WO2007074283A2 - Procede de controle dynamique d'adresses de controle d'acces a un reseau ethernet - Google Patents

Procede de controle dynamique d'adresses de controle d'acces a un reseau ethernet Download PDF

Info

Publication number
WO2007074283A2
WO2007074283A2 PCT/FR2006/051377 FR2006051377W WO2007074283A2 WO 2007074283 A2 WO2007074283 A2 WO 2007074283A2 FR 2006051377 W FR2006051377 W FR 2006051377W WO 2007074283 A2 WO2007074283 A2 WO 2007074283A2
Authority
WO
WIPO (PCT)
Prior art keywords
access control
terminal
equipment
control address
virtual access
Prior art date
Application number
PCT/FR2006/051377
Other languages
English (en)
Other versions
WO2007074283A3 (fr
Inventor
Stéphane BOIZARD
Mickael Allain
Mathieu Langlais
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2007074283A2 publication Critical patent/WO2007074283A2/fr
Publication of WO2007074283A3 publication Critical patent/WO2007074283A3/fr

Links

Classifications

    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47JKITCHEN EQUIPMENT; COFFEE MILLS; SPICE MILLS; APPARATUS FOR MAKING BEVERAGES
    • A47J31/00Apparatus for making beverages
    • A47J31/06Filters or strainers for coffee or tea makers ; Holders therefor
    • A47J31/0657Filters or strainers for coffee or tea makers ; Holders therefor for brewing coffee under pressure, e.g. for espresso machines
    • A47J31/0668Filters or strainers for coffee or tea makers ; Holders therefor for brewing coffee under pressure, e.g. for espresso machines specially adapted for cartridges
    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47JKITCHEN EQUIPMENT; COFFEE MILLS; SPICE MILLS; APPARATUS FOR MAKING BEVERAGES
    • A47J31/00Apparatus for making beverages
    • A47J31/24Coffee-making apparatus in which hot water is passed through the filter under pressure, i.e. in which the coffee grounds are extracted under pressure
    • A47J31/34Coffee-making apparatus in which hot water is passed through the filter under pressure, i.e. in which the coffee grounds are extracted under pressure with hot water under liquid pressure
    • A47J31/36Coffee-making apparatus in which hot water is passed through the filter under pressure, i.e. in which the coffee grounds are extracted under pressure with hot water under liquid pressure with mechanical pressure-producing means
    • A47J31/3604Coffee-making apparatus in which hot water is passed through the filter under pressure, i.e. in which the coffee grounds are extracted under pressure with hot water under liquid pressure with mechanical pressure-producing means with a mechanism arranged to move the brewing chamber between loading, infusing and ejecting stations
    • A47J31/3623Cartridges being employed
    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47JKITCHEN EQUIPMENT; COFFEE MILLS; SPICE MILLS; APPARATUS FOR MAKING BEVERAGES
    • A47J31/00Apparatus for making beverages
    • A47J31/24Coffee-making apparatus in which hot water is passed through the filter under pressure, i.e. in which the coffee grounds are extracted under pressure
    • A47J31/34Coffee-making apparatus in which hot water is passed through the filter under pressure, i.e. in which the coffee grounds are extracted under pressure with hot water under liquid pressure
    • A47J31/36Coffee-making apparatus in which hot water is passed through the filter under pressure, i.e. in which the coffee grounds are extracted under pressure with hot water under liquid pressure with mechanical pressure-producing means
    • A47J31/3666Coffee-making apparatus in which hot water is passed through the filter under pressure, i.e. in which the coffee grounds are extracted under pressure with hot water under liquid pressure with mechanical pressure-producing means whereby the loading of the brewing chamber with the brewing material is performed by the user
    • A47J31/3676Cartridges being employed
    • AHUMAN NECESSITIES
    • A47FURNITURE; DOMESTIC ARTICLES OR APPLIANCES; COFFEE MILLS; SPICE MILLS; SUCTION CLEANERS IN GENERAL
    • A47JKITCHEN EQUIPMENT; COFFEE MILLS; SPICE MILLS; APPARATUS FOR MAKING BEVERAGES
    • A47J31/00Apparatus for making beverages
    • A47J31/24Coffee-making apparatus in which hot water is passed through the filter under pressure, i.e. in which the coffee grounds are extracted under pressure
    • A47J31/34Coffee-making apparatus in which hot water is passed through the filter under pressure, i.e. in which the coffee grounds are extracted under pressure with hot water under liquid pressure
    • A47J31/36Coffee-making apparatus in which hot water is passed through the filter under pressure, i.e. in which the coffee grounds are extracted under pressure with hot water under liquid pressure with mechanical pressure-producing means
    • A47J31/3666Coffee-making apparatus in which hot water is passed through the filter under pressure, i.e. in which the coffee grounds are extracted under pressure with hot water under liquid pressure with mechanical pressure-producing means whereby the loading of the brewing chamber with the brewing material is performed by the user
    • A47J31/3676Cartridges being employed
    • A47J31/368Permeable cartridges being employed
    • A47J31/3685Brewing heads therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5038Address allocation for local use, e.g. in LAN or USB networks, or in a controller area network [CAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses

Definitions

  • the present invention relates to a method for dynamically controlling at least one access control address of at least one terminal to a bus-type broadcast network via a frame switching equipment.
  • the invention finds a particularly advantageous, but not limiting, application in the field of securing access to bus-type broadcast networks, such as Ethernet networks.
  • the invention applies to equipment known as the DSLAM ("Digital Subscriber Access Multiplexer”), based on a type of operation switching Ethernet frames.
  • DSLAM Digital Subscriber Access Multiplexer
  • the DSLAM operates according to Ethernet frame switching.
  • a DSLAM has two different types of interfaces:
  • the filling of the Ethernet switching table is done dynamically. Indeed, on receiving an Ethernet frame coming from a line, the DSLAM fills the switching table associated with it, indicating the correspondence between the line and the physical address of access control, or MAC address ( "Medium Access Control") noted @mac, the source terminal of this frame. This @mac physical address is assigned by the manufacturer of the terminal's Ethernet port. It is usually static, but can be modified using dedicated software. This learning allows the DSLAM to maintain a lookup table [X-line O @ mac-X]. The switching of an Ethernet frame having the destination address @ mac-X is then done via this correspondence table, thus to the line-X by the DSLAM.
  • MAC address Medium Access Control
  • This mode of operation has the major drawback that the frame switching is done on a data not controlled by the operator of the network attached downstream of the Ethernet network, namely the physical address @ MAC terminals. Indeed, problems can arise if two terminals connected to the same DSLAM have the same physical address @mac, whether it is spoofed or not.
  • This technique consists in associating on a DSLAM a number n of @mac addresses to a line.
  • the DSLAM receives a frame from a terminal, it replaces the @ MAC address of the terminal with one of the n addresses associated with the line, and switches the frame thus transformed to the correct destination.
  • This method allows the use of the same @mac address on different lines, the @mac addresses at the output of the DSLAM to the collection network being different because managed by the operator.
  • the same operation for modifying the @mac address in the return direction that is to say from the network to the terminal, is performed by the DSLAM.
  • VLAN Stacking is also known which consists in setting up S-VLANs ("Service-Virtual Local Area Network") / C-VLANs ("Customer Virtual Local Area Network”) at the level of the collection network. .
  • S-VLANs Service-Virtual Local Area Network
  • C-VLANs Customer Virtual Local Area Network
  • the purpose of this technique is to use the authentication / management principles related to DHCP.
  • the DSLAM no longer acts as frame switching, but performs only cross-connection actions, returning a packet arriving on a client line automatically to an Ethernet virtual path, and vice versa. Control of the use of @mac addresses is then performed by the network equipment terminating these virtual paths and not by the DSLAM.
  • the limitations of this technique are the heavy management in terms of virtual path for the network of the operator, and the dependence thus achieved between the DSLAM and the equipment of the collection network.
  • the technical problem to be solved by the object of the present invention is to propose a method of dynamically controlling at least one access control address of at least one terminal to a bus-type broadcast network via a frame switching equipment, said terminal having at least one physical access control address associated with a line between the terminal and said equipment, which would make it possible to secure the use of said equipment, in particular a DSLAM operating in Ethernet frame switching, while implementing low-cost resources in equipment and management at the operator level.
  • the solution to the technical problem posed consists, according to the invention, in that said method comprises the steps of: for the terminal, transmitting to the equipment a request for assigning a virtual access control address, said request containing, at least, a physical access control address of the terminal,
  • the method according to the invention consists in implementing a mechanism for dynamically allocating virtual @ MAC addresses to the terminals used downstream of a DSLAM.
  • the terminals then use at least one virtual @mac address dynamically assigned to them by the DSLAM.
  • the DSLAM then completely checks the data of its switching table.
  • DSLAM network access control can be further enhanced if, according to the invention, said response of the equipment further contains an allocation duration of said virtual access control address, said allocation duration being registered in said correspondence table.
  • the equipment upon request from the terminal before expiry of said allocation period, renews the allocation of the same virtual access control address.
  • the invention also provides that at the expiry of said allocation period, the equipment clears said allocation of the correspondence table and filters the requests sent with said virtual access control address.
  • the operator has the ability to fully control the addresses carried on the Ethernet network, for example, because it manages a network which it completely defines the topology dynamically. It can therefore, therefore, guard against the spoofing or duplication of @mac addresses on the same DSLAM.
  • the invention also allows the implementation of added services based on MAC addressing in an Ethernet collection network. Indeed, controlling the @mac addresses circulating on the network, the operator can provide, for example, personalized services of filtering, authentication, prioritization, etc., based on the basis of virtual @ MAC addresses certified by the operator.
  • the invention provides that said request further contains service identification data based on the access control addressing, the response of the equipment also containing said identification data of said services.
  • the invention proposes that said request also contains identification data of a service associated with said virtual access control address, the response of the equipment. also containing said identification data of said service. It is then possible to implement quality of service rules based on virtual MAC addressing.
  • the invention can advantageously be implemented in the multimedia services deployed today on the Ethernet type of collection networks, that is to say, for example, voice / video telephony services over IP ( V 2 OlP), but also audiovisual and data services.
  • VoIP Voice over IP
  • a practical example of application is the introduction of the method according to the invention in the first-line services in Voice over IP (VoIP) technology, making it possible to guard against denials of services, by duplication or spoofing of addresses. mac.
  • VoIP Voice over IP
  • the invention also relates to a system for dynamically controlling at least one access control address of at least one terminal to a bus-type broadcast network via a frame switching equipment, said terminal having at least one address physical access control associated with a line between the terminal and said equipment, characterized in that said system comprises:
  • said equipment means for transmitting to the terminal a response to said request containing a virtual access control address assigned to the terminal, said virtual access control address being chosen from a list of control addresses of virtual accesses available on said line, and a mapping table for assigning said virtual access control address to the physical access control address associated with the line.
  • said correspondence table also contains a duration for assigning said virtual access control address.
  • the invention also relates to a terminal for a system for dynamically controlling at least one access control address from a terminal to a bus-type broadcast network via a frame switching equipment, said terminal having at least one address physical access control associated with a line between the terminal and said equipment, notable in that said terminal comprises means for transmitting to the equipment a request for assigning a virtual access control address, said request containing, at least, a physical access control address of the terminal.
  • the invention further relates to a frame switching equipment for a system for dynamically controlling at least one access control address of at least one terminal to a bus-type broadcast network via said equipment, said terminal having at least one physical access control address associated with a line between the terminal and said equipment, characterized in that said equipment comprises means for storing a list of virtual access control addresses available on said line, means for assigning to the terminal a virtual access control address extracted from said list, and a mapping table for assigning said virtual access control address to the physical access control address associated with the line.
  • the invention also relates to a computer program for a terminal suitable for a system for dynamically controlling at least one access control address of said terminal to a bus-type broadcast network via a frame switching equipment, the program comprising instructions for controlling the execution by the terminal of the steps of the method according to the invention, implemented by said terminal, when said program is executed by it.
  • the invention relates to a computer program for a frame switching equipment suitable for a dynamic control system of at least one access control address of at least one terminal to a broadcast network of type bus via said equipment of a bus-type broadcast network, the program comprising instructions for control the execution by said equipment of the steps of the method according to the invention, implemented by said equipment, when said program is executed by it.
  • Figure 1 is a diagram of a dynamic address control system according to the invention.
  • FIG. 2a is a table giving the structure of a request sent by a terminal to the switching equipment of FIG. 1.
  • FIG. 2b is a table giving the structure of the response of the switching equipment to the request of FIG. 2a.
  • FIG. 1 shows a system for dynamically controlling an access control address of a terminal 10 to a bus-type broadcast collection network R2, such as an Ethernet network for example, connected to a router 30 allowing, for example, access to an IP backbone network and from there to at least one service such as voice or video telephony over IP (V 2 OlP).
  • a bus-type broadcast collection network R2 such as an Ethernet network for example
  • a router 30 allowing, for example, access to an IP backbone network and from there to at least one service such as voice or video telephony over IP (V 2 OlP).
  • V 2 OlP voice or video telephony over IP
  • Ethernet access network R1 an Ethernet access network R1 and an Ethernet frame switching equipment 20, such as a DSLAM.
  • said switching equipment may also be a WiFi terminal for example.
  • the terminal 10 has at least one MAC physical address @mac noted.
  • the method implemented by the dynamic control system of FIG. 1 is as follows.
  • the line of the terminal 10 is configured at the level of the DSLAM 20 with one or more @mac physical addresses and, where appropriate, a distribution of addresses by service, as recalled above.
  • the terminal 10 at the time of its attachment to the network R1 transmits to the equipment 20 a request for allocation of a virtual access control address, an example of structure is shown in Figure 2a.
  • This request contains, in particular, as information a request identifier and the physical Ethernet address @ MAC of the terminal card 10.
  • the frame is transmitted in client / server (broadcast Ethernet) mode with the physical address @ MAC as the source address.
  • the request sent may also contain, optionally, identification data for authentication / encryption / prioritization, or data related to the identification of the service associated with the physical address @mac in the case of a multiservice terminal.
  • the request is received by the DSLAM 20, which checks whether a virtual @mac address is available on the line, possibly with a selection by service if it is activated.
  • the DSLAM 20 does not respond to the request.
  • the DSLAM 20 issues a response to the client's request to its physical @mac address.
  • the structure of this answer is given in Figure 2b.
  • the DSLAM 20 response indicates the identifier of the request, the assigned virtual @ MAC address and an allocation duration.
  • the response also contains the various credentials in the request.
  • the DSLAM 20 then writes in a correspondence table the allocation of the virtual @mac address to the physical @mac address associated with the line, with the corresponding allocation duration.
  • the DSLAM 20 renews the assignment by replying with the same virtual @mac address.
  • the DSLAM 20 erases the allocation of its correspondence table and filters the requests issued with this address become not allocated.
  • the invention also relates to: a program for the terminal 10 comprising instructions for controlling the execution by the terminal of those steps of the method which are implemented by the terminal 10, when said program is executed by it, and a program for the equipment 20 comprising instructions for controlling the execution by the equipment 20 of those of the process steps which are implemented by the equipment 20, when said program is executed by it.
  • the respective programs of the terminal 10 and the equipment 20 can be stored in or transmitted by a data carrier.
  • a data carrier may be a hardware storage medium, for example a CD-ROM, a magnetic diskette or a hard disk, or a transmissible medium such as an electrical signal, optical or radio.

Abstract

Procédé de contrôle dynamique d'au moins une adresse de contrôle d'accès d'au moins un terminal (10) à un réseau (R2) à diffusion de type bus via un équipement (20) à commutation de trames, ledit terminal possédant au moins une adresse physique de contrôle d'accès associée à une ligne entre le terminal (10) et ledit équipement (20). Selon l'invention, ledit procédé comprend les étapes consistant: - pour le terminal (10), à émettre vers l'équipement (20) une requête d'attribution d'une adresse de contrôle d'accès virtuelle, ladite requête contenant, au moins, une adresse physique de contrôle d'accès du terminal (10), - pour ledit équipement (20), à émettre vers le terminal (10) une réponse à ladite requête, contenant une adresse de contrôle d'accès virtuelle attribuée au terminal, ladite adresse de contrôle d'accès virtuelle étant choisie dans une liste d'adresses de contrôle d'accès virtuelles disponibles sur ladite ligne, et à inscrire dans une table de correspondance l'attribution de ladite adresse de contrôle d'accès virtuelle à l'adresse physique de contrôle d'accès associée à la ligne. Application à la sécurisation des accès à un réseau Ethernet.

Description

PROCEDE DE CONTROLE DYNAMIQUE D'ADRESSES DE CONTROLE D'ACCES A UN RESEAU ETHERNET
La présente invention concerne un procédé de contrôle dynamique d'au moins une adresse de contrôle d'accès d'au moins un terminal à un réseau à diffusion de type bus via un équipement à commutation de trames.
L'invention trouve une application particulièrement avantageuse, mais non limitative, dans le domaine de la sécurisation des accès à des réseaux de diffusion de type bus, comme les réseaux Ethernet.
De manière plus spécifique, l'invention s'applique à des équipements connus sous le nom de DSLAM (« Digital Subscriber Une Access Multiplexer »), basés sur un fonctionnement de type commutation de trames Ethernet.
Actuellement, le déploiement des réseaux de collecte s'oriente en partie vers les DSLAM à matrice Ethernet. En effet, cette technologie se révèle plus économique que les technologies de collecte ATM (« Asynchronous Transfer
Mode »). Dans les architectures de collecte Ethernet, le DSLAM fonctionne selon la commutation de trames Ethernet.
Un DSLAM dispose de deux types d'interfaces distinctes :
- les interfaces vers le réseau de collecte et
- les interfaces vers les terminaux clients que l'on appellera « lignes » dans la suite de ce mémoire. Le remplissage de la table de commutation Ethernet se fait dynamiquement. En effet, à la réception d'une trame Ethernet venant d'une ligne, le DSLAM remplit la table de commutation qui lui est associée en indiquant la correspondance entre la ligne et l'adresse physique de contrôle d'accès, ou adresse MAC (« Médium Access Control ») notée @mac, du terminal source de cette trame. Cette adresse physique @mac est attribuée par le constructeur du port Ethernet du terminal. Elle est généralement statique, mais peut être modifiée à l'aide d'un logiciel dédié. Cet apprentissage permet au DSLAM de conserver une table de correspondance [ligne-X O @mac-X]. La commutation d'une trame Ethernet ayant l'adresse de destination @mac-X se fait ensuite via cette table de correspondance, donc vers la ligne-X par le DSLAM. Ce mode de fonctionnement présente toutefois l'inconvénient majeur que la commutation de trames se fait sur une donnée non contrôlée par l'opérateur du réseau accolé en aval du réseau Ethernet, à savoir l'adresse physique @mac des terminaux. En effet, des problèmes peuvent apparaître si deux terminaux raccordés sur le même DSLAM possèdent la même adresse physique @mac, qu'elle soit usurpée ou non.
Cette situation induit des possibilités d'usurpation ou de déni de service, non compatibles avec des services à très haute disponibilité, tels que l'offre de téléphonie "première ligne" sur accès haut débit qui ne peut faire l'objet de déni de service pour des raisons de sécurité. Afin d'introduire une meilleure sécurisation des accès au réseau, on peut utiliser une technique reposant sur la translation d'adresses @mac sur le DSLAM.
Cette technique consiste à associer sur un DSLAM un nombre n d'adresses @mac à une ligne. Quand le DSLAM reçoit une trame venant d'un terminal, il remplace l'adresse @mac du terminal par une des n adresses associées à la ligne, et commute la trame ainsi transformée vers la bonne destination. Ce procédé permet l'utilisation d'une même adresse @mac sur différentes lignes, les adresses @mac en sortie du DSLAM vers le réseau de collecte étant différentes car gérées par l'opérateur. La même opération de modification de l'adresse @mac dans le sens retour, c'est-à-dire du réseau vers terminal, est effectuée par le DSLAM.
Cependant, cette implémentation implique une action du DSLAM sur chaque trame Ethernet commutée. En effet, chaque trame commutée, dans le sens réseau vers terminal ou terminal vers réseau, doit être transformée, ce qui nécessite une utilisation importante de ressources machines.
D'autre part, cette technique ne résout pas le problème d'usurpation d'adresses entre le terminal et le DSLAM. On connaît également une technique dite « VLAN Stacking » qui consiste à mettre en place des S-VLAN (« Service- Virtual Local Area Network »)/C-VLAN (« Customer-Virtual Local Area Network ») au niveau du réseau de collecte. L'objet de cette technique est d'utiliser les principes d'authentification/gestion liés au protocole DHCP. Dans ce cas, le DSLAM n'agit plus en commutation de trames, mais réalise uniquement des actions de connexion croisée (« cross-connection »), renvoyant un paquet arrivant sur une ligne cliente automatiquement vers un conduit virtuel Ethernet, et réciproquement. Le contrôle de l'utilisation des adresses @mac est ensuite réalisé par l'équipement réseau terminant ces conduits virtuels et non par le DSLAM. Les limitations de cette technique sont la gestion lourde en termes de conduit virtuel pour le réseau de l'opérateur, et la dépendance ainsi réalisée entre le DSLAM et les équipements du réseau de collecte.
Aussi, le problème technique à résoudre par l'objet de la présente invention est de proposer un procédé de contrôle dynamique d'au moins une adresse de contrôle d'accès d'au moins un terminal à un réseau à diffusion de type bus via un équipement à commutation de trames, ledit terminal possédant au moins une adresse physique de contrôle d'accès associée à une ligne entre le terminal et ledit équipement, qui permettrait de sécuriser l'utilisation dudit équipement, notamment un DSLAM fonctionnant en commutation de trames Ethernet, tout en mettant en œuvre des moyens peu coûteux en ressources au niveau de l'équipement et en gestion au niveau de l'opérateur.
La solution au problème technique posé consiste, selon l'invention, en ce que ledit procédé comprend les étapes consistant : - pour le terminal, à émettre vers l'équipement une requête d'attribution d'une adresse de contrôle d'accès virtuelle, ladite requête contenant, au moins, une adresse physique de contrôle d'accès du terminal,
- pour ledit équipement, à émettre vers le terminal une réponse à ladite requête, contenant une adresse de contrôle d'accès virtuelle attribuée au terminal, ladite adresse de contrôle d'accès virtuelle étant choisie dans une liste d'adresses de contrôle d'accès virtuelles disponibles sur ladite ligne, et à inscrire dans une table de correspondance l'attribution de ladite adresse de contrôle d'accès virtuelle à l'adresse physique de contrôle d'accès associée à la ligne.
Ainsi, le procédé conforme à l'invention consiste à implémenter un mécanisme d'attribution dynamique d'adresses @mac virtuelles aux terminaux utilisés en aval d'un DSLAM. Les terminaux utilisent alors au moins une adresse @mac virtuelle qui leur est attribuée dynamiquement par le DSLAM. Le DSLAM contrôle alors entièrement les données de sa table de commutation.
Le contrôle d'accès au réseau par le DSLAM peut encore être renforcé si, selon l'invention, ladite réponse de l'équipement contient en outre une durée d'attribution de ladite adresse de contrôle d'accès virtuelle, ladite durée d'attribution étant inscrite dans ladite table de correspondance.
Selon un mode de réalisation particulier de l'invention, il est prévu que, sur demande du terminal avant expiration de ladite durée d'attribution, l'équipement renouvelle l'attribution de la même adresse de contrôle d'accès virtuelle. Dans ce même contexte, l'invention prévoit également qu'à l'expiration de ladite durée d'attribution, l'équipement efface ladite attribution de la table de correspondance et filtre les requêtes émises avec ladite adresse de contrôle d'accès virtuelle. De cette manière, l'opérateur a la possibilité de maîtriser totalement les adresses véhiculées sur le réseau Ethernet, par exemple, car il gère un réseau dont il définit complètement la topologie dynamiquement. Il peut donc, en conséquence, se prémunir des usurpations ou duplications d'adresses @mac sur un même DSLAM. L'invention permet également la mise en œuvre de services ajoutés basés sur l'adressage MAC dans un réseau de collecte Ethernet. En effet, contrôlant les adresses @mac circulant sur le réseau, l'opérateur peut fournir par exemple des services personnalisés de filtrage, d'authentification, de priorisation, etc., fondés sur la base d'adresses @mac virtuelles certifiées par l'opérateur.
Dans ce but, l'invention prévoit que ladite requête contient en outre des données d'identification de services basés sur l'adressage de contrôle d'accès, la réponse de l'équipement contenant également lesdites données d'identification desdits services.
Par ailleurs, dans le cas d'un terminal multi-service, l'invention propose que ladite requête contienne en outre des données d'identification d'un service associé à ladite adresse de contrôle d'accès virtuelle, la réponse de l'équipement contenant également lesdites données d'identification dudit service. Il est alors possible de mettre en place des règles de qualité de service sur la base de l'adressage MAC virtuel.
On comprend alors que l'invention puisse être mise en œuvre avantageusement dans les services multimédia déployés aujourd'hui sur les réseaux de collecte de type Ethernet, c'est-à-dire, par exemple, les services de voix/visiophonie sur IP (V2OlP), mais aussi les services audiovisuels et de données. Un exemple pratique d'application est l'introduction du procédé conforme à l'invention dans les services de première ligne en technologie Voix sur IP (VoIP), permettant de se prémunir contre les dénis de services, par duplication ou usurpation d'adresses @mac.
L'invention concerne également un système de contrôle dynamique d'au moins une adresse de contrôle d'accès d'au moins un terminal à un réseau à diffusion de type bus via un équipement à commutation de trames, ledit terminal possédant au moins une adresse physique de contrôle d'accès associée à une ligne entre le terminal et ledit équipement, remarquable en ce que ledit système comprend :
- dans le terminal, des moyens pour émettre vers l'équipement une requête d'attribution d'une adresse de contrôle d'accès virtuelle, ladite requête contenant, au moins, une adresse physique de contrôle d'accès du terminal,
- dans ledit équipement, des moyens pour émettre vers le terminal une réponse à ladite requête contenant une adresse de contrôle d'accès virtuelle attribuée au terminal, ladite adresse de contrôle d'accès virtuelle étant choisie dans une liste d'adresses de contrôle d'accès virtuelles disponibles sur ladite ligne, et une table de correspondance d'attribution de ladite adresse de contrôle d'accès virtuelle à l'adresse physique de contrôle d'accès associée à la ligne. Selon l'invention, ladite table de correspondance contient en outre une durée d'attribution de ladite adresse de contrôle d'accès virtuelle.
L'invention concerne encore un terminal pour un système de contrôle dynamique d'au moins une adresse de contrôle d'accès dudit un terminal à un réseau à diffusion de type bus via un équipement à commutation de trames, ledit terminal possédant au moins une adresse physique de contrôle d'accès associée à une ligne entre le terminal et ledit équipement, remarquable en ce que ledit terminal comprend des moyens pour émettre vers l'équipement une requête d'attribution d'une adresse de contrôle d'accès virtuelle, ladite requête contenant, au moins, une adresse physique de contrôle d'accès du terminal.
L'invention concerne de plus un équipement à commutation de trames pour un système de contrôle dynamique d'au moins une adresse de contrôle d'accès d'au moins un terminal à un réseau à diffusion de type bus via ledit équipement, ledit terminal possédant au moins une adresse physique de contrôle d'accès associée à une ligne entre le terminal et ledit équipement, remarquable en ce que ledit équipement comprend des moyens pour mémoriser une liste d'adresses de contrôle d'accès virtuelles disponibles sur ladite ligne, des moyens pour attribuer au terminal une adresse de contrôle d'accès virtuelle extraite de ladite liste, et une table de correspondance d'attribution de ladite adresse de contrôle d'accès virtuelle à l'adresse physique de contrôle d'accès associée à la ligne.
L'invention concerne également un programme d'ordinateur pour un terminal convenant pour un système de contrôle dynamique d'au moins une adresse de contrôle d'accès dudit terminal à un réseau à diffusion de type bus via un équipement à commutation de trames, le programme comprenant des instructions pour commander l'exécution par le terminal des étapes du procédé selon l'invention, mises en oeuvre par ledit terminal, lorsque ledit programme est exécuté par celui-ci.
De même, l'invention concerne un programme d'ordinateur pour un équipement à commutation de trames convenant pour un système de contrôle dynamique d'au moins une adresse de contrôle d'accès d'au moins un terminal à un réseau à diffusion de type bus via ledit équipement d'un réseau à diffusion de type bus, le programme comprenant des instructions pour commander l'exécution par ledit équipement des étapes du procédé selon l'invention, mises en oeuvre par ledit équipement, lorsque ledit programme est exécuté par celui-ci.
La description qui va suivre en regard des dessins annexés, donnés à titre d'exemples non limitatifs, fera bien comprendre en quoi consiste l'invention et comment elle peut être réalisée.
La figure 1 est un schéma d'un système de contrôle dynamique d'adresses conforme à l'invention.
La figure 2a est un tableau donnant la structure d'une requête émise par un terminal vers l'équipement de commutation de la figure 1.
La figure 2b est un tableau donnant la structure de la réponse de l'équipement de commutation à la requête de la figure 2a.
Sur la figure 1 est représenté un système de contrôle dynamique d'une adresse de contrôle de l'accès d'un terminal 10 à un réseau R2 de collecte à diffusion de type bus, comme un réseau Ethernet par exemple, relié à un routeur 30 permettant, par exemple, l'accès à un réseau d'infrastructure (« backbone ») IP et, de là, à au moins un service comme la voix ou la visiophonie sur IP (V2OlP).
Cet accès est réalisé via un réseau R1 d'accès Ethernet et un équipement 20 à commutation de trames Ethernet, tel qu'un DSLAM. Notons que ledit équipement de commutation peut également être une borne WiFi par exemple.
Par ailleurs, le terminal 10 possède au moins une adresse physique MAC notée @mac. Le procédé implémenté par le système de contrôle dynamique de la figure 1 est le suivant.
La ligne du terminal 10 est configurée au niveau du DSLAM 20 avec une ou plusieurs adresses physiques @mac et, le cas échéant, une répartition des adresses par service, tel que rappelé plus haut. Le terminal 10 au moment de son attachement au réseau R1 émet vers l'équipement 20 une requête d'attribution d'une adresse de contrôle d'accès virtuelle dont un exemple de structure est montré sur la figure 2a. Cette requête contient notamment comme information un identifiant de requête ainsi que l'adresse physique Ethernet @mac de la carte du terminal 10. La trame est émise en mode client/serveur (« broadcast » Ethernet) avec l'adresse physique @mac comme adresse source. La requête émise peut aussi contenir, à titre optionnel, des données d'identification pour authentification/cryptage/priorisation, ou des données liées à l'identification du service associé à l'adresse physique @mac dans le cas d'un terminal multiservice.
La requête est reçue par le DSLAM 20, lequel vérifie si une adresse @mac virtuelle est disponible sur la ligne, avec éventuellement une sélection par service si celle-ci est activée.
Si aucune adresse @mac virtuelle n'est disponible, le DSLAM 20 ne répond pas à la requête.
Si une adresse @mac virtuelle est disponible, le DSLAM 20 émet une réponse à la requête du client à destination de son adresse @mac physique. La structure de cette réponse est donnée sur la figure 2b. Comme le montre la figure précitée, la réponse du DSLAM 20 indique l'identifiant de la requête, l'adresse @mac virtuelle attribuée ainsi qu'une durée d'attribution. Eventuellement, la réponse contient également les diverses données d'identification figurant dans la requête. Le DSLAM 20 inscrit alors dans une table de correspondance l'attribution de l'adresse @mac virtuelle à l'adresse @mac physique associée à la ligne, avec la durée d'attribution correspondante.
Si le terminal 10 émet une nouvelle requête avant l'expiration de la durée d'attribution d'une adresse @mac virtuelle précédemment attribuée, le DSLAM 20 renouvelle l'attribution en répondant avec la même adresse @mac virtuelle.
Si le terminal 10 ne renouvelle pas de requête avant l'expiration de la durée d'attribution de l'adresse @mac virtuelle en cours, le DSLAM 20 efface l'attribution de sa table de correspondance et filtre les requêtes émises avec cette adresse devenue non attribuée.
Les étapes du procédé qui vient d'être décrit sont exécutées sous la commande d'instructions de programme, en partie par le terminal 10 en partie par l'équipement 20. Par conséquent, l'invention concerne également : - un programme pour le terminal 10 comprenant des instructions pour commander l'exécution par le terminal celles des étapes du procédé qui sont mises en oeuvre par le terminal 10, lorsque ledit programme est exécuté par celui-ci, et - un programme pour l'équipement 20 comprenant des instructions pour commander l'exécution par l'équipement 20 de celles des étapes du procédé qui sont mises en oeuvre par l'équipement 20, lorsque ledit programme est exécuté par celui-ci.
Les programmes respectifs du terminal 10 et de l'équipement 20 peuvent être stockés dans ou transmis par un support de données. Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette magnétique ou un disque dur, ou bien un support transmissible tel qu'un signal électrique, optique ou radio.

Claims

REVENDICATIONS
1. Procédé de contrôle dynamique d'au moins une adresse de contrôle d'accès d'au moins un terminal (10) à un réseau (R2) à diffusion de type bus via un équipement (20) à commutation de trames, ledit terminal possédant au moins une adresse physique de contrôle d'accès associée à une ligne entre le terminal (10) et ledit équipement (20), caractérisé en ce que ledit procédé comprend les étapes consistant :
- pour le terminal (10), à émettre vers l'équipement (20) une requête d'attribution d'une adresse de contrôle d'accès virtuelle, ladite requête contenant, au moins, une adresse physique de contrôle d'accès du terminal (10), - pour ledit équipement (20), à émettre vers le terminal (10) une réponse à ladite requête, contenant une adresse de contrôle d'accès virtuelle attribuée au terminal, ladite adresse de contrôle d'accès virtuelle étant choisie dans une liste d'adresses de contrôle d'accès virtuelles disponibles sur ladite ligne, et à inscrire dans une table de correspondance l'attribution de ladite adresse de contrôle d'accès virtuelle à l'adresse physique de contrôle d'accès associée à la ligne.
2. Procédé selon la revendication 1 , caractérisé en ce que ladite réponse de l'équipement (20) contient en outre une durée d'attribution de ladite adresse de contrôle d'accès virtuelle, ladite durée d'attribution étant inscrite dans ladite table de correspondance.
3. Procédé selon la revendication 2, caractérisé en ce que, sur demande du terminal (10) avant expiration de ladite durée d'attribution, l'équipement (20) renouvelle l'attribution de la même adresse de contrôle d'accès virtuelle.
4. Procédé selon la revendication 3, caractérisé en ce qu'à l'expiration de ladite durée d'attribution, l'équipement efface ladite attribution de la table de correspondance et filtre les requêtes émises avec ladite adresse de contrôle d'accès virtuelle.
5. Procédé selon l'une quelconque des revendications 1 à 4, caractérisé en ce que ladite requête contient en outre des données d'identification d'un service associé à ladite adresse de contrôle d'accès virtuelle, la réponse de l'équipement (20) contenant également lesdites données d'identification dudit service.
6. Procédé selon l'une quelconque des revendications 1 à 5, caractérisé en ce que ladite requête contient en outre des données d'identification de services basés sur l'adressage de contrôle d'accès, la réponse de l'équipement (20) contenant également lesdites données d'identification desdits services.
7. Système de contrôle dynamique d'au moins une adresse de contrôle d'accès d'au moins un terminal (10) à un réseau (R2) à diffusion de type bus via un équipement (20) à commutation de trames, ledit terminal possédant au moins une adresse physique de contrôle d'accès associée à une ligne entre le terminal (10) et ledit équipement (20), caractérisé en ce que ledit système comprend :
- dans le terminal (10), des moyens pour émettre vers l'équipement (20) une requête d'attribution d'une adresse de contrôle d'accès virtuelle, ladite requête contenant, au moins, une adresse physique de contrôle d'accès du terminal (10), - dans ledit équipement (20), des moyens pour émettre vers le terminal (10) une réponse à ladite requête contenant une adresse de contrôle d'accès virtuelle attribuée au terminal, ladite adresse de contrôle d'accès virtuelle étant choisie dans une liste d'adresses de contrôle d'accès virtuelles disponibles sur ladite ligne, et une table de correspondance d'attribution de ladite adresse de contrôle d'accès virtuelle à l'adresse physique de contrôle d'accès associée à la ligne.
8. Système selon la revendication 7, caractérisé en ce que ladite table de correspondance contient en outre une durée d'attribution de ladite adresse de contrôle d'accès virtuelle.
9. Terminal (10) pour un système de contrôle dynamique d'au moins une adresse de contrôle d'accès dudit un terminal à un réseau (R2) à diffusion de type bus via un équipement (20) à commutation de trames, ledit terminal possédant au moins une adresse physique de contrôle d'accès associée à une ligne entre le terminal (10) et ledit équipement (20), caractérisé en ce que ledit terminal (10) comprend des moyens pour émettre vers l'équipement (20) une requête d'attribution d'une adresse de contrôle d'accès virtuelle, ladite requête contenant, au moins, une adresse physique de contrôle d'accès du terminal.
10. Terminal selon la revendication 9, caractérisé ledit terminal (10) comprend des moyens pour émettre vers l'équipement (20) une requête de renouvellement d'attribution de ladite adresse de contrôle d'accès virtuelle, à l'expiration d'une durée d'attribution fournie par ledit équipement.
1 1. Terminal selon l'une des revendications 9 ou 10, caractérisé en ce que, ledit terminal (10) étant un terminal multi-service, une adresse de contrôle d'accès virtuelle est associée à un service.
12. Equipement (20) à commutation de trames pour un système de contrôle dynamique d'au moins une adresse de contrôle d'accès d'au moins un terminal (10) à un réseau (R2) de diffusion de type bus via ledit équipement, ledit terminal possédant au moins une adresse physique de contrôle d'accès associée à une ligne entre le terminal (10) et ledit équipement (20), caractérisé en ce que ledit équipement comprend des moyens pour mémoriser une liste d'adresses de contrôle d'accès virtuelles disponibles sur ladite ligne, des moyens pour attribuer au terminal (10) une adresse de contrôle d'accès virtuelle extraite de ladite liste, et une table de correspondance d'attribution de ladite adresse de contrôle d'accès virtuelle à l'adresse physique de contrôle d'accès associée à la ligne.
13. Equipement selon la revendication 12, caractérisé en ce que ledit équipement (20) comprend en outre des moyens pour fournir au terminal (10) une durée d'attribution de ladite adresse de contrôle d'accès virtuelle.
14. Equipement selon la revendication 13, caractérisé en ce que ledit équipement (20) comprend en outre des moyens pour renouveler ladite adresse de contrôle d'accès virtuelle à la demande du terminal (10) avant expiration de la durée d'attribution.
15. Equipement selon l'une quelconque des revendications 12 à 14, caractérisé en ce que ledit équipement (20) comprend en outre des moyens pour attribuer une adresse de contrôle d'accès virtuelle par service pour un terminal (10) multi-service.
16. Equipement selon l'une quelconque des revendications 12 à 15, caractérisé en ce que ledit équipement (20) comprend en outre des moyens pour filtrer des requêtes émises avec une adresse de contrôle d'accès virtuelle non attribuée.
17. Programme d'ordinateur pour un terminal convenant pour un système de contrôle dynamique d'au moins une adresse de contrôle d'accès dudit terminal à un réseau à diffusion de type bus via un équipement à commutation de trames, le programme comprenant des instructions pour commander l'exécution par le terminal des étapes du procédé selon l'une des revendications 1 à 6, mises en oeuvre par ledit terminal, lorsque ledit programme est exécuté par celui-ci.
18. Programme d'ordinateur pour un équipement à commutation de trames convenant pour un système de contrôle dynamique d'au moins une adresse de contrôle d'accès d'au moins un terminal à un réseau à diffusion de type bus via ledit équipement d'un réseau à diffusion de type bus, le programme comprenant des instructions pour commander l'exécution par ledit équipement des étapes du procédé selon l'une des revendications 1 à 6, mises en oeuvre par ledit équipement, lorsque ledit programme est exécuté par celui-ci.
PCT/FR2006/051377 2005-12-22 2006-12-18 Procede de controle dynamique d'adresses de controle d'acces a un reseau ethernet WO2007074283A2 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0554004 2005-12-22
FR0554004 2005-12-22

Publications (2)

Publication Number Publication Date
WO2007074283A2 true WO2007074283A2 (fr) 2007-07-05
WO2007074283A3 WO2007074283A3 (fr) 2007-08-30

Family

ID=37005863

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/051377 WO2007074283A2 (fr) 2005-12-22 2006-12-18 Procede de controle dynamique d'adresses de controle d'acces a un reseau ethernet

Country Status (1)

Country Link
WO (1) WO2007074283A2 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7827333B1 (en) * 2008-02-04 2010-11-02 Nvidia Corporation System and method for determining a bus address on an add-in card

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004014045A1 (fr) * 2002-07-24 2004-02-12 International Business Machines Corporation Affectation dependant de la classe de service d'adresses ip en vue du controle de l'acces a une prestation d de services electroniques
US20040141468A1 (en) * 2003-01-21 2004-07-22 Telefonaktiebolaget Lm Ericsson (Publ) Ethernet address management system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004014045A1 (fr) * 2002-07-24 2004-02-12 International Business Machines Corporation Affectation dependant de la classe de service d'adresses ip en vue du controle de l'acces a une prestation d de services electroniques
US20040141468A1 (en) * 2003-01-21 2004-07-22 Telefonaktiebolaget Lm Ericsson (Publ) Ethernet address management system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7827333B1 (en) * 2008-02-04 2010-11-02 Nvidia Corporation System and method for determining a bus address on an add-in card

Also Published As

Publication number Publication date
WO2007074283A3 (fr) 2007-08-30

Similar Documents

Publication Publication Date Title
US7136386B2 (en) Virtual private network over asynchronous transfer mode
US7539193B2 (en) System and method for facilitating communication between a CMTS and an application server in a cable network
US7586912B2 (en) Techniques for exchanging DHCP information among DHCP relay agents and DHCP servers
EP1966978B1 (fr) Procédé d'affectation dynamique d'ensembles d'adresses par dhcp, entité de gestion, relais et programme d'ordinateur correspondants
US20070011301A1 (en) Provisioning relay and re-direction server for service implementation on generic customer premises equipment
FR2936387A1 (fr) Procede de gestion d'espaces d'adressage lors d'une ouverture d'un tunnel de communication, tete de tunel, produit programme d'ordinateur et moyen de stockage correspondant.
EP1936883B1 (fr) Procede de prestation de service et systeme de celui-ci
FR2857187A1 (fr) Procede de configuration automatique d'un routier d'acces, compatible avec le protocole dhcp, pour effectuer un traitement automatique specifique des flux ip d'un terminal client
EP3332530B1 (fr) Procedes et dispositifs d'identification d'un serveur d'authentification
CA2568741A1 (fr) Methode d'initialisation, d'approvisionnement et de gestion d'un modem cable et d'un dispositif d'equipement des locaux du client
EP1738526B1 (fr) Procede et systeme d'accreditation d'un client pour l'acces a un reseau virtuel permettant d'acceder a des services
EP2838242B9 (fr) Procédé et appareil pour empêcher qu'une adresse de contrôle d'accès au support côté réseau ne soit contrefaite
EP2294798B1 (fr) Procede de routage d'un paquet de donnees dans un reseau et dispositif associe
EP2747350A1 (fr) Procédé et système pour accès à des services de réseau en nuage
US7739394B2 (en) Bi-level addressing for internet protocol broadband access
EP1633084B1 (fr) Procédé de sélection de services fournis par différents fournisseurs de services réseau
WO2017021648A1 (fr) Procédé et dispositif d'identification de serveurs d'authentification visité et de domicile
EP3476108B1 (fr) Procédé, programme d'ordinateur et dispositif de fourniture d'une adresse par un dispositif à gérer d'un réseau
WO2007074283A2 (fr) Procede de controle dynamique d'adresses de controle d'acces a un reseau ethernet
EP3149902B1 (fr) Technique d'obtention d'une politique de routage de requêtes émises par un module logiciel s'exécutant sur un dispositif client
WO2013083607A1 (fr) Passerelle adaptée pour la vod
WO2023242315A1 (fr) Procédé de communication entre deux équipements, premier équipement, deuxième équipement et programme d'ordinateur correspondants.
EP2439901A1 (fr) Procédé de traitement dans un module d'un dispositif d'accès adapté pour connecter un réseau distant à une pluralité de réseaux locaux, module et programme d'ordinateur associés
FR2892248A1 (fr) Procede d'interaction entre un protocole de connexion de type point a point et un protocole de configuration dynamique pour permettre l'acces a un service
WO2007074308A1 (fr) Procede et systeme de connexion a un service

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06847167

Country of ref document: EP

Kind code of ref document: A2