WO2011157704A2 - Système et méthode de gestion de flux sécurisés entre plusieurs sites distants - Google Patents

Système et méthode de gestion de flux sécurisés entre plusieurs sites distants Download PDF

Info

Publication number
WO2011157704A2
WO2011157704A2 PCT/EP2011/059834 EP2011059834W WO2011157704A2 WO 2011157704 A2 WO2011157704 A2 WO 2011157704A2 EP 2011059834 W EP2011059834 W EP 2011059834W WO 2011157704 A2 WO2011157704 A2 WO 2011157704A2
Authority
WO
WIPO (PCT)
Prior art keywords
function
wan
flows
module
network
Prior art date
Application number
PCT/EP2011/059834
Other languages
English (en)
Other versions
WO2011157704A3 (fr
Inventor
Dominique Cappy
David Hairion
Michel Delattre
Original Assignee
Thales
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thales filed Critical Thales
Priority to AU2011267159A priority Critical patent/AU2011267159A1/en
Priority to SG2012092664A priority patent/SG186374A1/en
Publication of WO2011157704A2 publication Critical patent/WO2011157704A2/fr
Publication of WO2011157704A3 publication Critical patent/WO2011157704A3/fr
Priority to ZA2012/09503A priority patent/ZA201209503B/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Definitions

  • the present invention relates to a system and method for managing secure flows between several remote sites, local or metropolitan networks.
  • the invention relates to the field of telecommunication architectures of networks and in particular networks with strong constraints in terms of security.
  • Such architectures may include both private sensitive networks interconnected with non-sensitive public networks.
  • Sensitive networks have strong resilience capabilities for the delivery of sensitive flows for the benefit of users.
  • Non-sensitive public networks ensure the flow of non-sensitive flows to other users.
  • Sensitive flows are understood to mean confidentiality flows as well as routing or operational constraints. The confidentiality protection of the flows is ensured by the applications or by other means implemented in the networks of services (campuses) and which do not influence directly on the architecture of the system.
  • the transport in the services (that is to say the LAN, Local Area Network for local networks and / or MAN, Metropolitan Area Network for metropolitan networks) sensitive and non-sensitive flows is characterized by the fact that all flows are carried on a single non-sensitive MAN network (non-sensitive flows are inherently larger and affect a larger number of users).
  • WAN wide area network
  • IPsec Internet Protocol Security
  • Means with high resilience capabilities are high resource capacity terrestrial infrastructure means or satellite infrastructure facilities with lower resource capacity and quality of service constraints (also referred to as QoS for Quality of Service) for example in terms of latency, transit time, packet loss.
  • QoS Quality of Service
  • the communication between the users located in the services is constrained by the use of IPsec encryptors and it obeys rules of communications established generally in static ways, these rules define the having right to communicate (generally sub-networks) and the distant sites ⁇ IPsec security equipment) that these rights holders can achieve.
  • This information is contained in a database called SPD (“Security Policy Database").
  • the SPD database is not dynamically modifiable and requires manual configuration operations by an operator.
  • the set of rules registered in the SPD database is called the "flow security policy”.
  • the flows flowing between two remote local networks are of different natures, they are identified by a class of traffic, for example using the DiffServ classification mechanism, the DiffServ field being a field of the header of a packet IP.
  • Network edge devices do not perform flow processing based on traffic class, but on a class of service, a class of service being a grouping of a set of traffic classes. This principle allows himitarian treatment on flows with identical technical constraints such as transit time for example.
  • a known technique is to use two WAN extended networks in "backup" function, that is to say that the second WAN network will be used only if the first is in lack of connectivity. In the other cases and in particular in case of saturation of the WAN network, the flows continue to take the saturated WAN network.
  • this solution uses a tunneling of flows by the use of GRE tunnels that can restore connectivity between red routers and develop the red routing plan by using a link state protocol such as IGP (OSPF for example).
  • IGP link state protocol
  • a flow management policy is very limited by the simple fact that there is limited visibility on the content of the packets (DSCP field) and not on the origin and destination of the flows. This involves making routing decisions upstream (red plane).
  • the offset generated by the IPsec tunnels does not ensure a coherent SLA between the MAN (users) and WAN (transit) networks, which is why it is necessary to have a router (in some cases called a QoS router). ) between the WANs and the encryptors whose main objective is to ensure coherence between the flows coming from the WAN and towards the MANs and vice versa.
  • variable elongation of the packet size (overhead) provided by the encryptor does not allow consistency on the QoS.
  • the flow management policy is not carried out according to the type of operational flow.
  • FIG. 1 shows an architecture of interconnected networks.
  • An objective of such an architecture is to ensure the secure establishment of one or more communication links between a first local network S1, also called network enclave, and a second local network S2.
  • These two remote network enclaves are interconnected by means of one or more public WAN_C or WAN_M private wired or satellite wide area networks.
  • the streams transmitted between the two local networks S1, S2 are encrypted, respectively decrypted, by an encryption device Z_S1, Z_S2 arranged between each local network and the one or more extended networks.
  • One or more red routers R1_S1, R2_S2 direct the flows to and from the network enclaves S1, S2.
  • One or more black routers R2_S1, R2_S2 direct the encrypted streams through the at least one extended network to the remote network enclave.
  • a first problem related to this type of architecture concerns the partitioning between the WAN wide area networks on the one hand and the local networks on the other hand because of the encryption of the data streams.
  • Only data streams from one network enclave can reach another network enclave in accordance with the contents of the SPD database. In other words no data flow can flow between a network slot S1.S2 and a WAN wide area network.
  • the authorized communications are necessarily between two pieces of encryption equipment.
  • This lack of possible direct communication between a local area network and a wide area network poses a problem when it is desired to determine the type of wide area network to be used to establish a communication link according to the intrinsic characteristics of a data stream from a network. a network enclave.
  • the transmitted streams can be classified according to a quality of service which is attributed to them for example in relation to their priority level (vital or non-vital flows), their bandwidth and throughput requirements or the constraints of delay, jitter and / or packet loss that they can support.
  • a quality of service which is attributed to them for example in relation to their priority level (vital or non-vital flows), their bandwidth and throughput requirements or the constraints of delay, jitter and / or packet loss that they can support.
  • the communication channel among the available WAN extended networks, the most suitable for the data streams to be transmitted, it is therefore necessary to establish communication between the network enclave and the wide area networks in order to communicate the identified needs. This type of communication is not possible with known architectures due to the presence of encryption equipment.
  • a second problem related to known secure architectures relates to the routing of data flows across different wide area networks.
  • the current routing protocols for example the OSPF protocol, make it possible to route the flows according to the cost of the links.
  • a link state routing protocol between the remote local networks S1.S2 it is necessary to establish direct links between these networks making it possible to avoid the presence of the encryption equipment.
  • Such a direct link is, for example, implemented using the GRE (Generic Routing Encapsulation) protocol.
  • GRE Generic Routing Encapsulation
  • the incidents that occur in the various WAN networks will be taken into account at the R1_S1, R1_S2 routers only on detection by the link state protocol of a malfunction.
  • the malfunction observed by the router to change the routing is a break in the link, ie a rupture of the GRE tunnel.
  • the link state protocol may route the streams to another WAN network. Load sharing between different WANs can be done provided that the link costs are the same.
  • This type of operation does not intelligently route the flows taking into account criteria on both WAN wide area networks. It also does not allow to optimize the capacity in transit of the WAN networks. This amounts to using only the WANs below their transit capacity or to provision the resource by exceeding on one or the other of the WAN networks.
  • a third problem of known secure architectures relates to the referral of flows to different WAN networks available according to the sensitivity of their content.
  • sensitive flows must be directed to a secure private wide area network while non-sensitive flows can be directed to a public wide area network.
  • To achieve this referral it is necessary to analyze the applications that are above the IP layer or to resort to a precise identification of the source and destination of the flows.
  • Sites host users with administrative or operational functions, these users are considered either as vital users (in limited numbers) or non-vital users and they generate sensitive and non-sensitive flows. There is no correlation between vital users and sensitive flows, a non-vital user can generate sensitive flows.
  • Streams from local area networks LAN and / or AN are encrypted for reasons of security level of these flows.
  • the packet analysis can only be performed on the DSCP field ("Differentiated Services Code Point") of the IP packet, which benefits from a complete copy without alteration on the part of the encryption equipment.
  • the referral of flows to one or the other of the WAN networks can be realized only from this field DSCP which is limiting to achieve an accurate analysis of the sensitivity of the flows.
  • the three aforementioned problems are directly or indirectly related to the technical constraints introduced by the presence of encrypting equipment which limit the possible exchanges between the black part (local networks) and the red part (wide area networks) of the network.
  • FIG. 2 illustrates a topology, similar to that of FIG. 1, of a secure network architecture according to the state of the art.
  • Such an architecture includes users of the service of a first local network S1, which are respectively subscribers A1_S1 and subscribers A2_S2. These users have different IP addresses, identifiable by their prefix.
  • the users of the site S2 also have different addresses between subscribers B1_S2 and B2_S2 and with respect to the local network S1.
  • the flows between the users of the local area networks S1 and S2 are routed to the output routers R1_S1, R1_S2, or red routers, of each local network.
  • Routers R1_S1 and R1_S2 are optional. They allow, for example, to manage the subscribers of the network enclaves in the form of several communities having different attributes. They also manage the available theoretical bandwidth by assigning priorities to subscribers.
  • the system of Figure 2 also includes encryptors Z_S1, Z_S2.
  • the encryptor Z_S1 provides protection for the streams coming from the router R1_S1 to the router R2_S1.
  • the protection is for example implemented using the IPSec protocol in tunnel mode.
  • the security policy assigned to each encryptor makes it possible to partition the streams coming from the local network S1 and to the users of the local network S2.
  • the IPsec encapsulation makes it possible to hide the addresses of the local networks S1 and S2 from the WAN_C and WAN_M extended networks.
  • the encryptor Z_S2 provides a role equivalent to the encryptor Z_S1 for the local network S2.
  • the IP addresses on the black interface of the encryptors are the only addresses visible by WAN_ and WAN_C. These are the addresses that are used by these WAN networks to route the flows to and from routers R2_S1 and R2_S2.
  • the black routers R2_S1, R2_S2 are located between the encryption devices Z_S1, Z_S2 and the extended networks. They allow the routing of flows to the extended networks according to their flow processing policy. Such a policy consists, for example, in routing sensitive flows to the private network WAN_M and non-sensitive flows to the public network WAN_C.
  • the black routers R2_S1, R2_S2 adjust the value of the DSCP field of the packets according to the service classes offered by the WAN wide area networks. They also ensure the formatting of the packets to compensate for the redundancy introduced by the encryptors.
  • the WAN_ private wide area network transports the flows between the local networks S1 and S2 according to a routing of its own.
  • the WAN_C public wide area network performs the same routing functions according to its own parameters (topology, routing protocols, QoS, etc.).
  • topology topology, routing protocols, QoS, etc.
  • the system comprises only two WAN_, WAN_C extended networks, but it could also apply to a larger number of wide area networks.
  • WAN_M and WAN_C WANs are transport service providers that have the following features:
  • Pre-emption & Priority Management In the vast majority of cases, the internal problems at the WAN level result in a reduction in the equivalent bandwidth and very rarely in a frank cut in the transmission. The remaining bandwidth must therefore be managed at best. This feature allows for strict priority management, at the stream level and not at the packet level, and provides preemptive mechanisms to allocate the remaining bandwidth to the most vital stream.
  • P & R Protection and Restoration
  • Some applications require that there be no interruption in the transport of streams or more exactly that interrupts remain below 50ms. Moreover, this requirement is totally independent of the criticality of the application (vital or non-vital).
  • the P & R makes it possible to express to the WAN_C or WAN_M the wish of a way of "back-up" of the type 1 for 1, 1 for N even P for N. It is also possible to implement this type of mechanism to overlay level. In other words, the nominal paths can be established on one WAN and the back-up paths on the other WAN.
  • the network architectures according to FIG. 2 make it possible to partially solve the third problem described above concerning the switching of encrypted streams. Indeed, it is possible to set up a routing policy based on the couple IP address destination and value of the DSCP field.
  • the encryptor hides the source and destination IP addresses of the subscribers but for obvious routing reasons adds in clear source and destination IP addresses corresponding to the sender and receiver encryptors. In other words, it's about creating a new network layer level header. In this new header, the value of the DSCP field corresponds to that presented as input.
  • referral policies can only apply to all traffic from one encryptor to another, there is no more visibility on the subscribers or group of subscribers.
  • FIG. 3 illustrates the routing of the flows in a network of the type of that of FIG. 2.
  • Each autonomous system implements routing protocols
  • IGP Interior Gateway Protocol
  • EGP Exterior Gateway Protocol
  • BGP Border Gateway Protocol
  • OSPF OSPF
  • the autonomous systems representing the enclaves S1, S2, S3, S4 implement the OSPF protocol in a routing domain which comprises the red routers R1_S1, R1_S2, R1_S3, R1_S4 but excludes the encryptors Z_S1, Z_S2, Z_S3, Z_S4. Encryptors do not implement the OSPF protocol and are not able to establish a routing topology from the source (themselves) to the recipients.
  • the routing of the streams in the encryptors is carried out by the Security Policy (SP) and Security Association (SA) routing policy, information contained in the SPD database ("Security Policy Database").
  • SP Security Policy
  • SA Security Association
  • the black routers R2_S1, R2_S2, R2_S3, R2_S4 implement the OSPF protocol to make it possible to take into account in the complex architectures an administratively independent entity of the main site, but using the resources common to the various WANs.
  • the QoS routers being managed (Administration / Supervision) by the entity of the main site.
  • the set of QoS routers of the sites of the same organizational unit form a federator of transit vis-à-vis the sites of service they connect and this for a given flow category (sensitive or non-sensitive).
  • the BGP protocol is implemented between routers R2_S1, R2_S2, R2_S3, R2_S4 and the networks WAN_M and WAN_C. It makes it possible to communicate to the various WANs the prefixes of the sub networks present in the services.
  • WAN networks implement a routing protocol (OSPF for example). It ensures the routing of flows between the different interconnected services. This protocol makes it possible to establish a routing topology by assigning costs to the borrowed paths. The choice of the road is that of lower cost.
  • the prefixes indicated in the routing tables of the routers of the WAN networks are the prefixes of the black addresses of the encryptors, the addresses of the user plane being masked by the encryptors.
  • the OSPF protocol is a link state protocol, to work, it requires that the routers that use this protocol are adjacent, which can be translated as "be connected by a direct link", but the encryptors do not allow to have a direct link between an unprotected entity and a protected entity.
  • GRE tunnels are implemented overlay of the IPsec layer (ESP protocol) and they generate an overhead of 4 additional bytes. From then on it is possible to reconstruct an OSPF routing topology between the services through the GRE tunnels.
  • ESP protocol IPsec layer
  • QoS management is implemented in routers R2_S1, R2_S2, R2_S3, R2_S4. In each router, it must comply with the WAN, WAN_M and WAN_C quality of service policy as well as that of the R1_S1, R1_S2, R1_S3, R1_S4 routers installed on the site for the benefit of the administrative entities.
  • the overall coherence of the quality of service for the benefit of a collective user who must convey sensitive and non-sensitive flows is only feasible by configuration operations independent of the QoS routers, each router has to process sensitive or non-sensitive flows. .
  • An object of the invention is to solve at least one of the aforementioned problems.
  • the proposed solution allows routing decisions to be made before encrypting the information and integrating into one product all the functions needed to interconnect MAN to WANs.
  • the routing directives are set on the red side of the network and are applied on the black side.
  • An advantage of the proposed solution is to be able to interconnect a MAN with WANs by providing operational resilience functions.
  • the use of the router according to the invention for managing secure data flows notably comprises the following advantages:
  • the invention particularly relates to a secure flow management system transmitted between a first local area network (S1) and at least one second local area network (S2) interconnected via a plurality of wide area networks WAN (WAN M, WAN C), characterized in that said system comprises at least:
  • an observation module receiving the data streams transmitted from said first local network (S1) and going to at least one of said second local network (S2), said observation module (OB) being adapted to associate with each packet of said flow a tattooing to uniquely identify data streams,
  • AN qualitative and quantitative analysis module of the data streams sent from said first local network (S1) making it possible to classify the streams according to their degree of priority and / or of security, this degree being determined at least starting from the source, destination, or user type of the feed,
  • an interface module performing on the one hand the establishment and maintenance of point-to-point or point-to-multipoint data links between said first local network (S1) and at least one of said remote local network (S2), each link using the transmission means provided by one or more of said WAN wide area networks and providing communication characteristics in a predetermined operating range, and secondly the routing of the secure flows on these links according to rules consistent with the tattooing operations of said observation module (OB) and encryption of said encryption module (CH),
  • DE decision module associating with each data stream, according to their degree of priority and / or security determined by the analysis module (AN), a predetermined data link among the data links established by said interface module (IN) and as a function of the probability of correct routing of a stream borrowing each data link established by said interface module (IN),
  • said observation module (OB) performs the tattooing of the streams by modifying the value of the DSCP field of the IP packets contained in said streams.
  • said encryption module (CH) implements the IPSec protocol in tunnel mode.
  • said streams are associated with a data link using a private wide area network (WAN_M) or a public wide area network (WAN_M) depending on the nature of their source.
  • WAN_M private wide area network
  • WAN_M public wide area network
  • the streams with the highest priority are associated with data links having the highest available data rate.
  • the invention also relates to a secure flow management method transmitted between a first local network (S1) and at least one second local network (S2) interconnected via a plurality of wide area networks WAN (RW1.WAN M, WAN C), said local area networks (S1, S2) comprising at least one input / output interface 11, said WAN extended networks comprising at least one input / output interface I2, I3, said method being characterized in that it comprises at least the following steps for each local network ⁇ S1, S2):
  • F1 being decomposed into subfunctions F1.1 to F1.n, where n is the number of WAN extended networks,
  • the function F2 ensures the establishment of a plurality of point-to-point links between said hardware platforms connected to the input / output interfaces of each local network (S1, S2), where the function F3 provides the switching, according to their characteristics of the streams coming from and to the interface M of said local network (S1) by separating the flows in session mode from the other flows, where the function F4 ensures the processing of the flows in session mode, the function F5 handles the exchanges between the function F1 and the function F4, in particular by indicating to the function F1 the beginnings, endings and session numbers included in said flows, where the function F6 ensures the treatment of the congestions,
  • the F7 function ensures interworking with the WAN wide area networks, retrieving the traffic engineering information (TE), synthesizing it and communicating it to the function F, where the functions F2, F3, F4 and F5 are functions network managed by the F8 function,
  • o Function F9 provides the administration of security functions such as function F1.
  • FIG. 1 an example of an architecture of a system according to the prior art
  • FIG. 2 another illustration of the example architecture of FIG. 1,
  • FIG. 3 an illustration of the routing of data flows in a network of the type of FIG. 1 or 2
  • FIG. 4 a block diagram of the general architecture of the system according to the invention in a first embodiment
  • FIG. 5 an exemplary implementation of a first function F1 of the method according to the invention in the first embodiment
  • FIG. 6 an example of implementation of a second function F2 of the method according to the invention in the first embodiment
  • FIG. 7 an example of implementation of a third function F3 of the method according to the invention in the first embodiment
  • FIG. 8 an example of implementation of a fourth function F4 of the method according to the invention in the first embodiment
  • FIG. 9 an example of implementation of a fifth function F5 of the method according to the invention in the first embodiment
  • FIG. 10 an exemplary implementation of a sixth function F6 of the method according to the invention in the first embodiment
  • FIG. 11 an example of implementation of a seventh function F7 of the method according to the invention in the first embodiment
  • FIG. 12 an exemplary implementation of an eighth function F8 and a ninth function F9 of the method according to the invention in the first embodiment
  • FIG. 13 a block diagram of the system architecture according to the invention in a second embodiment
  • FIG. 4 illustrates the architecture of the system according to the invention in a first embodiment.
  • the architecture of the system according to the invention implements a set of functions in order to solve the limitations of the known network architectures as illustrated in FIGS. 1 and 2.
  • the invention makes it possible to ensure a secure interconnection between one or more LANs and one or more public or private WANs.
  • the system according to the invention is interfaced on the one hand with a first local network S via an interface 11 and on the other hand with the available WAN extended networks, via a plurality of interfaces I2, 13, 11, for establishing a point-to-point connection between said first local area network S1 and one or more other local area networks S2.
  • An F1 function provides secure protection, for example by means of the IPSec protocol, of the flows coming from the interfaces 11 and to the interfaces 12 and 13.
  • the function F1 is decomposed into sub-functions F1.1 to F1.n, n representing the number of WAN wide area networks interfaced with the method.
  • An Ix interface is assigned to an F1.x subfunction.
  • a function F2 ensures the establishment of a plurality of point-to-point links of predetermined transfer characteristics between the system according to the invention connected to the first local network S1 and the remote systems connected to the other local networks S2.
  • An F3 function ensures the routing and recognition of flows to and from the interface 11.
  • the flow switching separates the flows in session mode from the other flows.
  • An F4 function handles the processing of flows in session mode.
  • An F5 function handles the relations between the F1 function and the F4 function. It allows in particular to indicate the function F1, the beginnings and endings of sessions as well as the N ° of the sessions.
  • a function F6 handles the processing of congestion aspects and the processing of aspects related to the Traffic Engineering (TE) and controls the routing of the streams recognized by the function F3 on the links established by the function F2 as a function of the congestion states that she detects.
  • TE Traffic Engineering
  • An F7 function provides interworking with the black WANs by translating the flows through the F1 function to equate the point-to-point links established by the F2 function with paths managed by the extended WANs. It is also responsible for retrieving the TE information from the black WANs, synthesizing them and communicating them to the F1 function.
  • An F8 function provides the administration of the network functions.
  • the functions F2, F3, F4 and F5 are network functions.
  • An F9 function handles the processing of the security functions.
  • the F1 function is a security function.
  • MIB databases are associated with these functions, they make it possible to store information specific to the network functions, security or information common to these two functions. These databases, called Management Information Base (MIB) databases, are as follows:
  • a BD1 MIB database which is dedicated to administration and supervision operations of network functions, accessible for reading and writing by the F8 function.
  • a BD2 MIB database which is dedicated to the administration and supervision of the security functions, accessible for reading and writing by the F9 function.
  • FIG. 5 shows an exemplary implementation of the first function F1 of the method according to the invention.
  • the local networks S1, S2 are each interconnected to the WAN_M, WAN_C extended networks via a system 501, 502 according to the invention which implements the aforementioned functions.
  • the incoming and outgoing LAN / MAN LAN streams on the interfaces 11 require protection. This protection is ensured by the implementation of the F1 function.
  • the F1 function is an IPsec function in tunnel mode. It is performed for each interface I2,! 3 between the system 501, 502 according to the invention and the extended networks.
  • two functions F1, respectively denoted F1.1.F1.2 are carried out for each interface I2.I3.
  • Tunnels are dynamically established between F1.1.F1.2 functions executed by remote 501, 502 systems.
  • the F1 function implements a method of automatic discovery of remote processes. It provides remote process authentication, maintains IPsec tunnel connectivity between local and remote F1.1, F1.2 entities.
  • FIG. 6 shows an exemplary implementation of the second function F2 of the method according to the invention.
  • the use of IPsec tunnels established over WAN networks makes it necessary to position other GRE tunnels in superposition, or overlay, of these IPsec tunnels, this principle is not extensible on major network topologies.
  • the proposed solution is to use an "under! Ay" function, that is, to work at a level lower than IPsec to establish the relationships between remote entities.
  • This function designated F2 makes it possible to establish a point-to-point connection between two remote units, the protocol MPLS ("ulti-Protocol Label Switching") is one of the protocols which makes it possible to satisfy this function. Other techniques such as VLANs can also satisfy the F2 function.
  • the links between the functions F2 are established on the interfaces 12 and 13. The information transmitted or received by this function F2 takes the interfaces 12 and 13.
  • FIG. 7 shows an example of implementation of the third function F3 of the method according to the invention.
  • the function F3 is in "fuJI duplex" relation with the interface 11, that is to say in simultaneous bidirectional communication.
  • the fiuxes coming from the interface 11 are switched according to their characteristics to the function F4 or to the function F2.
  • Session-mode flows such as the Session InitiationProtocol (SIP) protocol, are routed to the F4 function, the other flows are routed to the F2 function.
  • SIP Session InitiationProtocol
  • the function F3 also makes it possible to extend to the system according to the invention the partitioning characteristics between users, such as Virtual Local Area Network (VLAN) or Virtual Routing and Forwarding Table (VRF). . These characteristics can be routed by the local process to the remote processes.
  • VLAN Virtual Local Area Network
  • VRF Virtual Routing and Forwarding Table
  • FIG. 8 shows an example of implementation of the fourth function F4 of the method according to the invention.
  • Function F4 only receives session mode streams from function F3 (eg SIP).
  • the function F4 interprets the protocol "session” and elie identifies in the protocol the field which carries the MLPP information indicating the priority of the session, this information has been forged in the field concerned (the RP field in the case of the SIP protocol) by functional entities of the LAN / MAN local area network.
  • An RSVP Resource ReSerVation Protocol
  • RSVP-TE Resource ReSerVation Protocol- Traffic Extension
  • the F4 function implements an IGP ("Interior Gateway Protocol") type Internet routing protocol having the capacity to establish a link topology including bandwidth availability, bandwidth availability and other metrics.
  • the OSPF-TE protocol is one of those protocols that may be suitable for this part of function.
  • a better path calculation sub-function taking into account the metrics mentioned above makes it possible to define the best routes for joining remote secure flow management systems.
  • the subfunction C-SPF is one of the functions to satisfy this calculation.
  • the information from C-SPF is indicated as a parameter in the RSVP-TE request.
  • Function F4 generates RSVP or RSVP-TE requests only to WAN networks that accept these requests.
  • FIG. 9 shows an example of implementation of the fifth function F5 of the method according to the invention.
  • the function F5 allows the dialogue between the functions F4 and each function F1.1.F1.2.
  • This function is a control function that transmits and / or receives messages from or to functions F4 and F1.
  • the messages are conveyed by the UDP protocol ("User Datagram Protocol").
  • UDP protocol User Datagram Protocol
  • the main messages make it possible to send and receive information on the communication sessions to be opened, to close or on the behavior to be maintained with respect to the communications based on parameters derived from the function F1 and in particular its part black interface ".
  • the function F5 makes it possible to make the connection between the session number (for example, an LSP number) and an IPsec context (for example an SPI number, "Security Parameter Index"), information contained in the SDP.
  • FIG. 10 shows an example of implementation of the sixth function F6 of the method according to the invention.
  • Function F6 is related to functions F3, F4. It implements several means and mechanisms for managing congestion or influencing the processing of flows, the operations implemented by F4 and F6 functions being referred to as "flow processing policy".
  • the F4 function has all the contexts of the sessions established and being established, as well as the priority levels of these sessions.
  • the flows are routed to the WAN networks present in active-active mode, ie the routing chooses one of the WAN networks according to the types of flows to be routed and the constraints associated with these flows. This principle makes it possible to use all the capacities of the WAN networks at the same time without functioning of the "active-backup" type.
  • congestion reported in function F6 the main methods used to influence the processing of flows are as follows, this list not being exhaustive:
  • DiffServ mode the routing of the flows is done according to the DSCP field and according to a number of classes of service
  • ECN Bit Mode Reported congestion on ECN bit positioning on a session or class of service of the type
  • SAA mode The function implements tools to measure certain characteristics of flows across WAN networks. These tools make it possible to measure the jitter, the transit delay, the latency and this on each of the WAN networks. The analysis of the results may cause a change in the routing path of the flows involved in the analysis of the metrics, if they are in values outside the limits specified in the Service Level Agreement "SLA";
  • FIG. 11 shows an example of implementation of the seventh function F7 of the method according to the invention.
  • the incoming and outgoing flows to and from the WAN networks on the interfaces 12, 13 are conveyed to these interfaces by the function F7.
  • the F7 function is duplicated in as many functions (F7.1 to F7.n) as there is a WAN network, this duplication makes it possible to make the actions and independent processing on the WAN networks.
  • Function F7 provides several sub-functions including:
  • the function F7 takes into account the overhead imposed by the IPsec encryption implicitly by a management command communicated by the function F6.
  • the overhead is expressed in a number of additional bytes to be taken into account in the calculation of the quality of service.
  • the F7 function expresses a bandwidth user need corresponding to the service level agreement (SLA) requested by the user, this requirement expression is according to the classes of services.
  • SLA service level agreement
  • a calculation is performed by the function F7 to check the coherence between the physical bit rates of the LAN / MAN local area network interfaces and those of the WAN wide area networks, and the requests expressed by the user in the classes of services expressed.
  • FIG. 12 shows an exemplary implementation of the eighth function F8 and the ninth function F9 of the method according to the invention. All F1, F2, F3, F4, F5, F6 and F7 functions are impiemented on a common hardware and software basis.
  • the NOC and SOC administration functions can cohabit more easily, which makes it possible to have MiB databases dedicated to an operating domain, a MiB network base and a security MIB database as well as a common MIB database containing "network" information and "non-sensitive security” information.
  • Sensitive information such as cryptographic elements (keys) are contained in the MIB dedicated to security. As a result, the security information is always accessible and they do not require any additional equipment for their accessibilities.
  • the system according to the invention groups all the functions. It is a single autonomous system (SA). Its administration is ensured by a WAN autonomous system or by a MAN autonomous system. To make it easier to track SLA service level agreements, information from the network and security administration MIB (common MIB database) can be read only by the autonomous system that is not responsible for the administration. of the process, to provide a vision of the quality of service to the autonomous system that does not provide this administration.
  • MIB common MIB database
  • Function F8 is related to functions F2, F3, F4, F5 and F6 to perform the administration (configuration) and supervision of these functions.
  • Function F9 is related to function F1 and F7 to perform the administration (configuration) and supervision of this function.
  • the function F8 is related to the database BD1.
  • Database BD1 is in read and write mode.
  • the function F9 is in relation with the database BD2 and the database BD2 is in read and write mode.
  • the database BD3 receives information from the database DB1 and BD2, the database BD3 being in read only mode.
  • MPLS is a candidate protocol for this function
  • VLAN The 802.1Q protocol
  • SPI the SPI number
  • the switch to the F4 function concerns the flows in session mode;
  • the distribution of functions F1 to F9 can also be performed with different hardware and software platforms.
  • the communication protocol between these platforms is a level 2 protocol.
  • the referral of flows to the function F4 concerns all flows in session mode and all flows in non-session mode.
  • the information from the function F7 concerning Traffic Engineering information (TE) is transmitted to the function F6 via the function F1.
  • TE Traffic Engineering information
  • the administration of the network and security information is consolidated in a single database.
  • the system 100 implements the secure flow management method described above.
  • the system 100 allows, in particular, secure interconnection of a first local network S1 with a plurality of other remote local networks through public or private WANs.
  • the system 100 comprises an observation module OB which receives the streams coming from the local network S1 and transmits them to an encryption device CH which performs the function of securing said streams, for example using the IPSec protocol.
  • the encrypted streams are then forwarded to an IN interface module which routes the streams to one or more WAN wide area networks based on predetermined criteria.
  • the system 00 also comprises an analysis module AN which receives a copy of each packet received by the observation module OB and which identifies flows and associates them with a degree of priority and / or security as well as requirements in terms of quality of service, and a decision module DE which receives information from the analysis module AN concerning each of the identified flows and information on the availability of point-to-point or point-to-multipoint links between the interface modules IN and predetermined characteristics through a lexical and syntactic analysis module ALS.
  • an analysis module AN which receives a copy of each packet received by the observation module OB and which identifies flows and associates them with a degree of priority and / or security as well as requirements in terms of quality of service
  • a decision module DE which receives information from the analysis module AN concerning each of the identified flows and information on the availability of point-to-point or point-to-multipoint links between the interface modules IN and predetermined characteristics through a lexical and syntactic analysis module ALS.
  • One of the aims of the system 100 according to the invention is to provide a referral of the streams transmitted from the local network S1 to one or more WANs by providing a differentiation of the services and a transmission of each stream to the WAN extended network the most. adapted according to predetermined constraints and the state of these extended networks.
  • the difficulty of such an adaptation resides in the presence of the encryption device CH which imposes a partitioning between the red-side (local network) and black-side (wide-area network) flows and therefore an information-exchange prevention between the red routers R1_S1 and the black routers R2_S1.
  • the observation module OB performs two functions.
  • the first function consists in duplicating each packet received from the local network S1 and transmitting a copy of each packet to the analysis module AN.
  • the second function consists in associating with each packet, a specific tattoo in the form of a field of the header of the packet or the frame which transports this packet during the exchanges between modules so as to identify the flows uniquely in the following of treatments performed by the different modules.
  • the identification of flows makes it possible to take into account the transmission constraints specific to each stream. Transmission constraint is understood to mean in particular the bit rate necessary for routing the stream to its destination or the constraints in terms of delay, jitter or packet loss rate that a stream can support while guaranteeing its routing or the degree security that needs to be taken.
  • the transmission medium in this case one of the IN module module links IN, is selected through available WANs extended networks best suited to each stream so as to guarantee its routing to its destination.
  • the tattooing of each packet is done, for example by modifying the value of the Differentiated Services Code Point (DSCP) field of an IP packet or by setting MAC addresses of the frame carrying the packet.
  • the observation module OB also performs the function F3 previously described for the first embodiment of the invention.
  • the encryption module CH ensures the security of data streams by encryption in tunnel mode.
  • the tunnels are dynamically established between each encryption module of each system connected to a source or destination LAN.
  • the packets transmitted by the observation module OB are encrypted in their entirety and encapsulated in a packet or frame where the identification of the stream will be at least locally readable, for example by means of the DSCP field of the encapsulating packet.
  • the encryption module CH also performs the function F1 previously described for the first embodiment of the invention.
  • the analysis module AN performs a qualitative and quantitative analysis of the flows flowing between the local network S1 and the remote LAN networks. This analysis makes it possible to anticipate the needs and to judge the good adequacy between needs and means of interconnection in place. Each fiux identified is associated with flow constraints to be respected. According to predefined categories, the analysis module AN associates the degree of priority of the flow with a minimum bandwidth requirement. The analysis of the degree of priority of a stream is performed, for example, by an interpretation of the "session" protocol by identifying the field which carries the information indicating the priority of the session which is determined by functional entities of the network MAN.
  • the analysis module AN also executes the function F4 previously described for the first embodiment of the invention.
  • the decision module DE establishes the policy of referral of the flows to the WAN extended network according to a part of the flow constraints to be respected of each of the streams and the number of flows to be served determined by the module. AN analysis, and secondly the availability of WAN extended networks.
  • the decision module DE thus determines the transport services that must be initiated, modified or canceled in accordance with the established referral rules. For this purpose, it generates adapted messages allowing a secure communication of choice of referral to the IN interface module.
  • the messages generated by the decision module DE must guarantee the partitioning of the data flows between the black part and the red part of the network. In particular, the messages transmitted between the decision module DE and the interface module IN must not be correlated to the data flows that pass between the local network S1 and the wide area networks WAN.
  • the decision module DE implements a set of controls, of the state machine type.
  • the decision module DE also takes into account, in the allocation of flows to a WAN network, the overhead added by the encryption module CH. This overhead is especially taken into account for the calculation of the transmission rate required for the routing of a stream according to its degree of priority.
  • the decision module DE also executes the functions F6 and F7 previously described for the first embodiment of the invention.
  • the lexical and syntactic analysis module ALS of the messages exchanged between the decision module DE and the interface module IN makes it possible to partition the red and black parts of the network.
  • the messages coming from the interface module IN are only accepted by the ALS module if they intervene in response to an explicit request formulated by the decision module DE.
  • These messages contain, in particular, the encrypted packet header attributes that make it possible to identify the link used among the available WANs as well as the characteristics of this link.
  • the lexical and syntactical analysis module ALS constitutes a secure gateway allowing on the one hand to inform the interface module IN of the referral decisions taken by the decision module DE and on the other hand to indicate to the decision module DE the state of the links established by WANs.
  • the security established by the ALS module can withstand denial of service attacks from potential WANs. It also guarantees the absence of information leaks.
  • the lexical and syntactical analysis module ALS also performs the function F5 previously described for the first embodiment of the invention.
  • the interface module IN performs the establishment of point-to-point or point-to-multipoint links between the local network S1 and at least one other remote network S2 through one or more extended WANs. It ensures that each link operates in the predetermined operating range and on which the decision module DE has established its referral policy. It provides the state of availability of the links established to the decision module DE, via the module ALS.
  • point-to-point or point-to-multipoint links can be established using the Multiprotocol Label Switching (MPLS) data transport mechanism or by introducing virtual VLANs.
  • MPLS Multiprotocol Label Switching
  • the interface module IN can apply the routing policy established, for each encrypted stream, according to its identification.
  • a link is characterized on the one hand by the identifiers of the local networks S1. , S2 that it connects and secondly by the data transfer parameters on this link. These parameters include the transfer delay, the average rate of packet losses, the level of security, the level of criticality, the maximum continuous rate, the maximum time of interruption of service.
  • a link is identified by a combination of encrypted packet header attributes, including the DSCP field and the source and destination addresses of the stream.
  • a link is maintained according to its predetermined characteristics. For example, in the event of a WAN network malfunction, the link may be maintained using other means of transmission, for example satellite transmission means.
  • the IN interface module also implements an IGP link state routing protocol having the ability to establish a link topology including bandwidth and busy band availability metrics.
  • a routing protocol adapted for this purpose is the OSPF-TE protocol.
  • OSPF-TE protocol Associated with this protocol, a calculation function of the shortest path is executed. It takes into account said metrics to define the best routes to reach the destination network.
  • the interface module IN also executes the functions F2, F4 and F7 previously described for the first embodiment of the invention.
  • the system 100 according to the invention and the modules of which it is composed are implemented on a common hardware and / or software basis.

Abstract

Système (100) de gestion de flux sécurisés transmis entre un premier réseau local (S1 ) et au moins un second réseau local (S2) interconnectés par l'intermédiaire d'une pluralité de réseaux étendus WAN (WAN M, WAN C), caractérisé en ce que le dit système (100) comporte au moins : - un module d'observation (OB), - un module de chiffrement (CH), - un module d'analyse (AN) qualitative et quantitative des flux de données, - un module interface (IN) - un module de décision (DE), - un module d'analyse lexicale et syntaxique (ALS) des messages transmis entre ledit module de décision (DE) et ledit module interface (IN).

Description

Système et méthode de gestion de flux sécurisés entre plusieurs sites distants
La présente invention concerne un système et une méthode de gestion de flux sécurisés entre plusieurs sites distants, réseaux locaux ou métropolitains.
L'invention concerne le domaine des architectures de télécommunications des réseaux et notamment les réseaux présentant de fortes contraintes en termes de sécurité. De telles architectures peuvent comporter à la fois des réseaux privés sensibles interconnectés avec des réseaux publics non sensibles. Les réseaux sensibles présentent de fortes capacités de résilience pour l'acheminement des flux sensibles au profit des usagers. Les réseaux publics non sensibles assurent l'acheminement des flux non sensibles au profit d'autres usagers. Par flux sensibles, on entend aussi bien les flux à caractère de confidentialité que de contraintes d'acheminement ou à caractère opérationnel. La protection en confidentialité des flux est assurée par les applicatifs ou par d'autres moyens mis en œuvre dans les réseaux de dessertes (campus) et qui n'influent pas directement sur l'architecture du système.
Le transport dans les dessertes (c'est-à-dire des LAN, « Local Area Network » pour réseaux locaux et/ou des MAN, « Metropolitan Area Network » pour réseaux métropolitains) des flux sensibles et non sensibles se caractérise par le fait que l'ensemble des flux est véhiculé sur un réseau MAN unique non sensible (les flux non sensibles sont par nature plus volumineux et touchent un plus grand nombre d'usagers). Pour assurer la protection d'acheminement sur des réseaux étendus WAN (« Wide Area Network ») de l'ensemble des flux (sensibles et non sensibles), ces derniers sont transportés chiffrés sur lesdits réseaux WAN par l'intermédiaire de tunnels IPsec (« Internet Protocol Security »).
Les moyens à fortes capacités de résilience sont des moyens d'infrastructure terrestres à grande capacité de ressources ou des moyens d'infrastructure satellitaires à plus faible capacité de ressources et ayant des contraintes de qualité de service (désignée aussi par l'acronyme QoS pour « Quality of Service) par exemple en termes de temps de latence, de temps de transit, de perte de paquets. La communication entre les usagers situés dans les dessertes est contrainte par l'emploi de chiffreurs IPsec et elle obéit à des règles de communications établies généralement de manières statiques, ces régies définissent les ayant droits à communiquer (généralement des sous réseaux) et les sites distants {les équipements de sécurité IPsec) que ces ayant droits peuvent atteindre. Ces informations sont contenues dans une base de donnée appelée SPD (« Security Policy Database »). La base SPD .n'est pas modifiable dynamiquement et nécessite des opérations manuelles de configuration de la part d'un opérateur. L'ensemble des règles inscrites dans la base SPD est appelée la « politique de sécurité des flux ».
Les flux circulant entre deux réseaux locaux distants sont de natures différentes, ils sont identifiés par une classe de trafic, par exemple à l'aide du mécanisme de classification DiffServ, le champ DiffServ étant un champ de l'en-tête d'un paquet IP. Les équipements en bordure de réseaux n'effectuent pas de traitement sur les flux en fonction de la classe de trafic, mais par rapport à une classe de service, une classe de service étant un regroupement d'un ensemble de classes de trafic. Ce principe permet de procéder à un traitement égalitaire sur les flux ayant des contraintes techniques identiques comme le temps de transit par exemple.
Avec les systèmes actuels, le chiffrement s'effectue avant le routage. Il est nécessaire de disposer de deux plans de routage, un plan de routage dans la partie rouge du réseau (avant les chiffreurs) et un plan de routage dans la partie noire du réseau (après les chiffreurs). Par contre il n'est pas possible de faire une corrélation entre ces deux plans de routage, car le plan de routage noir est masqué et inaccessible du fait de l'emploi de réseaux virtuels privés VPN IPsec (« Virtual Private Network Internet Protocol Security »).
Une technique connue est d'utiliser deux réseaux étendus WAN en fonction « backup » c'est à dire que le second réseau WAN ne sera utilisé que si le premier est en défaut de connectivité. Dans les autres cas et notamment en cas de saturation du réseau WAN, les flux continuent à emprunter le réseau WAN saturé.
Enfin, pour permettre un usage simultané des deux réseaux WAN, il est nécessaire de rétablir une topologîe de routage à partir du plan de routage rouge, cette solution utilise un tunneling des flux par l'emploi de tunnels GRE qui permettent de rétablir une connectivité entre les équipements routeurs rouges et d'élaborer le plan de routage rouge par l'utilisation d'un protocole à état de lien tel que le protocole IGP (OSPF par exemple).
L'art antérieur nécessite la mise en œuvre de plusieurs produits distincts (Switch, Firewall, Routeur et Chiffreur). Les opérations de gestion et de sécurité sont distinctes et nécessitent une corrélation entre les opérateurs pour définir l'établissement des politiques de sécurité et celles du routage (tunnels GRE). L'exploitation est rendue complexe sur les réseaux importants puisqu'il est nécessaire d'établir des tunnels GRE entre tous les sites.
La mise en œuvre d'une politique de gestion des flux est très limitée par le simple fait qu'il y a une visibilité limitée sur le contenu des paquets (champ DSCP) et non sur l'origine et la destination des flux. Ce qui implique de prendre les décisions de routage en amont (plan rouge).
L'offset engendré par les tunnels IPsec ne permet pas d'assurer un SLA cohérent entre les réseaux MAN (usagers) et WAN (transit), c'est pourquoi, il est nécessaire d'avoir un routeur (appelé dans certains cas routeur QoS) entre les WAN et les chiffreurs dont l'objectif principal est d'assurer une cohérence entre les flux en provenance du WAN et à destination des MAN et inversement.
Plusieurs problèmes demeurent non résolus par les systèmes de l'art antérieur. Notamment, l'élongation variable de la taille des paquets (overhead) apportée par le chiffreur ne permet pas d'avoir une cohérence sur la QoS. La politique de gestion des flux n'est pas effectuée selon le type de flux opérationnel. Il n'y a pas de politique de répartition des flux entre les WAN. Il n'y a pas de réservation et préemption des ressources sur les WAN qui mettent en œuvre des protocoles comme RSVP.
Les équipements de bordure de réseaux intègrent des fonctionnalités de gestion des classes de services par l'utilisation de plusieurs files d'attente et ils associent à ces files d'attente un processus particulier qui garantit aux usagers de ces services un traitement approprié de leurs flux lors des congestions dans les réseaux. Ces principes de QoS et les règles associées sont appelées « la politique de traitement des flux ». La figure 1 présente une architecture de réseaux interconnectés entre eux. Un objectif d'une telle architecture est d'assurer l'établissement sécurisé d'une ou plusieurs liaisons de communication entre un premier réseau local S1 , encore appelé enclave réseau, et un second réseau local S2. Ces deux enclaves réseau distantes sont interconnectées au moyen d'un ou plusieurs réseaux étendus public WAN_C ou privé WAN_M, filaires ou satellitaires. Les flux transmis entre les deux réseaux locaux S1 , S2 sont chiffrés, respectivement déchiffrés, par un dispositif Z_S1 , Z_S2 de chiffrement disposé entre chaque réseau local et le ou les réseaux étendus. Un ou plusieurs routeurs rouges R1_S1 , R2_S2 assurent l'aiguillage des flux à destination et en provenance des enclaves réseaux S1 , S2. Un ou plusieurs routeurs noirs R2_S1 , R2_S2 assurent l'aiguillage des flux chiffrés à travers le ou les réseaux étendus vers l'enclave réseau distante.
Un premier problème lié à ce type d'architecture concerne le cloisonnement entre les réseaux étendus WAN d'une part et les réseaux locaux d'autre part du fait du chiffrement des flux de données. Seuls les flux de données d'une enclave réseau peuvent atteindre une autre enclave réseau en conformité avec le contenu de la base de données SPD. En d'autres termes aucun flux de données ne peut circuler entre une enclave réseau S1.S2 et un réseau étendu WAN. Les communications autorisées sont nécessairement entre deux équipements de chiffrement. Cette absence de communication directe possible entre un réseau local et un réseau étendu pose un problème lorsque l'on souhaite déterminer le type de réseau étendu à utiliser pour établir une liaison de communication en fonction des caractéristiques intrinsèques d'un flux de données provenant d'une enclave réseau. En effet, les flux transmis peuvent être classés en fonction d'une qualité de service qui leur est attribuée par exemple par rapport à leur degré de priorité (flux vitaux ou non) , à leurs besoins en bande passante et débit ou encore aux contraintes de délai, de gigue et/ou de pertes paquets qu'ils peuvent supporter. Pour pouvoir déterminer le canal de communication, parmi les réseaux étendus WAN disponibles, le plus adapté aux flux de données à transmettre, il est donc nécessaire d'établir une communication entre l'enclave réseau et les réseaux étendus afin de communiquer les besoins identifiés. Ce type de communication n'est pas possible avec les architectures connues du fait de la présence des équipements de chiffrement.
Un deuxième problème lié aux architectures sécurisées connues concerne le routage des flux de données à travers les différents réseaux étendus. Les protocoles de routage actuels, par exemple le protocole OSPF, permettent de router les flux en fonction du coût des liens. Cependant pour pouvoir utiliser un protocole de routage à état de lien entre les réseaux locaux S1.S2 distants il est nécessaire d'établir des liaisons directes entre ces réseaux permettant de s'abstraire de la présence des équipements de chiffrement. Une telle liaison directe est, par exemple, mise en œuvre à l'aide du protocole GRE (Generic Routing Encapsulation). Les protocoles de routage implémentés dans les réseaux étendus WAN n'ont aucune interaction avec le protocole de routage à état de liens mis en œuvre par les routeurs R1__S1 , R1_S2, en effet, ils sont masqués par les tunnels IPsec. Aussi, les incidents qui interviennent dans les différents réseaux WAN ne seront pris en compte au niveau des routeurs R1_S1 , R1_S2 que sur détection par le protocole à état de lien d'un dysfonctionnement. Le dysfonctionnement observé par le routeur pour changer le routage est une rupture du lien, c'est à dire une rupture du tunnel GRE. Dans ce cas, le protocole à état de lien peut router les flux vers un autre réseau WAN. Le partage de charge entre les différents réseaux WAN peut se faire à condition que les coûts des liens soient identiques.
Ce type de fonctionnement ne permet pas de router intelligemment les flux en tenant compte de critères sur l'un et l'autre des réseaux étendus WAN. Il ne permet pas non plus d'optimiser la capacité en transit des réseaux WAN. Cela revient à n'utiliser que les réseaux WAN en deçà de leur capacité de transit ou à provisionner de la ressource en excédant sur l'un ou l'autre des réseaux WAN.
Un troisième problème des architectures sécurisées connues concerne l'aiguillage des flux vers les différents réseaux WAN disponibles en fonction de la sensibilité de leur contenu. En effet les flux sensibles doivent être dirigés vers un réseau étendu privé sécurisé alors que les flux non sensibles peuvent être dirigés vers un réseau étendu public. Pour réaliser cet aiguillage, il est nécessaire d'analyser les applicatifs qui sont au dessus de la couche IP ou de recourir à une identification précise de la source et de la destination des flux. Les sites hébergent des usagers ayant des fonctions administratives ou opérationnelles, ces usagers sont considérés soit comme des usagers vitaux (en nombre restreint) ou non vitaux et ils génèrent des flux sensibles et non sensibles. Il n'existe pas de corrélation entre usagers vitaux et flux sensibles, un usager non vital peut générer des flux sensibles.
Les flux en provenance des réseaux locaux LAN et/ou AN sont chiffrés pour des raisons de niveau de sécurité de ces flux. Dans ce cas, l'analyse des paquets ne peut être réalisée que sur le champ DSCP (« Differentiated Services Code Point ») du paquet IP, qui bénéficie d'une recopie intégrale sans altération de la part des équipements de chiffrement. Aussi, l'aiguillage des flux vers l'un ou l'autre des réseaux WAN ne peut être réalisé qu'à partir de ce champ DSCP ce qui est limitant pour réaliser une analyse précise de la sensibilité des flux.
Les trois problèmes précités sont liés directement ou indirectement aux contraintes techniques introduites par la présence d'équipements chiffreurs qui limitent les échanges possibles entre la partie noire (réseaux locaux) et la partie rouge (réseaux étendus) du réseau.
La figure 2 illustre une topologie, similaire à celle de la figure 1 , d'architecture de réseau sécurisé selon l'état de l'art.
Une telle architecture comprend des usagers de la desserte d'un premier réseau local S1 , qui sont respectivement les abonnés A1_S1 et abonnés A2_S2. Ces usagers disposent d'adresses IP différentes, identifiables par leur préfixe. Les usagers du site S2 disposent également d'adresses différentes entre abonnés B1_S2 et B2_S2 et vis à vis du réseau local S1. Les flux entre les usagers des réseaux locaux enclavés S1 et S2 sont aiguillés vers les routeurs de sortie R1_S1 , R1_S2, ou routeurs rouges, de chaque réseau local. Les routeurs R1_S1 et R1_S2 sont optionnels. Ils permettent, par exemple, de gérer les abonnés des enclaves réseau sous forme de plusieurs communautés ayant des attributs différents. Ils permettent aussi de gérer la bande passante théorique disponible en affectant des priorités aux abonnés. Le système de la figure 2 comprend également des chiffreurs Z_S1 , Z_S2. Le chiffreur Z_S1 assure une protection des flux en provenance du routeur R1_S1 à destination du routeur R2_S1. La protection est par exemple mise en œuvre à l'aide du protocole IPSec en mode tunnel. La politique de sécurité affectée à chaque chiffreur permet de cloisonner les flux en provenance du réseau local S1 et à destination des usagers du réseau local S2. L'encapsulation IPSec permet de masquer aux réseaux étendus WAN_C et WAN_M les adresses des réseaux locaux S1 et S2. Le chiffreur Z_S2 assure un rôle équivalent au chiffreur Z_S1 pour le réseau local S2. Les adresses IP sur l'interface noire des chiffreurs sont les seules adresses visibles par les réseaux étendus WAN_ et WAN_C. Ce sont ces adresses qui sont utilisées par ces réseaux WAN pour router les flux en provenance et à destination des routeurs R2_S1 et R2_S2.
Les routeurs noirs R2_S1 , R2_S2 sont situés entre les dispositifs de chiffrement Z_S1 , Z_S2 et les réseaux étendus. Us permettent l'aiguillage des flux vers les réseaux étendus en fonction de leur politique de traitement des flux. Une telle politique consiste, par exemple, à aiguiller les flux sensibles vers le réseau privé WAN_M et les flux non sensibles vers le réseau public WAN_C. Par ailleurs, les routeurs noirs R2_S1 , R2_S2 ajustent la valeur du champ DSCP des paquets en fonction des classes de service offertes par les réseaux étendus WAN. Ils assurent également la mise en forme des paquets pour compenser la redondance introduite par les chiffreurs.
Le réseau étendu privé WAN_ véhicule les flux entre les réseaux locaux S1 et S2 selon un routage qui lui est propre. Le réseau étendu public WAN_C réalise les mêmes fonctions de routage en fonction de ses propres paramètres (topologie, protocoles de routage, QoS, etc.). Dans l'exemple d'architecture de la figure 2, le système comprend seulement deux réseaux étendus WAN_ , WAN_C, mais il pourrait s'appliquer également à un plus grand nombre de réseaux étendus. Les réseaux étendus WAN_M et WAN_C sont des fournisseurs de services de transport qui présentent les fonctionnalités suivantes :
- « Reporting » en temps réel de l'état des liaisons établies par le fournisseur de services. Si par exemple, suite à une intempérie, il devait y avoir une congestion au niveau du réseau WAN_C, les flux continueraient à être aiguillés vers ce dernier alors qu'ils auraient pu être acheminés, au moins pour les plus vitaux d'entre eux, vers le réseau WAN_M. Le « Reporting » permet de mettre en œuvre ce type de politique d'aiguillage.
- « Pre-emption & Priority Management » : Les problèmes internes au niveau d'un WAN se traduisent dans la grande majorité des cas par une réduction de la bande passante équivalente et très rarement par une coupure franche de la transmission. La bande passante restante doit donc être gérée au mieux. Cette fonctionnalité permet une gestion stricte de la priorité, au niveau des au flux et non des paquets, et offrent des mécanismes de préemption permettant d'attribuer la bande passante restante au flux les plus vitaux.
- « Protection and Restoration (P&R) » : Certaines applications exigent qu'il n'y ait aucune interruption au niveau du transport des flux ou plus exactement que les interruptions restent inférieures à 50ms. Par ailleurs, cette exigence est totalement indépendante de la criticité de l'application (vitale ou non vitale). Le P&R permet d'exprimer auprès du WAN_C ou WAN_M le souhait d'un chemin de « back-up » de type 1 pour 1 , 1 pour N voire P pour N. Il est aussi possible de mettre en œuvre ce type de mécanisme au niveau « overlay ». En d'autres termes, les chemins nominaux peuvent être établis sur un WAN et les chemins de « back-up » sur l'autre WAN.
- « Make before Break » : Cette fonctionnalité s'avère intéressante lorsque des opérations de maintenance doivent être conduites sur un WAN et que ces dernières impactent la continuité des liaisons établies. Il s'agit ici de « prévenir plutôt que de guérir ». De nouvelles routes sont calculées et mises en œuvre avant d'interrompre celles qui étaient en place. Ce type de mécanisme peut aussi être relayé au niveau « overlay ». Au lieu de trouver une alternative d'acheminent au sein d'un même WAN, le deuxième WAN est mis à contribution.
Les architectures de réseau selon la figure 2 permettent de solutionner partiellement le troisième problème décrit ci-dessus concernant l'aiguillage des flux chiffrés. En effet, il est possible de mettre en place une politique de routage basée sur le couple adresse IP destination et valeur du champ DSCP. Le chiffreur masque les adresses IP source et destination des abonnés mais pour des raisons évidentes de routage ajoute en clair des adresses IP source et destination correspondant aux chiffreurs émetteur et récepteur. En d'autres termes, il s'agit de créer un nouvel en-tête de niveau de la couche réseau. Dans ce nouvel en-tête, la valeur du champ DSCP correspond à celle présentée en entrée.
Cependant, cette solution est très insuffisante pour opérer des politiques d'aiguillage avancées. En effet, la valeur du champ DSCP permet d'identifier le type de flux (temps réel / temps élastique, voix / data, ...) mais en aucun cas le niveau de criticité du flux. De pius, les politiques d'aiguillage ne peuvent s'appliquer qu'à l'ensemble du trafic allant d'un chiffreur à un autre, il n'y a plus de visibilité sur les abonnés ou groupe d'abonnés.
La figure 3 illustre le routage des flux dans un réseau du type de celui de la figure 2.
Chaque système autonome met en œuvre des protocoles de routage
IGP (Interior Gateway Protocol) et EGP (Exterior Gateway Protocol) pour router les flux. Un exemple de protocole IGP est le protocole BGP (Border Gateway Protocol). Un exemple de protocole EGP est le protocole OSPF.
Les systèmes autonomes représentant les enclaves S1 , S2, S3, S4 mettent en œuvre le protocole OSPF dans un domaine de routage qui comprend les routeurs rouges R1_S1 , R1_S2, R1_S3, R1_S4 mais exclut les chiffreurs Z_S1 , Z_S2, Z_S3, Z_S4. Les chiffreurs n'implémentent pas le protocole OSPF et ne sont pas capables d'établir une topologie de routage à partir de la source (eux mêmes) vers les destinataires. Le routage des flux dans les chiffreurs est réalisé par la politique de routage Security Policy (SP) et Security Association (SA), informations contenues dans la base de données SPD (« Security Policy Database »).
Les routeurs noirs R2_S1 , R2_S2, R2_S3, R2_S4 mettent en œuvre le protocole OSPF pour permettre de prendre en compte dans les architectures complexes une entité indépendante administrativement du site principal, mais utilisant les ressources communes aux différents WAN. Les routeurs QoS étant gérés (Administration / Supervision) par l'entité du site principal. L'ensemble des routeurs QoS des sites de la même entité organisationnelle forment un fédérateur de transit vis à vis des sites de desserte qu'ils raccordent et ceci pour une catégorie de flux donné (sensibles ou non sensibles).
Le protocole BGP est implémenté entre les routeurs R2_S1 , R2_S2, R2_S3, R2_S4 et les réseaux WAN_M et WAN_C. Il permet de communiquer aux différents WAN les préfixes des sous réseaux présents dans les dessertes.
Les réseaux WAN implémentent un protocole de routage (OSPF par exemple). Il assure le routage des flux entre les différentes dessertes interconnectées. Ce protocole permet d'établir une topologie de routage en affectant des coûts aux chemins empruntés. Le choix de la route étant celui de moindre coût. Les préfixes indiqués dans les tables de routage des routeurs des réseaux WAN sont les préfixes des adresses noires de chiffreurs, les adresses du plan usager étant masquées par les chiffreurs.
Le protocole OSPF est un protocole à état de liens, pour fonctionner, il nécessite que les routeurs qui utilisent ce protocole soient adjacents, ce que l'on peut traduire par « être connexe par un lien direct », or, les chiffreurs ne permettent pas d'avoir un lien direct entre une entité non protégée et une entité protégée. Pour rétablir une connectivité entre les routeurs R1_S1 , R1_S2, R1S3, R1_S4 il est nécessaire d'utiliser des tunnels GRE, puis de mettre en œuvre le protocole OSPF sur ces « interfaces GRE ». Les tunnels GRE sont implémentés en surcouche de la couche IPsec (protocole ESP) et ils génèrent un surdébit de 4 octets supplémentaires. De lors il est possible de reconstruire une topologie de routage OSPF entre les dessertes au travers les tunnels GRE.
La gestion de la qualité de service est implémentée dans les routeurs R2_S1 , R2_S2, R2_S3, R2_S4 . Dans chaque routeur elle doit être conforme à la politique de qualité de service vis-à-vis des réseaux WAN, WAN_M et WAN_C ainsi que celle des routeurs R1_S1 , R1_S2, R1_S3, R1_S4, installés sur le site au profit des entités administrati ves. La cohérence globale de la qualité de service au profit d'un usager collectif qui doit véhiculer des flux sensibles et non sensibles n'est réalisable que par des opérations de configuration indépendantes des routeurs QoS, chaque routeur a à traiter des flux sensibles ou non sensibles. Un but de l'invention est de résoudre au moins un des problèmes précités. La solution proposée permet de prendre les décisions de routage avant de chiffrer les informations et d'intégrer dans un seul et même produit toutes les fonctions nécessaires à l'interconnexion du MAN aux WANs. Les directives de routage sont établies du coté rouge du réseau et sont appliquées du coté noir.
Un avantage de la solution proposée est de pouvoir réaliser l'interconnexion d'un MAN avec des WANs en apportant des fonctions de résilience opérationnelles. L'emploi du routeur selon l'invention pour gérer des flux sécurisés de données comporte notamment les avantages suivants :
• permettre une coopération entre les plans de routage rouge et établissement des tunnels IPsec ;
• permettre un usage simultané des deux réseaux WAN en tenant compte des caractéristiques « instantanées » de ces WAN, taux d'occupation des ressources, délais de transit des paquets, gigue
(QoS indicateurs) ;
• aiguiller les flux en provenance des dessertes en fonctions des états des WAN et selon le caractère de ces flux (priorité, type de flux, etc.) ;
• garantir l'acheminement d'une certaine catégorie de flux (flux vitaux) ; · garantir la qualité de service de bout en bout, d'usager à usager ;
• offrir des fonctions de résilience opérationnelles ;
• assurer une cohérence du routage de bout en bout sur les réseaux VPN sécurisé ;
• optimiser les ressources de transit.
L'invention a notamment pour objet un système de gestion de flux sécurisés transmis entre un premier réseau local (S1 ) et au moins un second réseau local (S2) interconnectés par l'intermédiaire d'une pluralité de réseaux étendus WAN (WAN M, WAN C), caractérisé en ce que le dit système comporte au moins :
o un module d'observation (OB) recevant les flux de données émis depuis ledit premier réseau local (S1 ) et à destination d'au moins un desdits second réseau local (S2), ledit module d'observation (OB) étant adapté à associer à chaque paquet dudit flux un tatouage permettant d'identifier les flux de données de manière unique,
un module de chiffrement (CH) desdits paquets tatoués par ledit module d'observation (OB), l'opération de chiffrement excluant l'information tatouée,
un module d'analyse (AN) qualitative et quantitative des flux de données émis depuis ledit premier réseau local (S1 ) permettant de classer les flux selon leur degré de priorité et/ou de sécurisation, ce degré étant déterminé au moins à partir de la source, de la destination ou du type d'utilisateur du flux,
un module interface (IN) réalisant d'une part l'établissement et le maintien de liaisons de données point à point ou point à multipoint entre ledit premier réseau local (S1 ) et au moins un desdits réseau local (S2) distant, chaque liaison de données utilisant les moyens de transmission fournis par un ou plusieurs desdits réseaux étendus WAN et fournissant des caractéristiques de communications dans une plage de fonctionnement prédéterminées, et d'autre part l'aiguillage des flux sécurisés sur ces liaisons en fonction de règles cohérentes avec les opérations de tatouage dudit module d'observation (OB) et de chiffrement dudit module de chiffrement (CH),
un module de décision (DE) associant à chaque flux de données, en fonction de leur degré de priorité et/ou de sécurisation déterminé par le module d'analyse (AN), une liaison de données prédéterminée parmi les liaisons de données établies par ledit module interface (IN) et en fonction de la probabilité d'acheminement correct d'un flux empruntant chaque liaison de données établie par ledit module interface (IN),
un module d'analyse lexicale et syntaxique (ALS) des messages transmis entre ledit module de décision (DE) et ledit module interface (IN) de façon à assurer un cloisonnement des échanges entre ledit premier réseau local (S1 ) et lesdits réseaux étendus (WAN). Dans une variante de réalisation de l'invention, ledit module d'observation (OB) réalise le tatouage des flux en modifiant la valeur du champ DSCP des paquets IP contenus dans lesdits flux.
Dans une variante de réalisation de l'invention, ledit module de chiffrement (CH) met en œuvre le protocole IPSec en mode tunnel.
Dans une variante de réalisation de l'invention, lesdits flux sont associés à une liaison de données utilisant un réseau étendu privé (WAN_M) ou un réseau étendu public (WAN_M) en fonction de la nature de leur source.
Dans une variante de réalisation de l'invention, les flux dont le degré de priorité est le plus élevé sont associés aux liaisons de données bénéficiant du débit disponible le plus élevé.
L'invention a également pour objet une méthode de gestion de flux sécurisés transmis entre un premier réseau local (S1 ) et au moins un second réseau local (S2) interconnectés par l'intermédiaire d'une pluralité de réseaux étendus WAN (RW1.WAN M, WAN C), lesdits réseaux locaux (S1 , S2) comportant au moins une interface 11 d'entrée/sortie, lesdits réseaux étendus WAN comportant au moins une interface I2,I3 d'entrée/sortie, ladite méthode étant caractérisée en ce qu'elle comporte au moins les étapes suivantes pour chaque réseau local {S1 , S2) :
o définir une pluralité de fonctions F1 à F9 aptes à être intégrées sur une plateforme matérielle et/ou logicielle unique connectée auxdites interfaces 11 , 12, 13 desdits réseaux locaux et étendus, o la fonction F1 assure la protection IPsec des flux en provenance des interfaces 11 et à destination des interfaces 12 et 13., la fonction
F1 étant décomposée en sous fonctions F1.1 à F1.n, n représentant le nombre de réseaux étendus WAN,
o la fonction F2 assure l'établissement d'une pluralité de liaisons point à point entre lesdites plateformes matérielles connectées aux interfaces d'entrée/sortie de chaque réseau local (S1 , S2), o la fonction F3 assure l'aiguillage, selon leurs caractéristiques des flux en provenance et à destination de l'interface M dudit réseau local (S1 ) en séparant les flux en mode session des autres flux, o la fonction F4 assure le traitement des flux en mode session, o la fonction F5 assure le traitement des échanges entre la fonction F1 et la fonction F4, notamment en indiquant à !a fonction F1 , les débuts, fins et numéros de sessions compris dans lesdits flux, o la fonction F6 assure le traitement des congestions,
o la fonction F7 assure rinterfonctionnement avec les réseaux étendus WAN, en récupérant les informations d'ingénierie de trafic (TE), en les synthétisant et en les communiquant à la fonction F , o les fonctions F2, F3, F4 et F5 sont des fonctions réseau dont l'administration est assurée par la fonction F8,
o la fonction F9 assure l'administration des fonctions de sécurité telle que la fonction F1.
D'autres caractéristiques apparaîtront à ia lecture de la description détaillée donnée à titre d'exemple et non limitative qui suit faite en regard de dessins annexés qui représentent :
- la figure 1 , un exemple d'une architecture d'un système selon l'art antérieur,
- la figure 2, une autre illustration de l'exemple d'architecture de la figure 1 ,
- la figure 3, une illustration du routage des flux de données dans un réseau du type des figures 1 ou 2,
- la figure 4, un synoptique de l'architecture générale du système selon l'invention dans un premier mode de réalisation,
- la figure 5, un exemple de mise en œuvre d'une première fonction F1 du procédé selon l'invention dans le premier mode de réalisation,
- la figure 6, un exemple de mise en œuvre d'une deuxième fonction F2 du procédé selon l'invention dans le premier mode de réalisation,
- la figure 7, un exemple de mise en œuvre d'une troisième fonction F3 du procédé selon l'invention dans le premier mode de réalisation,
- la figure 8, un exemple de mise en œuvre d'une quatrième fonction F4 du procédé selon l'invention dans ie premier mode de réalisation,
- la figure 9, un exemple de mise en œuvre d'une cinquième fonction F5 du procédé selon l'invention dans le premier mode de réalisation,
- la figure 10, un exemple de mise en œuvre d'une sixième fonction F6 du procédé selon l'invention dans le premier mode de réalisation, - la figure 11 , un exemple de mise en œuvre d'une septième fonction F7 du procédé selon l'invention dans le premier mode de réalisation,
- la figure 12, un exemple de mise en œuvre d'une huitième fonction F8 et d'une neuvième fonction F9 du procédé selon l'invention dans le premier mode de réalisation,
- la figure 13, un synoptique de l'architecture du système selon l'invention dans un second mode de réalisation,
Le transfert de données par les réseaux IP n'est soumis à aucune garantie d'acheminement et de remise de ces données à un usager final, ce mode de fonctionnement en Best Effort est le mode de fonctionnement nominal des réseaux IP. A part quelques fonctionnalités spécifiques bâties sur le traitement du champ DSCP du paquet IP, associées à une gestion de files d'attente permettant un acheminement prioritaire de certains paquets IP par rapport à d'autres.
Pour garantir l'acheminement des données, ii est implicitement nécessaire d'une part, d'établir une relation permanente entre les deux extrémités (usagers) pendant la durée de la communication. Seul un mode de fonctionnement connecté permet de garantir cette relation et d'autre part de procéder à une réservation de ressources sur les réseaux WAN correspondant aux besoins de la communication sur le trajet de celle-ci. Ces ressources étant réservées dans chaque équipement impliqué par la communication. On décrit à présent, à l'appui des figures 4 à 12, un premier mode de réalisation d'une méthode et d'un système de gestion de flux sécurisés dans un réseau selon l'invention.
La figure 4 illustre l'architecture du système selon l'invention dans un premier mode de réalisation.
L'architecture du système selon l'invention met en œuvre un ensemble de fonctions dans le but de résoudre les limitations des architectures de réseau connues telles qu'illustrées sur les figures 1 et 2. En particulier l'invention permet, d'assurer une interconnexion sécurisée entre un ou plusieurs réseaux locaux LAN et un ou plusieurs réseaux étendus WAN publics ou privés.
Le système selon l'invention est interfacé, d'une part avec un premier réseau local S par l'intermédiaire d'une interface 11 et d'autre part avec les réseaux étendus WAN disponibles, par l'intermédiaire d'une pluralité d'interfaces I2,l3,ln, pour établir une liaison point à point entre ledit premier réseau local S1 et un ou plusieurs autres réseaux locaux S2 distants.
Une fonction F1 assure la protection sécurisée, par exemple par le biais du protocole IPSec, des flux en provenance des interfaces 11 et à destination des interfaces 12 et 13. La fonction F1 est décomposée en sous fonctions F1.1 à F1.n, n représentant le nombre de réseaux étendus WAN en interface avec le procédé. Une interface Ix est affectée à une sous fonction F1.x.
Une fonction F2 assure l'établissement d'une pluralité de liaisons point à point de caractéristiques de transfert prédéterminées entre le système selon l'invention connecté au premier réseau local S1 et les systèmes distants connectés aux autres réseaux locaux S2.
Une fonction F3 assure l'aiguillage et la reconnaissance des flux en provenance et à destination de l'interface 11. L'aiguillage des flux sépare les flux en mode session des autres flux.
Une fonction F4 assure le traitement des flux en mode session.
Une fonction F5 assure le traitement des relations entre la fonction F1 et la fonction F4. Elle permet notamment d'indiquer la fonction F1 , les débuts et fins de sessions ainsi que les N° des sessions.
Une fonction F6 assure le traitement des aspects de congestions et le traitement des aspects relatifs au Trafic Engineering (TE) et commande l'aiguillage des flux reconnus par ia fonction F3 sur les liaisons établies par la fonction F2 en fonction des états de congestion qu'elle détecte.
Une fonction F7 assure l'interfonctionnement avec les WAN noirs en traduisant les flux traversant la fonction F1 de manière à mettre en équivalence les liaisons point-à-point établies par la fonction F2 avec des chemins gérées par les réseaux WAN étendus. Elle a également en charge de récupérer les informations de TE des WAN noirs, de les synthétiser et de les communiquer a la fonction F1. Une fonction F8 assure l'administration des fonctions réseaux. Les fonctions F2, F3, F4 et F5 sont des fonctions réseau.
Une fonction F9 assure le traitement des fonctions sécurité. La fonction F1 est une fonction de sécurité.
Des bases de données sont associées à ces fonctions, elles permettent de stocker les informations propres aux fonctions réseaux, sécurité ou des informations communes à ces deux fonctions. Ces bases de données appelées bases de données MIB (« Management Information Base ») sont les suivantes :
· une base de données MIB BD1 qui est dédiée aux opérations d'administration et de supervision des fonctions réseaux, accessible en lecture et écriture par la fonction F8.
• Une base de données MIB BD2 qui est dédiée aux opérations d'administration et de supervision des fonctions sécurité, accessible en lecture et écriture par la fonction F9.
• une base de données MIB BD3, commune aux fonctions réseaux et sécurité, accessible en lecture uniquement.
La figure 5 présente un exemple de mise en œuvre de la première fonction F1 du procédé selon l'invention. Les réseaux locaux S1 ,S2 sont chacun interconnectés aux réseaux étendus WAN_M,WAN_C par l'intermédiaire d'un système 501 ,502 selon l'invention qui met en œuvre les fonctions précitées. Les flux entrant et sortant des réseaux locaux LAN/MAN sur les interfaces 11 nécessitent une protection. Cette protection est assurée par la mise en œuvre de la fonction F1. La fonction F1 est une fonction IPsec en mode tunnel. Elle est réalisée pour chaque interface I2,!3 entre le système 501 ,502 selon l'invention et les réseaux étendus. Dans l'exemple de la figure 5, deux fonctions F1 , respectivement notées F1.1.F1.2 sont réalisées pour chaque interface I2.I3. Les tunnels sont établis dynamiquement entre les fonctions F1.1.F1.2 exécutées par les systèmes 501 ,502 distants. La fonction F1 met en œuvre un procédé de découverte automatique des procédés distants. Elle assure l'authentification des procédés distants, l'entretient de la connectivité des tunnels IPsec entre les entités F1.1 , F1.2 locales et distantes. La figure 6 présente un exemple de mise en œuvre de la deuxième fonction F2 du procédé selon l'invention. L'utilisation de tunnels IPsec établis au travers de réseaux WAN nécessite de positionner d'autres tunnels GRE en superposition, ou overlay, de ces tunnels IPsec, ce principe n'est pas extensible sur des topologies réseaux importantes. Pour pallier ce défaut, ia solution proposée est d'utiliser une fonction « under!ay », c'est à dire de travailler au niveau inférieur à IPsec pour établir les relations entre entités distantes. Cette fonction désignée F2 permet d'établir une liaison point à point entre deux unités distantes, le protocole MPLS (« ulti-Protocol Label Switching ») est un des protocoles qui permet de satisfaire cette fonction. D'autres techniques comme les réseaux locaux virtuels VLAN peuvent également satisfaire la fonction F2. Les liaisons entre les fonctions F2 sont établies sur les interfaces 12 et 13. Les informations émises ou reçues par cette fonction F2 empruntent les interfaces 12 et 13.
La figure 7 présente un exemple de mise en œuvre de la troisième fonction F3 du procédé selon l'invention. La fonction F3 est en relation « fuJI duplex » avec l'interface 11 , c'est-à-dire en communication bidirectionnelle simultanée. Les fiux en provenance de l'interface 11 sont aiguillés selon leurs caractéristiques vers la fonction F4 ou vers la fonction F2. Les flux en mode session, comme le protocole SIP (« Session InitiationProtocol ») par exemple, sont aiguillés vers la fonction F4, les autres flux sont aiguillés vers la fonction F2.
La fonction F3 permet également de prolonger vers le système selon l'invention les caractéristiques de cloisonnement entre usagers, comme les réseaux virtuels VLAN (« Virtual Local Area Network ») ou les tables de routage virtuelles VRF {« Virtual Routing and Forwarding Table »). Ces caractéristiques peuvent être acheminées par le procédé local vers les procédés distants.
La figure 8 présente un exemple de mise en œuvre de la quatrième fonction F4 du procédé selon l'invention.
La fonction F4 reçoit uniquement les fiux en mode session en provenance de la fonction F3 (par exemple le protocole SIP). La fonction F4 interprète le protocole « session » et elie identifie dans le protocole le champ qui porte les informations MLPP indiquant la priorité de la session, ces informations ont été forgées dans le champ concerné {le champ RP dans le cas du protocole SIP) par des entités fonctionnelles du réseau local LAN/MAN. Une requête RSVP (« Resource ReSerVation Protocol ») ou RSVP-TE (« Resource ReSerVation Protocol -Trafic Extension ») selon le réseau étendu WAN sous jacent est générée vers la fonction F4 du procédé distant destinataire de la session par l'intermédiaire de la fonction F3.
La fonction F4 met en œuvre un protocole de routage Internet de type IGP (« Interior Gateway Protocol ») ayant la capacité à établir une topologie de liens incluant des métriques de disponibilité de bande passante, de bande occupée, notamment. Le protocole OSPF-TE est un de ces protocoles qui peut convenir pour cette partie de fonction. Associé à ce protocole de routage internet, une sous fonction de calcul de meilleur chemin tenant compte des métriques évoquées ci-dessus permet de définir les meilleures routes pour joindre les systèmes de gestion des flux sécurisés distants. La sous fonction C-SPF est une des fonctions permettant de satisfaire ce calcul. Les informations issues de C-SPF sont indiquées comme paramètres dans la requête RSVP-TE. La fonction F4 génère des requêtes RSVP ou RSVP-TE que vers les réseaux WAN qui acceptent ces requêtes.
La figure 9 présente un exemple de mise en œuvre de la cinquième fonction F5 du procédé selon l'invention. La fonction F5 permet le dialogue entre les fonctions F4 et chaque fonction F1.1.F1.2. Cette fonction est une fonction de commande qui émet et/ou reçoit des messages en provenance ou à destination des fonctions F4 et F1. Les messages sont véhiculés par le protocole UDP {« User Datagram Protocol »). Les principaux messages permettent d'envoyer et de recevoir des informations sur les sessions de communications à ouvrir, à fermer ou sur le comportement à tenir vis-à-vis des communications en fonctions de paramètres issus de la fonction F1 et notamment de sa partie « interface noire ». La fonction F5 permet de faire le lien entre le numéro de session (par exemple, un numéro de LSP) et un contexte IPsec (par exemple un numéro de SPI, « Security Parameter Index »), informations contenues dans la SDP. La figure 10 présente un exemple de mise en œuvre de la sixième fonction F6 du procédé selon l'invention. La fonction F6 est en relation avec les fonctions F3, F4. Elle met en œuvre plusieurs moyens et mécanismes pour gérer les congestions ou influer sur le traitement des flux, les opérations mises en œuvre par les fonctions F4 et F6 étant dénommées « politique de traitement des flux ».
La fonction F4 dispose de l'ensemble des contextes des sessions établies et en cours d'établissement, ainsi que des niveaux de priorité de ces sessions. En fonctionnement nominal, les flux sont routés vers les réseaux WAN présents en mode « actif - actif » c'est à dire que le routage choisit un des réseaux WAN selon les types de flux à router et les contraintes associées à ces flux. Ce principe permet d'utiliser toutes les capacités des réseaux WAN en même temps sans fonctionnement du type « actif - backup ». En cas de congestion signalée à la fonction F6, les principales méthodes utilisées pour influer sur le traitement des flux sont les suivantes, cette liste n'étant pas exhaustive :
• Mode DiffServ : le routage des flux est réalisé en fonction du champ DSCP et selon un nombre de classes de service ;
• Mode Bit ECN : Une congestion signalée sur positionnement du bit ECN sur une session ou une classe de service du type
« données » provoque un changement du chemin de routage des flux concernés par cette congestion ;
• Mode SAA : La fonction met en œuvre des outils permettant de mesurer certaines caractéristiques des flux au travers des réseaux WAN. Ces outils permettent de mesurer la gigue, le délai de transit, la latence et ceci sur chacun des réseaux WAN. L'analyse des résultats peut provoquer un changement du chemin de routage des flux concernés par l'analyse des métriques, si ces derniers sont dans des valeurs hors des limites prescrites dans le contrat de niveau de service « SLA » ;
• Mode « déni de service ». Une attaque en déni de service est détectée par la fonction F1 et signalée à la fonction F4 au travers la fonction F5 est retransmisse à la fonction F6 qui provoque un changement du chemin de routage des flux concernés par cette attaque. La figure 11 présente un exemple de mise en œuvre de la septième fonction F7 du procédé selon l'invention. Les flux entrant et sortant de et vers les réseaux WAN sur les interfaces 12, 13 sont véhiculés vers ces interfaces par la fonction F7. La fonction F7 est dupliquée en autant de fonctions (F7.1 à F7.n) qu'il existe de réseau WAN, cette duplication permet de rendre les actions et traitements indépendants sur les réseaux WAN.
La fonction F7, assure plusieurs sous fonctions et notamment :
• une sous-fonction de gestion du surdébit IPsec. La fonction F7 prend en compte ie surdébit imposé par le chiffrement iPsec de manière implicite par une commande de gestion communiquée par la fonction F6. Le surdébit est exprimé en un nombre d'octets supplémentaires à prendre en compte dans le calcul de la qualité de service. La fonction F7 exprime un besoin utilisateur en bande passante correspondant au SLA (« Service Level Agreement », ou contrat de niveau de service) demandé par l'usager, cette expression de besoin est selon les classes de services. Un calcul est réalisé par la fonction F7 pour vérifier la cohérence entre les débits physiques des interfaces des réseaux locaux LAN/MAN et celles des réseaux étendus WAN, et les demandes exprimées par l'usager dans les classes de services exprimées.
• une sous fonction de calcul des meilleurs chemins à utiliser sur le réseau WAN à partir de la fonction F7.1.F7.2 concernée et en tenant compte des métriques de type TE (OSPF-TE et MPLS-TE).
· une sous fonction en relation avec l'extension ECN (« Notification explicite de congestion ») du protocole Internet, pour le calcul de la congestion, nombre de paquets en congestion, numéro de session incriminée, etc.
Les informations obtenues sont spécifiées dans un message à destination de la fonction F5. La fonction F1 retranscrit ces informations vers la fonction F5. Les messages sont du type TLV (« Type Length Value »), la fonction étant représentée par le champ « T » (Type). La figure 12 présente un exemple de mise en œuvre de la huitième fonction F8 et de la neuvième fonction F9 du procédé selon l'invention. Toutes les fonctions F1 , F2, F3, F4, F5, F6 et F7 sont impiémentées sur une base matérielle et logicielle commune. Les fonctions d'administration NOC et SOC peuvent cohabiter plus aisément, ce qui permet d'avoir des bases de données MiB dédiées à un domaine d'exploitation, une base MiB réseau et une base MIB sécurité ainsi qu'une base MIB commune contenant les informations « réseaux » et les informations « sécurité non sensibles ». Les informations sensibles comme les éléments de cryptologie (clés) sont contenues dans la base MIB dédiée à la sécurité. De ce fait les informations de sécurité sont toujours accessibles et elles ne nécessitent aucun équipement supplémentaire pour leurs accessibilités.
Le système selon l'invention regroupe l'ensemble des fonctions. Il constitue un seul et unique système autonome (SA). Son administration est assurée par un système autonome WAN ou par un système autonome MAN. Pour faciliter le suivi des contrats de niveau de service SLA, des informations issues de la base MIB d'administration réseau et sécurité (base MIB commune) sont accessibles en lecture seulement par le système autonome qui n'a pas la responsabilité de l'administration du procédé, afin de fournir une vision de la qualité de service au système autonome qui n'assure pas cette administration.
La fonction F8 est en relation avec les fonctions F2, F3, F4, F5 et F6 pour réaliser les opérations d'administration (configuration) et de supervision de ces fonctions. La fonction F9 est en relation avec la fonction F1 et F7 pour réaliser les opérations d'administration (configuration) et de supervision de cette fonction. La fonction F8 est en relation avec la base de données BD1. La base de données BD1 est en mode lecture et écriture. La fonction F9 est en relation avec la base de données BD2 et la base de données BD2 est en mode lecture et écriture. Enfin, la base de données BD3 reçoit des informations de la base de données DB1 et BD2, la base de données BD3 étant en mode lecture uniquement. En résumé, selon une mise en oeuvre, dans un premier mode de réalisation, de la méthode de gestion des flux sécurisés selon l'invention les étapes suivantes sont exécutées :
· Utiliser le protocole IPsec en mode tunnel pour mettre en œuvre la fonction F1 et les sous fonctions F1.x ;
• Utiliser un protocole de niveau 2 point à point entre la fonction F2 du procédé local et les procédés distants. Le protocole MPLS est un protocole candidat à cette fonction ;
· Utiliser un protocole de niveau 2 entre la fonction F2 et la fonction F1.
Le protocole 802.1Q (VLAN) est ce protocole. Le numéro de VLAN permet d'établir une correspondance avec le numéro de SPI, identificateur du contexte de chiffrement de la session ;
• Aiguiller les flux en provenance des réseaux locaux LAN/MAN vers la fonction F4 et/ou vers la fonction F2. L'aiguillage vers la fonction F4 concerne les flux en mode session ;
• Générer par l'intermédiaire de la fonction F4 des requêtes RSVP vers la fonction F1. La fonction F1 interprète cette requête, la dirige vers le distant au travers du tunnel IPsec considéré et la fonction F1 génère vers le réseau étendu WAN noir la requête RSVP qui porte les attributs du contexte de la session ;
• Utiliser un protocole de communication entre les fonctions F1 et la fonction F5 pour autoriser l'échange de messages de signalisation entre ces fonctions et notamment les informations relatives aux numéros des sessions entre procédé local et distant ;
• Communiquer à la fonction F4 et F6 par l'intermédiaire de la fonction F5 les informations en provenance de la fonction F1 ;
• Utiliser, par la fonction F6, les informations issues de la fonction F7 et des sous fonctions F7.x retransmises par l'intermédiaire de la fonction F1. Ces informations sont véhiculées sous formes de messages et contiennent les informations de Qualité de Service issue des réseaux étendus WAN noirs ;
• Procéder à l'analyse des informations en provenance des réseaux étendus WAN noirs par l'intermédiaire de la fonction F7 et des sous fonctions F7.x. Communiquer ces informations à la fonction F1 ; • Aiguiller les flux vers les fonctions F1.x en fonction de l'analyse des informations reçues ou procéder à la préemption des sessions en cours pour libérer des ressources ;
• Filtrer les informations en provenance de la fonction F7 par la fonction F1 et communiquer ces informations à la fonction F5 ;
• Administrer les informations réseaux des fonctions F2, F3, F4, F5 et F6 par l'intermédiaire de la fonction F8 et stocker ces informations dans une base de données (BD1 ). Rendre ces informations accessibles en mode lecture et écriture par les fonctions désignées ;
• Administrer les informations sécurité des fonctions F1 , F7 par l'intermédiaire de ia fonction F9 et stocker ces informations dans une base de données (BD2). Rendre ces informations accessibles en mode lecture et écriture par les fonctions désignées ;
• Faire communiquer les bases de données réseau (BD1 ) et sécurité (BD2) pour extraire les informations communes et les stocker dans une base de données (BD3). Rendre ces informations accessibles en mode lecture uniquement par les fonctions désignées ;
les fonctions F1 à F9 étant intégrées sur une plateforme matérielle et logicielle unique.
La répartition des fonctions F1 à F9 peut également être réalisée avec des plateformes matérielles et logicielles différentes. Le protocole de communication entre ces plateformes est un protocole de niveau 2.
Selon une mise en œuvre de la méthode selon l'invention, l'aiguillage des flux vers la fonction F4 concerne tous les flux en mode session et les tous les flux en mode non session.
Selon une mise en œuvre de la méthode selon l'invention, les informations issues de la fonction F7 concernant des informations de Traffic Engineering (TE) sont transmises vers la fonction F6 par l'intermédiaire de la fonction F1.
Selon une mise en œuvre de ia méthode selon l'invention, l'administration des informations réseaux et de sécurité est consolidée dans une base de données unique.
La méthode selon l'invention comporte de multiples avantages :
• une amélioration de la résilience des communications et des services ; • une optimisation des ressources de transmission louées (VPN Opérateurs) ;
• la possibilité de mettre en œuvre des mécanismes de préemption des flux vitaux et donc assurer la garantie d'acheminement des flux vitaux ;
• une amélioration de la qualité de service à l'ensemble des flux en discriminant les types de flux en fonction des usages.
Elle réalise les opérations de routage et notamment le choix de la route pour atteindre la cible avant de réaliser les opérations de chiffrement en tenant compte de critères qualitatifs sur l'état des chemins empruntés (qualité de service, délais de transit, taux d'occupation des ressources, perte de paquets, par exemple). Elle nécessite une collaboration étroite entre les entités de chiffrement et l'entité de routage. L'invention est à présent décrite dans un second mode de réalisation illustré par le synoptique de la figure 13.
Le système 100 selon l'invention met en œuvre la méthode de gestion de flux sécurisés décrite ci-dessus. Le système 100 permet, notamment, une interconnexion sécurisée d'un premier réseau local S1 avec une pluralité d'autres réseaux locaux distants à travers des réseaux étendus WANs publics ou privés.
Le système 100 comporte un module d'observation OB qui reçoit les flux en provenance du réseau local S1 et les transmet à un dispositif CH de chiffrement qui assure la fonction de sécurisation desdits flux, par exemple à l'aide du protocole IPSec. Les flux chiffrés sont ensuite transmis à un module interface IN qui aiguille les flux vers un ou plusieurs réseaux étendus WAN en fonction de critères prédéterminés.
Le système 00 comporte également un module d'analyse AN qui reçoit une copie de chaque paquet reçu par le module d'observation OB et qui identifie des flux et leur associe un degré de priorité et/ou de sécurisation ainsi que des exigences en terme de qualité de service, et un module de décision DE qui reçoit des informations du module d'analyse AN concernant chacun des flux identifiés et des informations sur la disponibilité de liaisons point-à-point ou point-à-multipoint entre modules interface IN et de caractéristiques prédéterminés par l'intermédiaire d'un module d'analyse lexicale et syntaxique ALS.
Un des buts du système 100 selon l'invention est d'assurer un aiguillage des flux transmis depuis le réseau local S1 vers un ou plusieurs réseaux étendus WANs en assurant une différentiation des services et une transmission de chaque flux vers le réseau étendu WAN le plus adapté en fonction de contraintes prédéterminées et de l'état de ces réseaux étendus.
La difficulté d'une telle adaptation réside dans la présence du dispositif de chiffrement CH qui impose un cloisonnement entre les flux coté rouge (réseau local) et coté noir (réseau étendu) et donc un empêchement d'échange d'informations entre les routeurs rouges R1_S1 et les routeurs noirs R2_S1.
Chaque module du système 100 selon l'invention est à présent décrit plus en détail.
Le module d'observation OB réalise deux fonctions. La première fonction consiste à dupliquer chaque paquet reçu depuis le réseau local S1 et à transmettre une copie de chaque paquet vers le module d'analyse AN. La seconde fonction consiste à associer à chaque paquet, un tatouage spécifique sous forme d'un champ de l'entête du paquet ou de la trame qui transporte ce paquet lors des échanges entre modules de façon à identifier les flux de manière unique dans la suite de traitements effectués par les différents modules. L'identification des flux permet de prendre en compte les contraintes de transmission propres à chaque flux. Par contrainte de transmission on entend notamment le débit nécessaire à l'acheminement du flux vers sa destination ou les contraintes en termes de délai, de gigue ou de taux de pertes paquets qu'un flux peut supporter tout en garantissant son acheminement ou encore le degré de sécurisation qui doit être pris. En fonction de ces contraintes de transmission, on choisit le médium de transmission, en l'occurrence une des liaisons de module IN à module IN à travers des réseaux étendus WANs disponibles la plus adaptée à chaque flux de façon à garantir son acheminement jusqu'à sa destination. Le tatouage de chaque paquet se fait, par exemple en modifiant la valeur du champ DSCP (Differentiated Services Code Point) d'un paquet IP ou en fixant des adresses MAC de la trame transportant le paquet. Le module d'observation OB exécute en outre la fonction F3 précédemment décrite pour le premier mode de réalisation de l'invention.
Le module de chiffrement CH assure la sécurisation des flux de données par un chiffrement en mode tunnels. Les tunnels sont établis dynamiquement entre chaque module de chiffrement de chaque système connecté à un réseau local source ou destination. Les paquets transmis par le module d'observation OB sont chiffrés intégralement et encapsulés dans un paquet ou une trame où l'identification du flux sera au moins localement lisible, par exemple par le biais du champ DSCP du paquet encapsulant.
Le module de chiffrement CH exécute en outre fa fonction F1 précédemment décrite pour le premier mode de réalisation de l'invention.
Le module d'analyse AN effectue une analyse qualitative et quantitative des flux circulant entre le réseau local S1 et les réseaux LAN distants. Cette analyse permet d'anticiper les besoins et de juger de la bonne adéquation entre besoins et moyens d'interconnexion en place. Chaque fiux identifié se voit associer des contraintes d'écoulement à respecter. En fonction de catégories prédéfinies, le module d'analyse AN associe le degré de priorité du flux à un besoin minimum en bande passante. L'analyse du degré de priorité d'un flux est effectuée, par exemple, par une interprétation du protocole « session » en identifiant le champ qui porte les informations indiquant la priorité de la session qui est déterminée par des entités fonctionnelles du réseau MAN.
Le module d'analyse AN exécute en outre la fonction F4 précédemment décrite pour le premier mode de réalisation de l'invention.
Le module de décision DE établit la politique d'aiguillage des flux vers le réseau étendu WAN le plus approprié en fonction d'une part des contraintes d'écoulement à respecter de chacun des flux et du nombre de flux à servir déterminé par le module d'analyse AN, et d'autre part des disponibilités constatées des réseaux étendu WAN. Le module de décision DE détermine ainsi les services de transport qui doivent être initiés, modifiés ou annulés conformément aux règles d'aiguillages établies. A cet effet, il génère des messages adaptés permettant une communication sécurisée des choix d'aiguillage vers le module interface IN. Les messages générés par le module de décision DE doivent garantir le cloisonnement des flux de données entre la partie noire et la partie rouge du réseau. En particulier les messages transmis entre le module de décision DE et le module interface IN ne doivent pas être corrélés aux flux de données qui transitent entre le réseau local S1 et les réseaux étendus WAN. Pour garantir le cloisonnement entre parties rouges et noires du réseau, le module de décision DE met en œuvre un ensemble de contrôles, de type machine à états. Le module de décision DE prend également en compte, dans l'affectation des flux à un réseau WAN, le surdébit ajouté par le module de chiffrement CH. Ce surdébit est notamment pris en compte pour ie calcul du débit de transmission requis pour l'acheminement d'un flux en fonction de son degré de priorité.
Le module de décision DE exécute en outre les fonctions F6 et F7 précédemment décrites pour le premier mode de réalisation de l'invention.
Le module d'analyse lexicale et syntaxique ALS des messages échangés entre le module de décision DE et le module interface IN permet de réaliser un cloisonnement entre les parties rouge et noire du réseau. Les messages provenant du module interface IN ne sont acceptés par le module ALS que s'ils interviennent en réponse à une requête explicite formulée par le module de décision DE. Ces messages contiennent, notamment, les attributs d'entête de paquets chiffrés qui permettent d'identifier la liaison utilisée parmi les réseaux WANs disponibles ainsi que les caractéristiques de cette liaison. Le module d'analyse lexicale et syntaxique ALS constitue une passerelle sécurisée permettant d'une part d'informer le module interface IN des décisions d'aiguillage prises par le module de décision DE et d'autre part d'indiquer au module de décision DE l'état des liaisons établies par les réseaux étendus WANs.
La sécurisation établie par le module ALS permet de résister aux attaques en déni de service en provenance potentielle des réseaux étendus WANs. Elle garantie également l'absence de fuites d'informations.
Le module d'analyse lexicale et syntaxique ALS exécute en outre la fonction F5 précédemment décrite pour le premier mode de réalisation de l'invention. Le module interface IN réalise l'établissement de liaisons point à point ou point-à-multipoint entre le réseau local S1 et au moins un autre réseau distant S2 à travers un ou plusieurs réseaux WAN étendus. Il s'assure que chaque liaison opère dans la plage de fonctionnement prédéterminée et sur laquelle le module de décision DE a établit sa politique d'aiguillage. Il fournit l'état de disponibilité des liaisons établies au module de décision DE, via le module ALS. L'établissement de liaisons point à point ou point-à-multipoint se fait, par exemple, à l'aide du mécanisme de transport de données MPLS (Multiprotocol Label Switching) ou par introduction de réseaux virtuels VLAN. A partir des messages transmis par le module de décision DE, le module interface IN peut appliquer la politique d'aiguillage établie, pour chaque flux chiffré, en fonction de son identification Une liaison est caractérisée d'une part par les identifiants des réseaux locaux S1 , S2 qu'elle met en relation et d'autre part par les paramètres de transfert des données sur cette liaison. Ces paramètres sont notamment le délai de transfert, le taux moyen de pertes paquets, le niveau de sécurité, le niveau de criticité, le débit continu maximal, le temps maximum d'interruption de service. Une liaison est identifiée par une combinaison d'attributs d'entêtés de paquets chiffrés, dont notamment le champ DSCP et les adresses source et destination du flux. Une liaison est maintenue conformément à ses caractéristiques prédéterminées. Par exemple, en cas de dysfonctionnement d'un réseau WAN, la liaison peut être maintenue en utilisant d'autres moyens de transmission, par exemple des moyens de transmission par satellite.
Le module interface IN met également en œuvre un protocole de routage à état de lien IGP ayant la capacité à établir une topologie de liens incluant des métriques de disponibilité de bande passante et de bande occupée. Par exemple, un protocole de routage adapté à cet effet est le protocole OSPF-TE. Associé à ce protocole, une fonction de calcul du plus court chemin est exécutée. Elle tient compte desdites métriques afin de définir les meilleures routes pour joindre le réseau destinataire.
Le module interface IN exécute en outre les fonctions F2,F4 et F7 précédemment décrites pour le premier mode de réalisation de l'invention. Le système 100 selon l'invention et les modules dont il est composé sont implémentés sur une base matérielle et/ou logicielle commune.

Claims

REVENDICATIONS
Système (100) de gestion de flux sécurisés transmis entre un premier réseau local (S1 ) et au moins un second réseau local (S2) interconnectés par l'intermédiaire d'une pluralité de réseaux étendus WAN (WAN M, WAN C), caractérisé en ce que le dit système (100) comporte au moins :
o un module d'observation (OB) recevant les flux de données émis depuis ledit premier réseau local (S1 ) et à destination d'au moins un desdits second réseau local (S2), ledit module d'observation (OB) étant adapté à associer à chaque paquet dudit flux un tatouage permettant d'identifier les flux de données de manière unique,
o un module de chiffrement (CH) desdits paquets tatoués par ledit module d'observation (OB), l'opération de chiffrement excluant l'information tatouée,
o un module d'analyse (AN) qualitative et quantitative des flux de données émis depuis ledit premier réseau local (S1 ) permettant de classer les flux selon leur degré de priorité et/ou de sécurisation, ce degré étant déterminé au moins à partir de la source, de la destination ou du type d'utilisateur du flux,
o un module interface (IN) réalisant d'une part l'établissement et le maintien de liaisons de données point à point ou point à multipoint entre ledit premier réseau local (S1 ) et au moins un desdits réseau local (S2) distant, chaque liaison de données utilisant les moyens de transmission fournis par un ou plusieurs desdits réseaux étendus WAN et fournissant des caractéristiques de communications dans une plage de fonctionnement prédéterminées, et d'autre part l'aiguillage des flux sécurisés sur ces liaisons en fonction de règles cohérentes avec les opérations de tatouage dudit module d'observation (OB) et de chiffrement dudit module de chiffrement (CH),
o un module de décision (DE) associant à chaque flux de données, en fonction de leur degré de priorité et/ou de sécurisation déterminé par le module d'analyse (AN), une liaison de données prédéterminée parmi les liaisons de données établies par ledit module interface (IN) et en fonction de la probabilité d'acheminement correct d'un flux empruntant chaque liaison de données établie par ledit module interface (IN),
o un module d'analyse lexicale et syntaxique (ALS) des messages transmis entre ledit module de décision (DE) et ledit module interface (IN) de façon à assurer un cloisonnement des échanges entre ledit premier réseau local (S1 ) et lesdits réseaux étendus (WAN).
Système (100) de gestion de flux sécurisés selon la revendication 1 caractérisé en ce que ledit module d'observation (OB) réalise le tatouage des flux en modifiant la valeur du champ DSCP des paquets IP contenus dans lesdits flux.
Système (100) de gestion de flux sécurisés selon l'une des revendications précédentes caractérisé en ce que ledit module de chiffrement (CH) met en oeuvre le protocole IPSec en mode tunnel.
Système (100) de gestion de flux sécurisés selon l'une des revendications précédentes caractérisé en ce que lesdits flux sont associés à une liaison de données utilisant un réseau étendu privé (WANJvl) ou un réseau étendu public (WAN_M) en fonction de la nature de leur source.
Système (100) de gestion de flux sécurisés selon l'une des revendications précédentes caractérisé en ce que les flux dont le degré de priorité est le plus élevé sont associés aux liaisons de données bénéficiant du débit disponible le plus élevé.
Méthode de gestion de flux sécurisés transmis entre un premier réseau local (S1 ) et au moins un second réseau local (S2) interconnectés par l'intermédiaire d'une pluralité de réseaux étendus WAN (RW1 ,WAN M,WAN C), lesdits réseaux locaux (S1 , S2) comportant au moins une interface 11 d'entrée/sortie, lesdits réseaux étendus WAN comportant au moins une interface I2.I3 d'entrée/sortie, ladite méthode étant caractérisée en ce qu'elle comporte au moins les étapes suivantes pour chaque réseau local (S1 , S2) :
o définir une pluralité de fonctions F1 à F9 aptes à être intégrées sur une plateforme matérielle et/ou logicielle unique connectée auxdites interfaces 11 , 12, 13 desdits réseaux locaux et étendus, o la fonction F1 assure ia protection IPsec des flux en provenance des interfaces 11 et à destination des interfaces 12 et 13., la fonction F1 étant décomposée en sous fonctions F1.1 à F1.n, n représentant le nombre de réseaux étendus WAN,
o la fonction F2 assure l'établissement d'une pluralité de liaisons point à point entre lesdites plateformes matérielles connectées aux interfaces d'entrée/sortie de chaque réseau local (S1 , S2), o la fonction F3 assure l'aiguillage, selon leurs caractéristiques des flux en provenance et à destination de l'interface 11 dudit réseau local (S1 ) en séparant les flux en mode session des autres flux, o la fonction F4 assure le traitement des flux en mode session, o Sa fonction F5 assure le traitement des échanges entre ia fonction F1 et la fonction F4, notamment en indiquant à la fonction F1 , les débuts, fins et numéros de sessions compris dans lesdits flux, o la fonction F6 assure le traitement des congestions,
o la fonction F7 assure l'interfonctionnement avec les réseaux étendus WAN, en récupérant les informations d'ingénierie de trafic (TE), en les synthétisant et en les communiquant à la fonction F , o les fonctions F2, F3, F4 et F5 sont des fonctions réseau dont l'administration est assurée par la fonction F8,
o la fonction F9 assure l'administration des fonctions de sécurité telle que la fonction F1.
PCT/EP2011/059834 2010-06-14 2011-06-14 Système et méthode de gestion de flux sécurisés entre plusieurs sites distants WO2011157704A2 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
AU2011267159A AU2011267159A1 (en) 2010-06-14 2011-06-14 System and method for managing secure flows between a plurality of remote sites
SG2012092664A SG186374A1 (en) 2010-06-14 2011-06-14 System and method for managing secure flows between a plurality of remote sites
ZA2012/09503A ZA201209503B (en) 2010-06-14 2012-12-13 System and method for managing secure flows between a plurality of remote sites

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
FR1002522 2010-06-14
FR1002522A FR2961365A1 (fr) 2010-06-14 2010-06-14 Methode de gestion de flux securises entre plusieurs sites et routeur-chiffreur associe
FR1005089 2010-12-23
FR1005089A FR2961367B1 (fr) 2010-06-14 2010-12-23 Systeme et methode de gestion de flux securises entre plusieurs sites distants

Publications (2)

Publication Number Publication Date
WO2011157704A2 true WO2011157704A2 (fr) 2011-12-22
WO2011157704A3 WO2011157704A3 (fr) 2012-02-23

Family

ID=43725371

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2011/059834 WO2011157704A2 (fr) 2010-06-14 2011-06-14 Système et méthode de gestion de flux sécurisés entre plusieurs sites distants

Country Status (5)

Country Link
AU (1) AU2011267159A1 (fr)
FR (2) FR2961365A1 (fr)
SG (1) SG186374A1 (fr)
WO (1) WO2011157704A2 (fr)
ZA (1) ZA201209503B (fr)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3106710B1 (fr) * 2020-01-28 2022-02-11 Naval Group Module de gestion d'echanges de flux de donnees dans une architecture d'echanges pour une formation d'engins mobiles
FR3106709B1 (fr) * 2020-01-28 2022-02-11 Naval Group Procede de construction et de maintien de conduits dans une architecture d'echanges de flux de donnees dans une formation d'engins mobiles et module central associe
FR3106712B1 (fr) * 2020-01-28 2022-02-11 Naval Group Architecture d'echanges de flux de donnees dans une formation d'engins mobiles
FR3106711B1 (fr) * 2020-01-28 2022-01-28 Naval Group Procede de construction de regles d'echanges dans une architecture d'echanges de flux de donnees dans une formation d'engins mobiles et module central associe

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
None

Also Published As

Publication number Publication date
FR2961365A1 (fr) 2011-12-16
SG186374A1 (en) 2013-01-30
ZA201209503B (en) 2013-08-28
AU2011267159A1 (en) 2013-01-24
WO2011157704A3 (fr) 2012-02-23
FR2961367B1 (fr) 2012-08-17
FR2961367A1 (fr) 2011-12-16

Similar Documents

Publication Publication Date Title
US11005818B2 (en) Dynamic, user-configurable virtual private network
US9491144B2 (en) Methods and apparatus for denial of service resistant policing of packets
US20180197156A1 (en) Distributed micro transactions for software defined networking flows
US9887974B2 (en) Method for network communication past encryption devices
US8238325B2 (en) Packet communication network and packet communication method
US10079805B2 (en) Bypassing a firewall for authorized flows using software defined networking
WO2011157704A2 (fr) Système et méthode de gestion de flux sécurisés entre plusieurs sites distants
CN109417556B (zh) 用于安全服务协作的系统和方法
FR3072238A1 (fr) Dispositif et procede de transmission de donnees
US8553539B2 (en) Method and system for packet traffic congestion management
CN112583689B (zh) 将服务映射到隧道以便使用网络装置转发分组
CN113709091B (zh) 用于基于策略的分组处理的方法、设备和系统
US8971330B2 (en) Quality of service and encryption over a plurality of MPLS networks
Wahanani et al. Performance analysis of video on demand and video streaming on the network MPLS Traffic Engineering
Perez IP, Ethernet and MPLS Networks: Resource and Fault Management
Carlberg et al. Framework for supporting emergency telecommunications service (ETS) in IP telephony
EP1432210A1 (fr) Dispositif de contrôle de traitements associés a des flux au sein d'un reseau de communications
EP2640004B1 (fr) Procede de gestion des echanges de flux de donnees dans un reseau de telecommunication autonomique
EP2472783B1 (fr) Procédé de selection de noeuds de bordure inter-domaines
EP1762051A1 (fr) Procede de gestion d'une interconnexion entre reseaux de telecommunication et dispositif mettant en oeuvre ce procede
EP2476225B1 (fr) Procede et systeme pour le controle de l'acheminement d'un flux de donnees d'une classe de service a travers un reseau maille et chiffre
Moser Performance Analysis of an SD-WAN Infrastructure Implemented Using Cisco System Technologies
EP2759103B1 (fr) Dispositif et procede d'acheminement de flux de communication securises entre sites distants
WO2024068725A1 (fr) Procédé de gestion du trafic de données entre une entité source et une entité destinataire, entité et programme d'ordinateur correspondants
EP1878172B1 (fr) Controle de la reservation de ressources partagees de chemins de connexion dans un reseau de communication a commutation d'etiquettes de type "non paquet"

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 11725439

Country of ref document: EP

Kind code of ref document: A2

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2011267159

Country of ref document: AU

Date of ref document: 20110614

Kind code of ref document: A

122 Ep: pct application non-entry in european phase

Ref document number: 11725439

Country of ref document: EP

Kind code of ref document: A2