tel qu'un signal électrique, optique ou radio. L'invention concerne également le support de données comportant le programme.The steps of the method described above are performed by a computer device, in this case the admission control device 100, under the control of software instructions. Therefore, the invention also relates to a computer program for an admission control device comprising software instructions for executing the method previously described by the admission control device. The computer program can be stored in or transmitted by a data carrier. This may be a hardware storage medium, for example a CD-ROM, a magnetic diskette or a hard disk, or a transmissible medium such as an electrical signal, optical or radio. The invention also relates to the data medium comprising the program.
Bien entendu, la présente invention n'est nullement limitée aux modes de réalisation décrits ici, mais englobe, bien au contraire, toute variante à la portée de l'homme du métier. Of course, the present invention is not limited to the embodiments described herein, but encompasses, on the contrary, any variant within the scope of those skilled in the art.

Claims

REVENDICATIONS
1) Procédé de contrôle d'admission de paquets de données transférés à travers au moins un réseau de télécommunication, pour la protection d'au moins un équipement de télécommunication, caractérisé en ce que, pour un paquet de données transféré à destination dudit équipement de télécommunication, le procédé comporte les étapes de :1) Method for controlling the admission of data packets transferred through at least one telecommunication network, for the protection of at least one telecommunication equipment, characterized in that, for a data packet transferred to said equipment of telecommunication, the method comprises the steps of:
- identification du paquet (E301) consistant à déterminer si le paquet appartient à un flux autorisé, et- identification of the packet (E301) of determining whether the packet belongs to an authorized stream, and
- en cas d'identification du paquet comme appartenant à un flux autorisé, - détermination (E316, E317) d'une classe de service associée au flux autorisé, et- in case of identification of the packet as belonging to an authorized flow, - determination (E316, E317) of a class of service associated with the authorized flow, and
- prise de décision concernant le transfert du paquet vers l'équipement protégé (E321, E325, E327, E331, E341), ladite décision consistant à autoriser le transfert du paquet vers l'équipement protégé ou à rejeter ledit paquet, en fonction de la classe de service associée au flux autorisé, du débit de ce flux et des débits d'au moins une partie d'autres flux transférés vers l'équipement protégé.- making a decision concerning the transfer of the packet to the protected equipment (E321, E325, E327, E331, E341), said decision consisting of authorizing the transfer of the packet to the protected equipment or rejecting said packet, according to the class of service associated with the authorized stream, the rate of this stream and the bit rates of at least a portion of other streams transferred to the protected equipment.
2) Procédé selon la revendication 1, caractérisé en ce que l'étape d'identification (E301) du paquet consiste à déterminer si le paquet appartient à un flux de l'une des deux catégories de flux comportant respectivement des flux admis et des flux susceptibles d'être admis.2) Method according to claim 1, characterized in that the step of identifying (E301) the packet consists in determining whether the packet belongs to a stream of one of the two categories of flows respectively comprising admitted flows and flows likely to be admitted.
3) Procédé selon la revendication 2, caractérisé en ce que, pour un flux susceptible d'être admis ou pour un flux en cours admis, sont au moins mémorisées des informations identifiant ledit flux, des informations représentatives d'une classe de service associée audit flux, des informations représentatives d'un débit théorique dudit flux et une règle d'admission associée audit flux pouvant être modifiée en fonction du débit dudit flux et des débits d'au moins une partie d'autres flux transférés vers l'équipement de télécommunication et en ce que le transfert du paquet est effectué en fonction de la règle d'admission associée au flux auquel le paquet appartient. 4) Procédé selon la revendication 3, caractérisé en ce que, lorsqu'un paquet appartient à un flux dont la classe de service associée est de priorité maximale, le procédé comporte au moins l'une des étapes suivantes consistant à : - vérifier (E320) si la somme des débits instantanés de l'ensemble des flux transférés vers l'équipement protégé est inférieure à un seuil prédéterminé associé aux flux de priorité maximale et, dans l'affirmative, transférer le paquet (E321),3) Method according to claim 2, characterized in that, for a flow that may be admitted or for a current flow admitted, at least are stored information identifying said flow, information representative of a class of service associated with said auditory flow, information representative of a theoretical flow of said flow and an admission rule associated with said flow can be modified according to the flow rate of said flow and flow rates of at least a portion of other flows transferred to the telecommunication equipment and in that the packet transfer is performed according to the admission rule associated with the stream to which the packet belongs. 4) Method according to claim 3, characterized in that, when a packet belongs to a stream whose associated class of service is of highest priority, the method comprises at least one of the following steps consisting in: - checking (E320 ) if the sum of the instantaneous bit rates of all flows transferred to the protected equipment is less than a predetermined threshold associated with the maximum priority flows and, if so, to transfer the packet (E321),
- vérifier (E322) si le débit instantané du flux auquel appartient le paquet est inférieur à un débit théorique dudit flux et transférer le paquet (E323) dans l'affirmative ou rejeter le paquet dans la négative (E324).- checking (E322) whether the instantaneous flow rate of the stream to which the packet belongs is less than a theoretical flow rate of said flow and transferring the packet (E323) in the affirmative or rejecting the packet in the negative (E324).
5) Procédé selon la revendication 4, caractérisé en ce que, lorsqu'un paquet appartient à un flux dont la classe de service associée est de priorité minimale, le procédé comporte les étapes suivantes consistant à : - vérifier (E330) si la somme des débits instantanés de l'ensemble des flux transférés vers l'équipement de télécommunication est inférieure à un seuil minimal prédéterminé, associé aux flux de priorité minimale, et décider de transférer le paquet (E331) dans l'affirmative, et décider de rejeter ledit paquet (E332) dans la négative.5) Method according to claim 4, characterized in that, when a packet belongs to a stream whose associated class of service is of minimum priority, the method comprises the following steps: - checking (E330) whether the sum of the instantaneous bit rates of all flows transferred to the telecommunication equipment is less than a predetermined minimum threshold, associated with the minimum priority streams, and decide to transfer the packet (E331) in the affirmative, and decide to reject said packet (E332) in the negative.
" 6) Procédé selon la revendication 5, caractérisé en ce que, lorsqu'un paquet appartient à un flux dont la classe de service associée est de priorité intermédiaire, le procédé comporte les étapes suivantes consistant à : "6) The method of claim 5, characterized in that, when a packet belongs to a flow whose associated service class is of intermediate priority, the method comprises the following steps:
- vérifier (E340) si la somme des débits instantanés de l'ensemble des flux transférés vers l'équipement de télécommunication est inférieure à un seuil prédéterminé associé aux flux de priorité intermédiaire,checking (E340) whether the sum of the instantaneous bit rates of all the flows transferred to the telecommunication equipment is less than a predetermined threshold associated with the intermediate priority flows,
- transférer le paquet (E341) dans raffïrmative,- to transfer the packet (E341) in a flash,
- dans la négative, vérifier (E342) si le débit instantané du flux auquel appartient le paquet est inférieur au débit théorique dudit flux, et,in the negative, verify (E342) whether the instantaneous flow rate of the flow to which the packet belongs is lower than the theoretical flow rate of said flow, and
- dans la négative, rejeter le paquet reçu (E343), - dans l'affirmative, modifier (E344) la règle d'admission associée au flux auquel le paquet appartient pour rejeter de nouveaux paquets appartenant audit flux, et rejeter (E345) ledit paquet. 7) Procédé selon la revendication 5 ou 6, caractérisé en ce qtie si au moins une règle d'admission associée à un flux est modifiée pour rejeter de nouveaux paquets appartenant au flux, le procédé comporte les étapes successives suivantes consistant à : - vérifier (E402) si la somme des débits instantanés de l'ensemble des flux transférés vers l'équipement protégé est inférieure à un seuil prédéterminé et, dans P affirmative,- if not, reject the received packet (E343), - if yes, modify (E344) the admission rule associated with the stream to which the packet belongs to reject new packets belonging to said stream, and reject (E345) said package. 7) A method according to claim 5 or 6, characterized in that if at least one admission rule associated with a stream is modified to reject new packets belonging to the stream, the method comprises the following successive steps of: - checking ( E402) if the sum of the instantaneous flows of all flows transferred to the protected equipment is less than a predetermined threshold and, in the affirmative P,
- vérifier (E405) si la date et/ou l'heure de modification de la règle d'admission est ancienne et, - dans l'affirmative, réinitialiser (E406) la règle d'admission associée au flux auquel ledit paquet appartient pour autoriser le transfert de nouveaux paquets appartenant au flux.- check (E405) whether the admission rule modification date and / or time is old and, if so, reset (E406) the admission rule associated with the stream to which said packet belongs to allow the transfer of new packets belonging to the stream.
8) Procédé selon la revendication 5 ou 6, caractérisé en ce que si au moins une règle d'admission associée à un flux est modifiée pour rejeter de nouveaux paquets appartenant au flux, le procédé comporte les étapes successives suivantes consistant à :8) Method according to claim 5 or 6, characterized in that if at least one admission rule associated with a stream is modified to reject new packets belonging to the stream, the method comprises the following successive steps consisting of:
- vérifier (E5O3) si la somme des débits instantanés de l'ensemble des flux transférés vers l'équipement protégé est inférieure à un seuil prédéterminé et, dans - l'affirmative,- checking (E5O3) whether the sum of the instantaneous flows of all flows transferred to the protected equipment is less than a predetermined threshold and, if so,
- réinitialiser (E504) la règle d'admission associée à chaque flux dont la règle a été préalablement modifiée pour autoriser le transfert de nouveaux paquets appartenant à chacun desdits flux.- reset (E504) the admission rule associated with each stream whose rule has been modified beforehand to allow the transfer of new packets belonging to each of said streams.
9) Dispositif de contrôle d'admission d'un paquet reçu, transféré à travers un réseau de télécommunication à destination d'au moins un équipement de télécommunication, pour la protection du ou de chaque équipement de télécommunication, caractérisé en ce que le dispositif de contrôle d'admission comporte: - des moyens d'identification du paquet (112, 114, 116), agencés pour déterminer si le paquet reçu appartient à un flux autorisé,9) Admission control device of a received packet, transferred through a telecommunication network to at least one telecommunication equipment, for the protection of the or each telecommunication equipment, characterized in that the device for admission control comprises: - packet identification means (112, 114, 116), arranged to determine whether the received packet belongs to an authorized flow,
- des moyens de détermination de la classe de service (114, 124) associée au flux autorisé auquel le paquet appartient, - des moyens de prise de décision (112, 122) concernant le transfert du paquet vers l'équipement protégé, agencés pour, dans le cas où le paquet appartient à un flux autorisé, déterminer si le transfert dudit paquet vers l'équipement protégé doit être autorisé ou si le paquet doit être rejeté, en fonction de la classe de service associée au flux auquel le paquet appartient et des débits d'au moins une partie d'autres flux transférés vers l'équipement protégé.means for determining the class of service (114, 124) associated with the authorized stream to which the packet belongs, decision-making means (112, 122) concerning the transfer of the packet to the protected equipment, arranged for, in the case where the packet belongs to an authorized flow, determining whether the transfer of said packet to the protected equipment must be authorized or if the packet is to be rejected, depending on the class of service associated with the stream to which the packet belongs and the bit rates of at least some of the other flows transferred to the protected equipment.
10) Programme d'ordinateur pour un dispositif de contrôle d'admission, ledit programme comportant des instructions pour commander l'exécution du procédé selon l'une quelconque des revendications 1 à 8 par le dispositif de contrôle d'admission, lorsqu'il est chargé et exécuté par celui-ci.10) computer program for an admission control device, said program comprising instructions for controlling the execution of the method according to any one of claims 1 to 8 by the admission control device, when it is charged and executed by it.
11) Support de données comportant le programme d'ordinateur selon la revendication 10. 11) Data carrier comprising the computer program according to claim 10.
PCT/FR2006/001516 2005-06-30 2006-06-28 Method for controlling the admission of data packets WO2007003764A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0506695 2005-06-30
FR0506695A FR2888066A1 (en) 2005-06-30 2005-06-30 METHOD FOR CONTROLLING THE ADMISSION OF DATA PACKETS

Publications (2)

Publication Number Publication Date
WO2007003764A2 true WO2007003764A2 (en) 2007-01-11
WO2007003764A3 WO2007003764A3 (en) 2007-03-15

Family

ID=35395623

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/001516 WO2007003764A2 (en) 2005-06-30 2006-06-28 Method for controlling the admission of data packets

Country Status (2)

Country Link
FR (1) FR2888066A1 (en)
WO (1) WO2007003764A2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102316536A (en) * 2011-09-16 2012-01-11 中兴通讯股份有限公司 Method and gateway for regulating webpage contents

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
BENAMEUR N ET AL: "Quality of service and flow level admission control in the Internet" COMPUTER NETWORKS, ELSEVIER SCIENCE PUBLISHERS B.V., AMSTERDAM, NL, vol. 40, no. 1, septembre 2002 (2002-09), pages 57-71, XP004374122 ISSN: 1389-1286 *
BLAKE S ET AL: "RFC 2475: An Architecture for Differentiated Services" IETF STANDARD, INTERNET ENGINEERING TASK FORCE, IETF, CH, décembre 1998 (1998-12), XP015008259 ISSN: 0000-0003 *
LE FAUCHEUR CISCO SYSTEMS F ET AL: "Requirements for Support of Differentiated Services-aware" IETF STANDARD, INTERNET ENGINEERING TASK FORCE, IETF, CH, juillet 2003 (2003-07), XP015009346 ISSN: 0000-0003 *
NICHOLS K ET AL: "RFC 2474 - Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers" IETF RFC, décembre 1998 (1998-12), XP002171920 *
RAJAN/S KAMAT/J C MARTIN AT&T/IBM/SUN MICROSYSTEMS M SEE/ R CHAUDHURY IBM/XYLAN/ TELSTRA D VERMA/ G POWERS/ R YAVATKAR IBM/ PACKET: "Policy Action Classes for Differentiated Services and Integrated Services" IETF STANDARD-WORKING-DRAFT, INTERNET ENGINEERING TASK FORCE, IETF, CH, no. 1, 5 avril 1999 (1999-04-05), XP015034208 ISSN: 0000-0004 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102316536A (en) * 2011-09-16 2012-01-11 中兴通讯股份有限公司 Method and gateway for regulating webpage contents
CN102316536B (en) * 2011-09-16 2018-01-12 中兴通讯股份有限公司 A kind of method and gateway for adjusting web page contents

Also Published As

Publication number Publication date
WO2007003764A3 (en) 2007-03-15
FR2888066A1 (en) 2007-01-05

Similar Documents

Publication Publication Date Title
US7990870B2 (en) Peer-to-peer traffic management based on key presence in peer-to-peer control transfers
KR101110956B1 (en) Method and unit for classifying traffic in ip networks
US7478429B2 (en) Network overload detection and mitigation system and method
JP4768020B2 (en) Method of defending against DoS attack by target victim self-identification and control in IP network
CN110099027B (en) Service message transmission method and device, storage medium and electronic device
US8526318B2 (en) Method and device of identifying the payload of a data packet in a TCP stream
US20130294449A1 (en) Efficient application recognition in network traffic
WO2006013292A1 (en) Method, device and system for protecting a server against dns denial-of-service attacks
FR2924552A1 (en) METHOD OF SECURING A BIDIRECTIONAL COMMUNICATION CHANNEL AND DEVICE FOR IMPLEMENTING THE METHOD
CN101026576A (en) Pattern matching method and device for processing fragmented message string giving consideration to matching strategy
WO2007003764A2 (en) Method for controlling the admission of data packets
KR101118398B1 (en) Method and apparatus for overriding denunciations of unwanted traffic in one or more packet networks
CN115017502A (en) Flow processing method and protection system
US9385992B2 (en) Inline key-based peer-to-peer processing
KR102174462B1 (en) Method for network security and system performing the same
US8051167B2 (en) Optimized mirror for content identification
CN116318785A (en) Identification method and system for fake attack traffic
EP3087719B1 (en) Method of slowing down a communication in a network
US20100212006A1 (en) Peer-to-peer traffic management based on key presence in peer-to-peer data transfers
EP3641268B1 (en) Method for communication of an object with a network of connected objects to report that a clone could potentially be identified as the object in the network
KR20060064474A (en) Apparatus and method for controlling bandwidth using token bucket
EP2815547A1 (en) Technique for processing a data stream between a server and a client entity
CN115622754B (en) Method, system and device for detecting and preventing MQTT loopholes
KR102046612B1 (en) The system for defending dns amplification attacks in software-defined networks and the method thereof
WO2011144074A2 (en) Interception method, interception system and safety split-flow device

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06778708

Country of ref document: EP

Kind code of ref document: A2