WO2013050674A1 - Computer case for securely accessing an information system - Google Patents

Computer case for securely accessing an information system Download PDF

Info

Publication number
WO2013050674A1
WO2013050674A1 PCT/FR2012/000401 FR2012000401W WO2013050674A1 WO 2013050674 A1 WO2013050674 A1 WO 2013050674A1 FR 2012000401 W FR2012000401 W FR 2012000401W WO 2013050674 A1 WO2013050674 A1 WO 2013050674A1
Authority
WO
WIPO (PCT)
Prior art keywords
server
information system
access
housing according
virtual
Prior art date
Application number
PCT/FR2012/000401
Other languages
French (fr)
Inventor
Jean-François TESSERAUD
Original Assignee
Cassidian Sas
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cassidian Sas filed Critical Cassidian Sas
Publication of WO2013050674A1 publication Critical patent/WO2013050674A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The invention relates to a computer case provided with: an integrated information system; a gateway (4) for accessing the integrated information system (52), including a casing (4) provided with a power supply, a hub (25) for connecting the gateway to a local network (12), a first firewall (26) for connecting the gateway to the integrated information system (52) and an external communication Internet network; and a central processing unit (27) including: at least one remote connection server (28, 29, 30) that is accessible from the external communication network in a secure tunnel via the first firewall; and a virtual server (31) with strong authentication.

Description

"Boîtier informatique d'accès sécurisé à un système d'information."  "Computer case for secure access to an information system."
La présente invention concerne un boîtier informatique d'accès à un système d'information. The present invention relates to a computer box for access to an information system.
Actuellement, la plupart des entreprises comportent un système d'information auquel les collaborateurs ont accès pour travailler. Lorsqu'un utilisateur est en déplacement à ('extérieur de l'entreprise, il est nécessaire d'assurer un accès complètement sécurisé au système d'information.  Currently, most companies have an information system that employees have access to work with. When a user is traveling to the outside of the company, it is necessary to provide completely secure access to the information system.
De nombreuses solutions existent pour accéder à distance à des ressources d'une entreprise. La présente invention a pour but de contribuer à un déploiement rapide d'un système d'information sans intervention de spécialiste sur site. Un autre but de l'invention est un système permettant un travail collaboratif inter réseaux tout en garantissant un cloisonnement des réseaux et la ségrégation des données._ L'invention a encore poun but-une solution autonome et portative pour se connecter à un système d'information quel que soit le terminal utilisé.  Many solutions exist to remotely access a company's resources. The present invention aims to contribute to a rapid deployment of an information system without specialist intervention on site. Another object of the invention is a system allowing inter-network collaborative work while guaranteeing a partitioning of networks and the segregation of data. The invention still has a purpose-an autonomous and portable solution for connecting to a data communication system. information regardless of the terminal used.
On atteint au moins l'un des objectifs précités avec un boîtier informatique portatif comprenant : At least one of the above objects is achieved with a portable computer package comprising:
- un système d'information intégré,  - an integrated information system,
- une passerelle d'accès au un système d'information intégré, cette passerelle comprenant:  an access gateway to an integrated information system, this gateway comprising:
- un caisson doté d'une alimentation,  - a box with a power supply,
- un concentrateur pour connecter la passerelle à un réseau local, a hub for connecting the gateway to a local area network,
- un premier pare-feu pour connecter la passerelle au système d'information intégré et à un réseau de communication externe de type Internet, et a first firewall for connecting the gateway to the integrated information system and to an external communication network of the Internet type, and
- une unité de traitement comprenant :  a processing unit comprising:
- au moins un serveur de connexion à distance accessible depuis le réseau de communication externe dans un tunnel sécurisé via le premier pare-feu, et  at least one remote connection server accessible from the external communication network in a secure tunnel via the first firewall, and
- un serveur virtuel, dit serveur d'authentification, configuré pour interagir avec ledit au moins un serveur de connexion à distance pour une authentification forte de chaque utilisateur accédant au premier pare-feu, cette authentification forte étant réalisée à partir d'un identifiant unique du terminal de l'utilisateur ; a virtual server, called an authentication server, configured to interact with said at least one remote connection server for strong authentication of each user accessing the first firewall, this strong authentication being performed from a unique identifier of the user's terminal;
- un serveur de stockage en réseau, dit serveur NAS,  a networked storage server, called NAS server,
- un commutateur pour gérer les connexions internes du boîtier, et  a switch for managing the internal connections of the box, and
- un deuxième pare-feu disposé entre ladite passerelle informatique et les autres composants.. a second firewall arranged between said computer gateway and the other components.
Avec le boîtier selon l'invention, le système d'information intégré est accessible depuis Internet par tout terminal. Le concentrateur permet une connexion d'un terminal utilisateur en local. Les droits d'accès à un élément du système d'information peuvent être gérés par le concentrateur et/ou le premier pare-feu de la passerelle. With the housing according to the invention, the integrated information system is accessible from the Internet by any terminal. The hub allows a connection of a user terminal locally. Access rights to an information system element can be managed by the hub and / or the first gateway firewall.
Le boîtier selon l'invention fait office d'aiguilleur intégrant des fonctions applicatives pour la distribution de services et pour l'authentification. The box according to the invention acts as a switchman integrating application functions for the distribution of services and for authentication.
Figure imgf000004_0001
une facilité de déploiement. Le boîtier est avantageusement un système industriel rackable et adaptable au contexte environnemental. On dispose ainsi d'un système d'information complet qui peut facilement être déployé dans des environnements spécifiques (chantier, usine, plateforme, travaux extérieurs...), ne disposant pas de ressources informatiques. On peut ainsi déployer un système d'information décentralisé dans des bureaux, agences campus, ayant ou non des interconnexions avec des systèmes centraux, et ne disposant pas de ressources informatiques et pour lequel un certain niveau de sécurité (disponibilité, intégrité, confidentialité) doit être assuré et contrôlé. On peut mettre en place un tel système d'information intégré par exemple pour partager des informations inter-sociétés tout en garantissant un cloisonnement des informations projets et des informations propres aux sociétés. Ce boîtier peut notamment être déployé pour des cellules de crise ou des opérations d'urgence.
Figure imgf000004_0001
an ease of deployment. The housing is advantageously an industrial rackable system and adaptable to the environmental context. This provides a complete information system that can easily be deployed in specific environments (site, factory, platform, outdoor work ...), without any IT resources. A decentralized information system can therefore be deployed in offices, campus offices, with or without interconnections with central systems, and without IT resources and for which a certain level of security (availability, integrity, confidentiality) must be insured and controlled. Such an integrated information system can be set up, for example, to share information between companies while guaranteeing the compartmentalization of project information and company-specific information. This housing can in particular be deployed for crisis cells or emergency operations.
Ledit au moins un serveur de connexion à distance peut comprendre : - un premier serveur virtuel, dit serveur pour bureau virtuel, accessible depuis le réseau de communication externe par déport d'affichage dans un tunnel sécurisé via le pare-feu ; et/ou - un deuxième serveur virtuel, dit serveur pour nomade, accessible depuis le réseau de communication externe par liaison client-serveur avec échanges de données dans un tunnel sécurisé via le pare-feu ; et/ou Said at least one remote connection server may comprise: a first virtual server, called virtual office server, accessible from the external communication network by remote display in a secure tunnel via the firewall; and or a second virtual server, called a nomadic server, accessible from the external communication network by client-server link with data exchanges in a secure tunnel via the firewall; and or
- un troisième serveur virtuel, dit serveur pour voix, accessible depuis le réseau de communication externe par une liaison de voix sur IP dans un tunnel sécurisé via le pare-feu.  a third virtual server, called server for voice, accessible from the external communication network by a voice over IP link in a secure tunnel via the firewall.
Par serveur pour bureau virtuel, on entend un serveur permettant d'accéder à un bureau virtuel, mais également à d'autres applications comme par exemple des applications WEB.  By server for virtual office, we mean a server to access a virtual office, but also to other applications such as WEB applications.
En particulier, le serveur pour bureau virtuel permet la connexion de tout terminal connu ou inconnu du système d'information. Il suffit que ce terminai soit capable de générer un identifiant d'authentification forte. Cet identifiant peut être intégré dans le terminal ou généré à partir d'un exécutable léger stocké au sein du terminai ou dans un moyen de stockage portatif comme une clé USB ou autre. La communication avec le serveur pour bureau virtuel se fait par déport d'affichage ce qui évite avantageusement le transfert de données, notamment malveillant qui pourraient transiter depuis le terminal utilisateur vers le système d'information.  In particular, the virtual desktop server allows the connection of any known or unknown terminal of the information system. It is sufficient that this terminator is able to generate a strong authentication identifier. This identifier can be integrated in the terminal or generated from a lightweight executable stored within the terminal or in a portable storage means such as a USB key or other. The communication with the virtual office server is done by remote display which advantageously avoids the transfer of data, including malicious data that could pass from the user terminal to the information system.
Le serveur pour nomade permet la connexion de terminaux connus du système d'information et comportant de préférence une application cliente lourde permettant de dialoguer avec une application serveur dans la passerelle avec échange de données.  The server for nomad allows the connection of known terminals of the information system and preferably comprising a heavy client application for dialogue with a server application in the gateway with data exchange.
Avec la passerelle selon l'invention, le système d'information d'une entreprise est accessible depuis Internet par tout terminal. Le concentrateur permet une connexion d'un terminal utilisateur en local. Les droits d'accès à tel ou tel élément du système d'information peuvent être gérés par le concentrateur et/ou le pare-feu.  With the gateway according to the invention, the information system of a company is accessible from the Internet by any terminal. The hub allows a connection of a user terminal locally. The rights of access to a particular element of the information system can be managed by the hub and / or the firewall.
La passerelle selon l'invention fait office d'aiguilleur intégrant des fonctions applicatives pour la distribution de services et pour l'authentification. Cette passerelle est un unique boîtier permettant l'interconnexion multi-services (différents types d'accès) multi-environnement The gateway according to the invention acts as switchman integrating application functions for the distribution of services and for authentication. This gateway is a single box allowing multi-service interconnection (different types of access) multi-environment
(pour toute application dans le système d'information). Elle permet également la redirection vers des services mutualisés. (for any application in the information system). It also allows redirection to shared services.
INCORPORATED BY REFERENCE (RULE 20.6) Grâce au troisième serveur virtuel, la passerelle selon l'invention permet à tout terminal d'accéder également aux applications voix du système d'information en plus des applications données. INCORPORATED BY REFERENCE (RULE 20.6) With the third virtual server, the gateway according to the invention allows any terminal to also access the voice applications of the information system in addition to the given applications.
Selon une caractéristique avantageuse de l'invention, le serveur pour bureau virtuel peut être configuré pour exécuter chaque session dans un environnement virtuel isolé. Ainsi, différentes sessions d'un même utilisateur ou de plusieurs utilisateurs sont cloisonnées les unes par rapport aux autres. Avec des sessions ainsi isolées, on préserve l'intégrité des données et applications du système d'information.  According to an advantageous characteristic of the invention, the virtual office server can be configured to execute each session in an isolated virtual environment. Thus, different sessions of the same user or of several users are partitioned with respect to each other. With isolated sessions, the integrity of data and applications of the information system is preserved.
Avantageusement, le serveur pour bureau virtuel peut comprendre plusieurs navigateurs pour accéder au système d'information. Chaque navigateur peut être configuré pour accéder à un ensemble d'éléments spécifiques du système d'information. On définit ainsi plusieurs navigateurs, chacun dédié à une ou plusieurs applications spécifiques. Les navigateurs sont exécutés dans la passerelle et non localement dans le terminal utilisateur. Cela garantit l'intégrité du terminal utilisateur contre tout acte malveillant depuis Internet par exemple. Le serveur pour bureau virtuel permet notamment à un terminal utilisateur d'accéder à des applications Web, ou à des outils de publication d'applications comme par exemple Citrix® ou TSE (pour « Terminal Server » de Windows®) du système d'information .  Advantageously, the virtual desktop server may include several browsers to access the information system. Each browser can be configured to access a set of specific elements of the information system. We thus define several browsers, each dedicated to one or more specific applications. Browsers are run in the gateway and not locally in the user terminal. This ensures the integrity of the user terminal against any malicious act from the Internet for example. The virtual desktop server allows a user terminal to access web applications, or application publishing tools such as Citrix® or TSE (for "Terminal Server" Windows®) information system .
Selon une caractéristique avantageuse de l'invention, les serveurs virtuels sont disposés dans un environnement isolé tel qu'une zone démilitarisée dite DMZ.  According to an advantageous characteristic of the invention, the virtual servers are arranged in an isolated environment such as a DMZ demilitarized zone.
De préférence, les tunnels sécurisés peuvent être des tunnels VPN chiffrés SSL ou IPSEC  Preferably, the secure tunnels may be SSL or IPSEC encrypted VPN tunnels
Avec la passerelle selon l'invention, on assure la sécurité complète du système d'information et des données.  With the gateway according to the invention, it ensures the complete security of the information system and data.
Selon d'autres caractéristiques avantageuses de l'invention, le serveur pour nomade comprend :  According to other advantageous features of the invention, the nomadic server comprises:
- un module serveur d'un composeur multi-accès, un module client du composeur étant contenu dans un terminal utilisateur,  a server module of a multi-access composer, a client module of the composer being contained in a user terminal,
- un module serveur d'une application d'accès à distance pour établir un tunnel VPN SSL, en particulier avec encapsulation des échanges en mode http sécurisé, et pour accéder au système d'information via une passerelle dédiée. Le composeur multi-accès est un assistant de connexion permettant au terminal utilisateur de se connecter au serveur pour nomade à partir de différents réseaux physiques avec ou sans fil. a server module of a remote access application for establishing an SSL VPN tunnel, in particular with encapsulation of exchanges in secure http mode, and for accessing the information system via a dedicated gateway. The multi-access dialer is a connection wizard that allows the user terminal to connect to the mobile server from different wired or wireless physical networks.
Selon une autre caractéristique avantageuse de l'invention, le boîtier comprend en outre une carte électronique pour gérer l'alimentation des différents composants du boîtier. Cette carte électronique est avantageusement configurée pour démarrer séquentiellement de façon automatique différents composants du boîtier après un arrêt. En particulier, le boîtier selon l'invention comprend une alimentation unique permettant un démarrage et un arrêt des composants du boîtier selon une séquence prédéfinie.  According to another advantageous characteristic of the invention, the housing further comprises an electronic card for managing the supply of the various components of the housing. This electronic card is advantageously configured to start sequentially automatically different components of the housing after a stop. In particular, the housing according to the invention comprises a single power supply for starting and stopping the components of the housing in a predefined sequence.
Par ailleurs, on prévoit une carte électronique d'administration des différents composants du boîtier. Selon une caractéristique avantageuse de l'invention, - le- système d'information comprend :  Furthermore, there is provided an electronic card administration of the various components of the housing. According to an advantageous characteristic of the invention, the information system comprises:
- des applications en mode publication,  - applications in publication mode,
- un serveur Web,  - a web server,
- un serveur d'impression,  - a print server,
- serveur de gestion d'adresses IP, et  - IP address management server, and
- un module de gestion de la publication des applications.  - a module for managing the publication of applications.
On peut également prévoir des serveurs applicatifs en fonction des besoins de l'utilisateur (applications serveurs / applications clients) Un boîtier selon l'invention a notamment pour avantage de permettre une évolutivité par empilage de boîtiers. Pour ce faire, le commutateur comprend au moins deux connecteurs, notamment de type HDMI (pour « High Définition Multimedia Interface » en anglais) pour disposer en cascade plusieurs boîtiers équivalents.  It is also possible to provide application servers according to the needs of the user (server applications / client applications) A box according to the invention has the particular advantage of enabling scalability by stacking boxes. To do this, the switch comprises at least two connectors, including HDMI type (for "High Definition Multimedia Interface" in English) for cascading several equivalent boxes.
Bien entendu, les différentes caractéristiques, formes et variantes de réalisation de l'invention peuvent être associées les unes avec les autres selon diverses combinaisons dans la mesure où elles ne sont pas incompatibles ou exclusives les unes des autres. D'autres avantages et caractéristiques de l'invention apparaîtront à l'examen de la description détaillée d'un mode de mise en œuvre nullement limitatif, et des dessins annexés, sur lesquels : Of course, the various features, forms and embodiments of the invention may be associated with each other in various combinations to the extent that they are not incompatible or exclusive of each other. Other advantages and characteristics of the invention will appear on examining the detailed description of a non-limiting embodiment, and the appended drawings, in which:
- La figure 1 est une illustration schématique simplifiée d'un système d'accès à des systèmes d'information selon l'invention,  FIG. 1 is a simplified schematic illustration of a system for accessing information systems according to the invention,
- La figure 2 est une illustration schématique simplifiée d'une passerelle informatique d'accès sécurisé selon l'invention,  FIG. 2 is a simplified schematic illustration of a secure access computer gateway according to the invention,
- La figure 3 est une illustration schématique simplifiée d'un processus d'authentification selon l'art antérieur,  FIG. 3 is a simplified schematic illustration of an authentication process according to the prior art,
- La figure 4 est une illustration schématique simplifiée d'un processus d'authentification selon l'invention,  FIG. 4 is a simplified schematic illustration of an authentication process according to the invention,
- La figure 5 est une illustration schématique simplifiée d'un boîtier d'accès sécurisé intégrant un système d'information. Sur les figures l à 5, les, différents -éléments communs aux-dïverses variantes ou formes de réalisation portent les mêmes références.  FIG. 5 is a simplified schematic illustration of a secure access box integrating an information system. In FIGS. 1 to 5, the various elements common to the variants or embodiments have the same references.
Sur la figure 1 on voit un schéma simplifié d'un système d'accès à des systèmes d'information selon l'invention. On distingue un système d'information 1 d'une entreprise. Ce système d'information est représenté par des serveurs physiques ou virtuels comprenant toutes les composantes d'un système d'information classiques notamment une publication d'applications, des moyens de stockage, des moyens de gestions centralisées des adresses IP, un gestionnaire d'impression et une application d'administration du système d'information de l'entreprise, des applications métiers, (liste non exclusive et non exhaustive). Ce système d'information est intégré dans un réseau local 2 qui peut être un réseau local avec ou sans fil ou un réseau étendu. Des terminaux utilisateurs 3 peuvent accéder au système d'information 1 via le réseau local. La passerelle selon l'invention a pour objectif de développer les usages suivants :  FIG. 1 shows a simplified diagram of a system for accessing information systems according to the invention. There is an information system 1 of a company. This information system is represented by physical or virtual servers comprising all the components of a conventional information system including an application publication, storage means, centralized management means IP addresses, a manager of printing and application of administration of the information system of the company, business applications, (non-exclusive and non-exhaustive list). This information system is integrated in a local area network 2 which may be a wired or wireless local area network or a wide area network. User terminals 3 can access the information system 1 via the local network. The gateway according to the invention aims to develop the following uses:
- mobilité individuelle,  - individual mobility,
- mobilité d'équipe,  - team mobility,
- travail collaboratif,  - teamwork,
- télétravail, et  - telework, and
- travail sédentaire. Par ailleurs, le système selon l'invention permet de répartir un système d'information et de mettre en place une publication d'applications en mode « SaaS » pour « Software as a Service », application en tant que service permettant l'utilisation d'une application sans l'installer en local. - sedentary work. Furthermore, the system according to the invention makes it possible to distribute an information system and to set up an application publication in "SaaS" mode for "Software as a Service", an application as a service allowing the use of an application without installing it locally.
Pour ce faire, on utilise une nouvelle passerelle d'accès sécurisé 4 reliée d'une part au système d'information 1, et d'une autre part à Internet (5). La passerelle d'accès sécurisé 4 a pour objet de permettre l'accès au système d'information 1 à partir de terminaux 6 à 9 de différents types. Ces terminaux peuvent être connus du système d'information 1 car appartenant par exemple au réseau local 2, mais ils peuvent avantageusement être tout autre terminal utilisateur. D'autres terminaux 10 et un second réseau local 11 constituent un site déporté sans système d'information propre. La passerelle 4 permet de proposer à ce site tous les accès réseaux et les moyens de connexion disponibles sur le site local 2, mais au travers d'une liaison Internet ou WAN (accès Internet direct, accès distant, ^ccès^ invité, ségrégation -des réseaux- clients ....) To do this, we use a new secure access gateway 4 connected on the one hand to the information system 1, and on the other hand to the Internet (5). The secure access gateway 4 is intended to allow access to the information system 1 from terminals 6 to 9 of different types. These terminals can be known from the information system 1 because belonging for example to the local network 2, but they can advantageously be any other user terminal. Other terminals 10 and a second local area network 11 constitute a remote site without its own information system. The gateway 4 allows us to offer this site all access networks and connecting means available at the local site 2, but through an Internet connection or WAN (direct Internet access, remote access, ^ ^ ccess invited segregation - customer networks ....)
La répartition du système d'information est obtenue en intégrant tout ou partie du système d'information dans un boîtier infrastructure 12 qui sera décrit plus en détail ci-dessous. Plusieurs boîtiers infrastructure peuvent être connectés en un groupe ou « cluster » 13 comprenant tout ou partie du système d'information. Les terminaux utilisateurs 6 à 9 se connectant au système d'information 1 peuvent également accéder, via la passerelle 4, à un serveur de publication d'applications en mode « SaaS » 14 pour bénéficier d'un certains nombres d'applications sans les télécharger localement sur le terminal utilisateur. Ces terminaux 6 à 9 peuvent également accéder via la passerelle 4 à un serveur de stockage 15. On prévoit un module gestion centralisée de services 16 et un module de supervision centralisée 17 de la sécurité des échanges dans le système. Sur la figure 2, on voit un peu plus en détail le contenu de la passerelle d'accès sécurisé 4 selon l'invention. Il s'agit d'un caisson contenant un concentrateur 25 qui est connecté à une architecture de réseaux locaux, représentée simplement ici par le réseau local 2. Ce concentrateur permet l'accès aux terminaux utilisateurs reliés au réseau local 2. Il s'agit généralement des terminaux de l'entreprise. Il permet également de gérer les droits d'accès à des services définis. Le pare-feu 26 permet de laisser passer des communications autorisées provenant du réseau local 2 via le concentrateur 25 ou provenant des terminaux distants 6 à 9 (sur la figure 1) via Internet 5, vers une unité de traitement 27 et/ou vers le système d'information 1. Le pare-feu permet également de contrôler les communications à destination d'Internet, (navigation standard avec filtrage d'URL, antivirus et sonde anti intrusion) ainsi que l'établissement des tunnels IPSEC à destination des différents sites ou administration. En particulier, les communications provenant d'Internet sont dirigées vers l'unité de traitement 27 pour établissement d'une communication sécurisée et pour une authentification forte des terminaux et utilisateurs. En fonction du terminal distant 6 à 9, la communication est dirigée vers un serveur pour bureau virtuel 28, un serveur pour nomade 29 ou un serveur pour voix 30. Chacun des serveurs virtuels 28 à 30 interagit étroitement avec un serveur d'authentification 31. A titre d'exemple non limitatif, le serveur pour- bureau virtuel peut être obtenu à partir du produit Virtual Browser® de Common It, du produit Login People ® qui est un serveur d'authentification, ainsi que d'une interface développée pour permettre l'interaction entre le produit Virtual Browser® et le produit Login Peopfe®. Un produit Virtual Browser est notamment décrit dans le document WO 2010136317. The distribution of the information system is obtained by integrating all or part of the information system into an infrastructure unit 12 which will be described in more detail below. Several infrastructure boxes can be connected in a group or "cluster" 13 comprising all or part of the information system. The user terminals 6 to 9 connecting to the information system 1 can also access, via the gateway 4, a SaaS application publishing server 14 to benefit from a certain number of applications without downloading them. locally on the user terminal. These terminals 6 to 9 can also access via gateway 4 to a storage server 15. A centralized service management module 16 and a centralized supervision module 17 for the security of exchanges in the system are provided. In Figure 2, we see a little more in detail the contents of the secure access gateway 4 according to the invention. It is a box containing a concentrator 25 which is connected to a local network architecture, simply represented here by the local network 2. This concentrator allows access to the user terminals connected to the local network 2. typically company terminals. It also helps to manage rights of access to defined services. The firewall 26 makes it possible to pass authorized communications originating from the local network 2 via the concentrator 25 or from the remote terminals 6 to 9 (in FIG. 1) via the Internet 5, to a processing unit 27 and / or to the information system 1. The firewall can also control communications to the Internet, (standard navigation with URL filtering, antivirus and intruder probe) and the establishment of IPSEC tunnels to different sites or administration. In particular, the communications from the Internet are directed to the processing unit 27 for establishment of secure communication and for strong authentication of the terminals and users. Depending on the remote terminal 6 to 9, the communication is directed to a virtual office server 28, a nomadic server 29 or a voice server 30. Each of the virtual servers 28 to 30 closely interacts with an authentication server 31. By way of non-limiting example, the virtual desktop server can be obtained from the Common It's Virtual Browser® product, the Login People® product which is an authentication server, as well as an interface developed to enable the interaction between the Virtual Browser® product and the Login Peopfe® product. A Virtual Browser product is described in particular in document WO 2010136317.
Le serveur pour nomade peut être de façon également non limitative implémenté au moyen du produit IMomadio® de la société Ibelem en tant que composeur 29A, associé au produit IPDIVA® en tant qu'application d'accès à distance 29B, ces produits étant adaptés pour collaborer avec le Login People® comme serveur d'authentification forte.  The nomadic server may also be non-limitatively implemented by means of the product IMomadio® from Ibelem as a dialer 29A, associated with the product IPDIVA® as a remote access application 29B, these products being adapted to collaborate with the Login People® as a strong authentication server.
Ces serveurs virtuels sont avantageusement disposés dans une zone démilitarisée pour protéger le système d'information contre toute intrusion malveillante.  These virtual servers are advantageously arranged in a demilitarized zone to protect the information system against any malicious intrusion.
Lorsqu'un utilisateur est au sein du réseau local 2, il peut se connecter grâce à son terminal au concentrateur 25 pour identification. Ce dernier identifie l'utilisateur ainsi que le ou les réseaux pour lesquels il a un droit d'accès.  When a user is within the local network 2, he can connect through his terminal to the hub 25 for identification. The latter identifies the user as well as the network or networks for which he has a right of access.
Lorsque cet utilisateur est à l'extérieur du réseau local 2, s'il utilise un terminal non connu, c'est-à-dire non répertorié dans le réseau local, tel que par exemple la machine d'un cyber café ou un ordinateur personnel, ce sont les serveurs pour bureau virtuel et d'authentification qui vont intervenir. When this user is outside Local Area Network 2, if he is using an unknown terminal, that is, not listed in the local network, such as for example the machine of a cyber café or a personal computer, it is the servers for virtual office and authentication that will intervene.
Lorsque cet utilisateur est à l'extérieur du réseau local 2, s'il utilise un terminal connu, c'est le concentrateur 25 qui intervient pour l'identification du terminal.  When this user is outside the local network 2, if he uses a known terminal, the hub 25 intervenes for the identification of the terminal.
La mise en œuvre du serveur pour bureau virtuel répond à la problématique de se connecter au système d'information quelque soit le terminal utilisé et de garantir que cette connexion ne permet pas la fuite de données ni l'attaque du système d'information. Ce mode permet un travail collaboratif (accès à l'espace partagé et accès au système d'information personnel de l'utilisateur tout en garantissant qu'aucun transfert ne peut être effectué d'un espace à l'autre). The implementation of the virtual desktop server addresses the problem of connecting to the information system regardless of the terminal used and to ensure that this connection does not allow the data leak or the attack of the information system. This mode allows collaborative work (access to the shared space and access to the user's personal information system while ensuring that no transfer can be made from one space to another).
Comme mentionné précédemment, le serveur pour bureau virtuel peut être mis en œuvre au moyen du produit Virtual Browser® en mode connecté permettant l'accès à des applications en mode web à partir d'un navigateur virtuel installé sur une zone démilitarisée (DMZ) du pare-feu. L'accès à ce navigateur virtuel se fait au moyen d'exécutables stockés soit sur un terminal (PDA, Smartphone) soit sur clé de type USB (clé standard), disques externes ou autres.  As previously mentioned, the virtual desktop server can be implemented using the connected Web-enabled Virtual Browser® product allowing access to web-based applications from a virtual browser installed on a DMZ (Demilitarized Zone). firewall. The access to this virtual browser is done by means of executable files stored either on a terminal (PDA, Smartphone) or on key of type USB (standard key), external disks or others.
Le serveur d'authentification peut être mis en œuvre avec le produit LOGIN PEOPLE® permettant d'effectuer une authentification forte sans utilisation de « token » cryptographique ou de mécanisme cryptographique spécifique. Cette solution s'appuie sur des paramètres spécifiques d'un terminal afin de rendre son identification unique et non falsifiable. En mode bureau virtuel, le serveur pour bureau virtuel et le serveur d'authentification sont interopérables.  The authentication server can be implemented with the product LOGIN PEOPLE® allowing to perform strong authentication without the use of cryptographic "token" or specific cryptographic mechanism. This solution relies on specific parameters of a terminal to make its identification unique and not falsifiable. In virtual desktop mode, the virtual desktop server and the authentication server are interoperable.
En pratique, le processus d'accès en mode bureau virtuel peut être tel que décrit ci-après.  In practice, the virtual desktop access process may be as described below.
L'utilisateur lance un exécutable bureau virtuel stocké soit sur le terminal soit sur une clé USB. Cet exécutable ne nécessite aucune installation ni de privilège particulier.  The user launches a virtual desktop executable stored either on the terminal or on a USB key. This executable does not require any installation or special privilege.
La communication entre le terminal et la passerelle est chiffrée, et authentifiée dans le cas d'utilisation de certificat.  The communication between the terminal and the gateway is encrypted, and authenticated in the case of certificate use.
Le chiffrement est effectué via OPENSSL. Une fois la communication établie, l'utilisateur a accès au serveur pour bureau virtuel et aux différents services qui lui sont autorisés en fonction de son profil. Le choix d'un service ouvre automatiquement une session spécifique sur le système d'information concerné. Par défaut, il n'y a aucun transfert d'information entre le client et le serveur pour bureau virtuel. On peut envisager un échange de données en fonction du contexte. Encryption is done via OPENSSL. Once the communication is established, the user has access to the virtual desktop server and to the various services authorized to him according to his profile. The choice of a service automatically opens a specific session on the information system concerned. By default, there is no information transfer between the client and the virtual desktop server. We can consider a data exchange depending on the context.
En ce qui concerne l'implémentation du serveur d'authentification à partir du produit Login Peopfe®, l'authentification du terminal se fait au moyen de plusieurs paramètres intrinsèques au terminal. Cette authentification est effectuée au moyen d'un module d'extension ou « plugin » installé dans un navigateur (ActiveX/Applet Java ou composants spécifiques en fonction des navigateurs).  Regarding the implementation of the authentication server from the product Login Peopfe®, the authentication of the terminal is done by means of several parameters intrinsic to the terminal. This authentication is performed by means of an extension module or "plugin" installed in a browser (ActiveX / Java Applet or specific components depending on browsers).
Sur la figure 3, on voit un processus d'authentification selon l'art antérieur dans lequel des terminaux utilisateurs 40 veulent accéder à un système d'information 39 à travers un serveur d'authentification 37 (ID_BOX) et une passerelle VPNSSL 38. La connexion s'effectue en général au travers d'une page web. A l'étape 32, l'utilisateur saisit un code PIN et envoie ce code pin et la signature du terminal utilisé pour la connexion (depuis son Smartphone, sa clé USB, son terminal, ...)■ Le serveur d'authentification vérifie le code pin et la signature et renvoie à l'utilisateur à l'étape 33 un mot de passe à valeur unique (OTP). Un client VPNSSL (non représenté) installé sur le terminal récupère ΟΤΡ et renvoie à l'étape 34 l'identifiant du terminal à la passerelle VPNSSL 38. Cette dernière renvoie, à l'étape 35 pour vérification, i-ΌΤΡ vers la passerelle d'authentification, en général selon le protocole RADIUS. La communication est ainsi authentifiée et chiffrée. La passerelle VPNSSL 38 autorise l'accès au système d'information à l'étape 36.  FIG. 3 shows an authentication process according to the prior art in which user terminals 40 want to access an information system 39 through an authentication server 37 (ID_BOX) and a VPNSSL gateway 38. connection is usually made through a web page. In step 32, the user enters a PIN code and sends this pin code and the signature of the terminal used for the connection (from his smartphone, his USB key, his terminal, etc.). ■ The authentication server verifies the pin code and the signature and returns to the user in step 33 a one-time password (OTP). A VPNSSL client (not shown) installed on the terminal retrieves ΟΤΡ and returns in step 34 the identifier of the terminal to the gateway VPNSSL 38. The latter returns, in step 35 for verification, i-ΌΤΡ to the gateway d authentication, usually according to the RADIUS protocol. The communication is thus authenticated and encrypted. The VPNSSL gateway 38 authorizes access to the information system in step 36.
Sur la figure 4, ce processus d'authentification est modifié en combinaison avec le processus d'accès sécurisé par le serveur pour bureau virtuel.  In Figure 4, this authentication process is modified in combination with the secure access process by the virtual desktop server.
Le processus combiné est indépendant du terminal (zéro adhérence) et fonctionne sur l'ensemble des terminaux. Il permet l'authentification de l'utilisateur et du terminal de manière unique et avant l'accès au système d'information. La communication peut être établie en filaire ou en radio (WiFi, 3G,...). Une authentification unique (SSO, « single sign on ») au niveau du système d'information est également possible. The combined process is terminal independent (zero adhesion) and works on all terminals. It allows user and terminal authentication uniquely and before accessing the information system. Communication can be established by wired or radio (WiFi, 3G, ...). Single sign-on (SSO) at the information system level is also possible.
En pratique, la mise en oeuvre peut se faire, sans que cela ne soit limitatif aux produits mentionnés, grâce au développement d'une ou plusieurs interfaces permettant de faire dialoguer des produits Virtual Browser® et Login People®. D'autres développement et/ou produits peuvent être envisagés afin d'implémenter les fonctions définies selon l'invention.  In practice, the implementation can be done, without this being limited to the mentioned products, through the development of one or more interfaces for dialogue between Virtual Browser® and Login People® products. Other developments and / or products may be envisaged in order to implement the functions defined according to the invention.
Les interfaces rendent les deux produits interopérables. En particulier, dans le cas conventionnel, la génération de la signature issue de Login people® nécessite la mise en oeuvre d'un composant logiciel intégré dans le navigateur sur le poste client. Or Virtual Browser® utilise un navigateur installé en central, donc pas sur le poste client. Avec l'interfaçage entre Virtual Browser ® et Login People®, on récupère l'empreinte de signature sans "installer de composant logiciel sur le poste client. The interfaces make the two products interoperable. In particular, in the conventional case, the generation of the signature resulting from Login people® requires the implementation of a software component integrated in the browser on the client computer. Or Virtual Browser® uses a centrally installed browser, so not on the client machine. With the interface between Virtual Browser ® and Login People®, we recover the signature fingerprint without " installing software component on the client.
Sur la figure 4, le terminal 40 qui doit être identifié est celui ayant accès à un fichier exécutable adapté à initier une connexion avec le serveur de bureau virtuel (Virtual Browser®). Ce fichier exécutable est stocké dans le terminal 40 ou dans tout moyen de stockage comme une clé USB. Le terminal 40 est un appareil capable de se connecter à Internet, il peut s'agir d'un Smartphone ou d'un PC (tout OS confondu). Aucune installation n'est nécessaire sur le terminal. In Figure 4, the terminal 40 to be identified is the one having access to an executable file adapted to initiate a connection with the virtual desktop server (Virtual Browser®). This executable file is stored in the terminal 40 or in any storage means such as a USB key. The terminal 40 is a device capable of connecting to the Internet, it may be a smartphone or a PC (any OS confused). No installation is necessary on the terminal.
- Lorsque l'utilisateur ouvre le fichier exécutable, un module client Virtual Browser® modifié s'exécute et se connecte à l'étape 4i au serveur Virtual Browser® modifié (serveur pour bureau virtuel) 28. Par Virtual Browser® modifié, on entend une application de type Virtual Browser® associée à une interface (une application dédiée) permettant l'échange de données entre l'application Virtual Browser® et une autre application telle que par exemple l'application Login People®. La communication est sécurisée par SSL mais non authentifiée.  - When the user opens the executable file, a modified Virtual Browser® client module runs and connects in step 4i to the modified Virtual Browser® server (virtual desktop server) 28. By modified Virtual Browser® means a Virtual Browser® type application associated with an interface (a dedicated application) allowing the exchange of data between the Virtual Browser® application and another application such as, for example, the Login People® application. The communication is secured by SSL but not authenticated.
- A l'étape 42, le serveur de bureau virtuel 28 demande un identifiant ou signature unique du terminal. Une page web spécifique s'ouvre. On calcule la signature du terminal par l'exécution d'un programme local au client et intégré dans le module client Virtual Browser® modifié. Un code pin est demandé à l'utilisateur. L'utilisateur saisit le code pin. - Aux étapes 43 et 44, le code pin et la signature sont transmis pour authentification au serveur d'authentification 31 via le serveur de bureau virtuel. In step 42, the virtual desktop server 28 requests a unique identifier or signature of the terminal. A specific web page opens. The terminal signature is calculated by running a local program to the client and integrated into the modified Virtual Browser® client module. A pin code is requested from the user. The user enters the pin code. In steps 43 and 44, the pin code and the signature are transmitted for authentication to the authentication server 31 via the virtual desktop server.
- Le serveur d'authentification génère à l'étape 45 un mot de passe unique dit OTP (pour « One Time Password ») et le transmet au serveur de bureau virtuel.  - The authentication server generates in step 45 a unique password says OTP (for "One Time Password") and transmits it to the virtual desktop server.
- A l'étape 46 le serveur de bureau virtuel valide et renvoie le mot de passe ainsi que la signature vers le serveur d'authentification 31 pour demander une ouverture de session. On récupère éventuellement des groupes utilisateurs auprès d'un serveur LDAP (non représenté).  In step 46, the valid virtual desktop server returns the password and the signature to the authentication server 31 to request a login. User groups may be retrieved from an LDAP server (not shown).
- A l'étape 47, le serveur d'authentification autorise l'ouverture d'une session pour le bureau virtuel en fonction des droits de l'utilisateur.  In step 47, the authentication server authorizes the opening of a session for the virtual office according to the rights of the user.
- A l'étape 48, ie terminal 40 accède au système d'information, en particulier à des applications web, bureau et applications publiées.  In step 48, the terminal 40 accesses the information system, in particular to web applications, desktop and published applications.
Lorsque l'utilisateur utilise son terminal habituel de l'entreprise, ce terminal contient un module client apte à communiquer avec un module serveur selon un mode client^serveur avec échanges de données. Le processus de connexion peut être le suivant : When the user uses his usual terminal of the company, this terminal contains a client module able to communicate with a server module in a client mode ^ server with data exchange. The connection process can be as follows:
L'utilisateur initie une connexion en activant un assistant de connexion. The user initiates a connection by activating a connection wizard.
Cet assistant de connexion est par exemple un module client apte à communiquer avec un module serveur formant le composeur 29A, l'ensemble client-serveur peut être par exemple obtenu à partir du produit Nomadio®. L'assistant de connexion installé sur le terminal utilisateur détecte et propose tous les moyens de communication possible du terminal : 3G, WiFi,... L'utilisateur choisit un mode de communication. L'assistant peut indiquer un mode préférentiel en fonction de paramètres divers comme par exemple le lieu de connexion, la qualité, le moment de la connexion... L'assistant de connexion pointe le pare-feu 26 qui dirige la connexion vers le composeur 29. Ce dernier lance un processus d'authentification forte en s'interfaçant avec le serveur d'authentification 31. Ce dernier récupère un identifiant unique du terminal. Cet identifiant a été élaboré à partir des caractéristiques logicielles et matérielles permettant d'identifier simplement et rapidement chaque terminal. Lorsque l'authentification est terminée et acceptée, on lance l'application d'accès à distance 29B, comme par exemple le produit IPDIVA® de façon à mettre en place un tunnel VPN SSL entre une application cliente dans le terminal utilisateur et la partie serveur de l'application d'accès à distance contenu dans l'unité de traitement 27. Le terminal utilisateur est ensuite connecté à une passerelle logicielle dans le système d'information pour permettre au terminal utilisateur d'accéder aux différents éléments du système d'information avec échange de données. Le serveur d'authentification utilise un identifiant du terminal, cet identifiant étant un identifiant léger, contrairement aux systèmes de certificat ou de jeton conventionnellement utilisés, qui sont des identifiants lourds en termes de tailles et de manipulation. This connection wizard is for example a client module capable of communicating with a server module forming the dialer 29A, the client-server set can for example be obtained from the product Nomadio®. The connection wizard installed on the user terminal detects and proposes all possible means of communication of the terminal: 3G, WiFi, ... The user chooses a communication mode. The wizard can indicate a preferential mode according to various parameters such as the place of connection, the quality, the time of the connection ... The connection wizard points the firewall 26 which directs the connection to the composer 29. The latter initiates a strong authentication process by interfacing with the authentication server 31. The latter retrieves a unique identifier of the terminal. This identifier has been developed from the software and hardware characteristics to identify simply and quickly each terminal. When the authentication is completed and accepted, the remote access application 29B is launched, such as the IPDIVA® product. in order to set up an SSL VPN tunnel between a client application in the user terminal and the server portion of the remote access application contained in the processing unit 27. The user terminal is then connected to a software gateway in the information system to enable the user terminal to access the different elements of the information system with data exchange. The authentication server uses an identifier of the terminal, this identifier being a lightweight identifier, unlike conventionally used certificate or token systems, which are identifiers that are heavy in terms of size and handling.
Sur la figure 5, on voit une passerelle d'accès sécurisé 4 intégrée dans un boîtier infrastructure 50 comprenant un système d'information. Ii s'agit d'un boîtier qui, en plus de l'ensemble des composants de la passerelle 4 des figures 1 et 2, comprend en outre : In Figure 5, there is shown a secure access gateway 4 integrated into an infrastructure box 50 comprising an information system. It is a case which, in addition to all the components of the gateway 4 of FIGS. 1 and 2, further comprises:
- un pare-feu 51 relié avec le pare-feu 26 (figure 2) présent dans la passerelle 4 pour permettre et surveiller la communication entre la passerelle 4 et les autres éléments du boîtier infrastructure ;  a firewall 51 connected with the firewall 26 (FIG. 2) present in the gateway 4 to enable and monitor the communication between the gateway 4 and the other elements of the infrastructure box;
- un système d'information intégré 52 comprenant notamment une publication d'applications, un serveur web associé à un relais http, un serveur de dossiers et d'impression, des moyens de gestion centralisée d'adresses IP (DNS, DHCP, AD), et une application d'administration pour gérer la publication d'applications ;  an integrated information system 52 comprising in particular an application publication, a web server associated with an http relay, a folder and print server, means for centralized management of IP addresses (DNS, DHCP, AD) , and an administration application for managing the publication of applications;
- un serveur 53 de stockage en réseau NAS (« Network Attached Storage » en anglais) pour gérer des espaces disques ;  a NAS network storage server 53 ("Network Attached Storage") for managing disk spaces;
- un commutateur 54 pour gérer la communication entre les différents éléments du boîtier infrastructure, il permet également de mettre en cascade plusieurs boîtiers infrastructure du même type ;  a switch 54 for managing the communication between the different elements of the infrastructure box, it also makes it possible to cascade several infrastructure boxes of the same type;
- une unité de traitement ou carte électronique 55 pour administrer les autres éléments du boîtier infrastructure ; et  a processing unit or electronic card 55 for administering the other elements of the infrastructure box; and
- une autre unité de traitement ou carte électronique 56 pour gérer l'alimentation du boîtier infrastructure, en particulier l'arrêt et le démarrage séquentiel des éléments du boîtier infrastructure ; par exemple une séquence de démarrage peut être la suivante : le commutateur 54, l'unité de traitement 55, un serveur 53 de stockage en réseau NAS, le système d'information intégré 52, et la passerelle 4 d'accès sécurisé ; l'arrêt se faisant dans le sens inverse. another processing unit or electronic card 56 for managing the power supply of the infrastructure box, in particular stopping and sequential startup of the elements of the infrastructure box; for example, a start-up sequence may be the following: the switch 54, the processing unit 55, a NAS network storage server 53, the system integrated information 52, and the gateway 4 secure access; stopping in the opposite direction.
La mise en cascade des boîtiers infrastructures permet notamment de réaliser un système redondant. Les différents services sont ainsi toujours disponibles en cas de défaillance de l'un des boîtiers infrastructures.  The cascading of the infrastructure boxes makes it possible to create a redundant system. The different services are thus always available in case of failure of one of the infrastructure boxes.
D'une façon générale et en complément notamment de ce qui précède et conformément aux figures 1 à 4, le système selon l'invention peut être défini sous forme de kits pouvant être mis en œuvre pour chaque famille d'équipements à prendre en compte. Le système selon l'invention comprend notamment les familles suivantes : In a general manner and in addition to the above, and in accordance with FIGS. 1 to 4, the system according to the invention can be defined in the form of kits that can be implemented for each family of equipment to be taken into account. The system according to the invention comprises in particular the following families:
• Famille d'équipements client (distant ou local) :  • Client equipment family (remote or local):
o Pour le kit nomade : kit d'accès nomade permettant à un poste de l'entreprise d'accéder aux ressources ^ de Jlentceprise, au boîtier infrastructure intégrant un système d'information, au serveur SaaS et au serveur Store. Le kit comprend le composeur (« dialer » en anglais), la sécurisation de la communication et l'authentification forte.  o For the nomadic kit: a portable access kit allowing a company station to access the resources of the enterprise, the infrastructure box integrating an information system, the SaaS server and the Store server. The kit includes dialer, secure communication and strong authentication.
o Pour le kit bureau virtuel : solution permettant à un utilisateur d'accéder aux ressources de l'entreprise, au boîtier infrastructure intégrant un système d'information, au serveur SaaS et au serveur Store. Il permet également de stocker et utiliser des données stockées dans un espace sécurisé.  o For the virtual desktop kit: A solution that allows a user to access corporate resources, an infrastructure appliance that includes an information system, the SaaS server, and the Store server. It also allows you to store and use data stored in a secure space.
o Pour le kit voix mobile (Smartphone) : solution identique au serveur pour bureau virtuel et/ou au serveur pour nomade mais dédié au monde des Smartphones.  o For the mobile voice kit (Smartphone): identical solution to the server for virtual office and / or server for nomad but dedicated to the world of smartphones.
• Famille d'équipements infrastructure  • Infrastructure equipment family
o Le boîtier infrastructure intégrant un système d'information : système d'information complet, intégré (réseau - applications publiées - stockage) évolutif (empilage ou mise en réseau) offrant des services de voix données images, intégrant des services de sécurité (sécurité des communications (voix et données), sécurité des accès Internet, sécurité des données (chiffrement et solution DLP (« Data Loss Prévention » pour prévention de perte de données) / Sauvegarde / Synchronisation), haute disponibilité), pouvant être facilement déployé. o The infrastructure box integrating an information system: a complete information system, integrated (network - published applications - storage), scalable (stacking or networking) offering voice image data services, integrating security services (security of communications (voice and data), Internet access security, data security (encryption and Data Loss Prevention (DLP) data loss prevention) / Backup / Synchronization), high availability), which can be easily deployed.
o La passerelle d'accès sécurisé : Passerelle d'accès mutualisés, permettant aux solutions clients d'accéder à un système d'information client. Passerelle d'accès permettant à un site distant de s'intégrer dans l'architecture du système selon l'invention sans déploiement spécifique sur le site distant tout en gardant les fonctionnalités offertes dans le boîtier infrastructure intégrant un système d'information (multi VLAN accès invité, accès LAN to LAN)  o The secure access gateway: Shared access gateway, allowing client solutions to access a customer information system. Access gateway allowing a remote site to integrate into the architecture of the system according to the invention without specific deployment on the remote site while retaining the features offered in the infrastructure box integrating an information system (multi VLAN access guest, LAN to LAN access)
Famille service Family service
o Serveur SaaS : Portail d'accès à des applications en mode service (publication d'applications et exécution distante) et compatible avec les solutions de la famille client. Le serveur SaaS est mutualisable entre plusieurs sociétés tout en garantissant un cloisonnement des communications et des données et des accès. Il est compatible avec des solutions d'authentification fortes,  o SaaS server: Access portal for applications in service mode (application publishing and remote execution) and compatible with the solutions of the client family. The SaaS server is shared between several companies while ensuring a partitioning of communications and data and access. It is compatible with strong authentication solutions,
o Serveur Store : Bibliothèque d'applications virtualisées pouvant être :  o Store server: Library of virtualized applications that can be:
• utilisée par le serveur SaaS (à partir des solutions d'infrastructure et clientes)  • used by the SaaS server (from infrastructure and client solutions)
• téléchargée et utilisée par les produits de la famille client • downloaded and used by the products of the client family
• utilisée sur un poste client sans installation spécifique Famille Management • used on a client workstation without specific installation Family Management
o Le serveur gestion centralisée de services : console de management centralisé permettant l'administration complète du système. Administration des clients, infrastructures, et services. La gestion comprend le management des services et la configuration / le déploiement des différentes solutions, o Le serveur de supervision centralisée de la sécurité des échanges dans le système (remontée d'alarmes, corrélation, gestion des logs, vulnérabilité). Ce serveur assure également le management de la sécurité (configuration des pare-feu, des liens inter * systèmes, politique de sécurité et conformité, patch management....) o Centralized Service Management Server: centralized management console for complete system administration. Customer Administration, Infrastructure, and Services. The management includes the management of the services and the configuration / deployment of the different solutions, o The centralized monitoring server for the security of exchanges in the system (alarm reporting, correlation, log management, vulnerability). This server also provides security management (configuration of firewalls, links inter * systems, security policy and compliance, patch management ....)
On va maintenant détailler ci-après, certains principes mis en œuvre niveau matériel et applicatif : We will now detail below, some principles implemented hardware and application level:
Le système selon l'invention est une solution cohérente mais adaptable car conçue en mode brique. The system according to the invention is a coherent solution but adaptable because designed in brick mode.
L'architecture technique du système selon l'invention repose sur des briques assurant les différentes fonctions d'un système d'information allant de la communication (architecture réseau) à la mise à disposition d'application en mode SAAS ou local (virtualisation d'application, publication d'application) en intégrant des mécanismes d'authentification forte et un stockage/sauvegarde de données sécurisées soit dans l'infrastructure centrale soit sur un support distant (nomade, bureau virtuel, Smartphone).  The technical architecture of the system according to the invention is based on bricks providing the various functions of an information system ranging from communication (network architecture) to the provision of application in SAAS or local mode (virtualization of application, application publishing) by integrating strong authentication mechanisms and storage / backup of secure data either in the central infrastructure or on a remote support (nomad, virtual office, Smartphone).
Architecture des communications : Communications Architecture:
Toutes les communications entre les différents éléments du système sont sécurisées (chiffrement et authentification).  All communications between the various elements of the system are secure (encryption and authentication).
Cette architecture de communication entre les différents éléments est assurée par plusieurs tunnels IPSEC ( pour « Internet Protocol Security ») et/ou SSL (pour « Secure Socket Layer ») en fonction des éléments à connecter.  This communication architecture between the different elements is provided by several IPSEC (for "Internet Protocol Security") and / or SSL (for "Secure Socket Layer") tunnels depending on the elements to be connected.
Toutes les communications sont gérées à partir du serveur de gestion centralisée de services.  All communications are managed from the centralized service management server.
Une architecture selon l'invention peut être construite soit sur le réseau Internet soit sur un réseau privé, soit les deux. Le débit minimal dépend des services demandés.  An architecture according to the invention can be built either on the Internet or on a private network, or both. The minimum throughput depends on the services requested.
Les architectures réseaux locaux, implémentées dans la passerelle et dans le boîtier infrastru ture permettent la mise à disposition de plusieurs réseaux pour différents usages répartis en trois classes:  The local network architectures, implemented in the gateway and in the infrastructure box, make it possible to provide several networks for different uses divided into three classes:
• Accès au système d'information local: permet à un utilisateur d'accéder à partir d'un poste quelconque au SI local • Accès invité: permet à une personne d'accéder à Internet (en mode invité) en assurant un contrôle des communications et une sauvegarde des données de connexion • Access to local information system: allows a user to access any location at the local IS • Guest Access: allows a person to access the Internet (in guest mode) by providing communications control and connection data backup
• Accès LAN to LAN. Offre à un groupe d'utilisateurs une extension de 5 son réseau d'entreprise sans utiliser les accès distants.  • LAN to LAN access. Offers a group of users an extension of its corporate network without using remote access.
Chaque classe de réseau peut être subdivisée en plusieurs classes isolées les unes des autres.  Each network class can be subdivided into several isolated classes of each other.
Les architectures de réseaux s'appuient sur des technologies de VLAN et s'appuie sur des architectures WiFi ou filaire ou les deux rendant ainsi un i o déploiement rapide et aisé.  Network architectures rely on VLAN technologies and rely on WiFi or wired architectures, or both, to make deployment quick and easy.
Toutes les communications clients / infrastructure sont chiffrées et authentifiées par différents mécanismes en fonction de la typologie des réseaux.  All client / infrastructure communications are encrypted and authenticated by different mechanisms based on network typology.
15 Virtualisation système: 15 System Virtualization:
Les différents serveurs du système fonctionnent sur des équipements spécifiques, intégrés sur mesure mais de base commune. Les systèmes de base fonctionnant sur les différents équipements s'appuient sur des technologies de virtualisation d'OS, permettant une évolution simple et une 0 interopérabilité des éléments entre eux (dans une famille donnée). On peut utiliser la solution logicielle de virtualisation VMWare qui propose des fonctionnalités de haute disponibilité et de partage de charge.  The various servers of the system work on specific equipment, custom built but common base. The basic systems running on the different devices rely on OS virtualization technologies, allowing simple evolution and interoperability of the elements between them (in a given family). VMWare virtualization software solution that offers high availability and load sharing capabilities can be used.
Système d'information: Information system:
25 Le système d'information peut être par exemple un système MicrosoftThe information system may be for example a Microsoft system
(Active Directory / File / Print..) avec une architecture dans le boîtier infrastructure capable de dialoguer avec l'architecture du serveur SaaS (mise en place de solution d'approbation de droits entre deux architectures Windows disjointes : fédération des identités)(Active Directory / File / Print ..) with an architecture in the infrastructure box able to interact with the architecture of the SaaS server (implementation of rights approval solution between two disjointed Windows architectures: federation of identities)
0  0
Authentification forte:  Strong authentication:
Plusieurs mécanismes d'authentification forte peuvent être utilisés: Several strong authentication mechanisms can be used:
• Authentification forte à base de certificat (logiciel ou hardware) • Strong certificate-based authentication (software or hardware)
β Authentification forte sans certificat (par exemple empreinte de 35 terminal) L'enrôlement des utilisateurs ou la création des certificats peuvent être soit externe au système soit intégré dans l'architecture. L'authentification forte couplée à de l'identification unique (SSO) permet à un utilisateur donné d'accéder aux données et aux réseaux en n'utilisant qu'une séquence d'authentification. Des mécanismes de fédération d'identité permettent à un utilisateur d'accéder à des systèmes répartis ne disposant pas de cohérence de bases utilisateurs sans rejouer les mécanismes d'authentification. Les certificats implémentés peuvent également servir au chiffrement des données. β strong authentication without certificate (eg terminal fingerprint) Enrollment of users or creation of certificates can be either external to the system or integrated into the architecture. Strong authentication coupled with unique identification (SSO) allows a given user to access data and networks using only one authentication sequence. Identity federation mechanisms enable a user to access distributed systems that do not have user base consistency without replaying the authentication mechanisms. The implemented certificates can also be used for data encryption.
Stockage: Storage:
Le boîtier infrastructure intégrant le système d'information offre des capacités de stockage par utilisateur, qui peuvent évoluer et être réparties sur plusieurs boîtiers. Des mécanismes de synchronisation permettent d'assurer la haute disponibilité des données en cas de dysfonctionnement de l'une des infrastructures. Les données peuvent être également sauvegardées/synchronisées sur des serveurs spécifiques tout en garantissant le même niveau de sécurité (confidentialité/intégrité) de la donnée initiale.  The infrastructure box integrating the information system offers storage capacities per user, which can evolve and be distributed over several boxes. Synchronization mechanisms make it possible to ensure the high availability of data in case of malfunction of one of the infrastructures. The data can also be backed up / synchronized on specific servers while guaranteeing the same level of security (confidentiality / integrity) of the initial data.
L'architecture de stockage permet également de synchroniser dans les deux sens des données stockées sur un poste local (nomade et Smartphone) ou sur une clé (bureau virtuel) en gardant les mêmes niveaux de sécurité. Dans ce cas, la synchronisation de données nécessite que le terminal soit connecté à une architecture du système (partiel ou complète).  The storage architecture also makes it possible to synchronize in two directions data stored on a local station (nomad and smartphone) or on a key (virtual office) keeping the same security levels. In this case, data synchronization requires the terminal to be connected to a system architecture (partial or complete).
Solution Voix : Voice solution:
Le système offre une solution de voix sécurisée par défaut (chiffrement de la voix) permettant soit de reboucler sur un IPBX (PABX sur IP) d'entreprise soit d'avoir son propre accès aux réseaux commutés (ceci vaut pour le boîtier infrastructure uniquement). Les infrastructures voix sont compatibles avec le boîtier infrastructure et la passerelle et fonctionnent sur tous les clients du système ainsi que sur des téléphones standards (TOIP pour « Telephony over Internet Protocol »). Protection des données : The system offers a default secure voice solution (voice encryption) that allows you to either loop back to an enterprise IP PBX (IP PBX) or have your own access to switched networks (this applies to the infrastructure box only) . The voice infrastructures are compatible with the infrastructure box and the gateway and work on all the clients of the system as well as on standard telephones (TOIP for "Telephony over Internet Protocol"). Data protection :
Des briques spécifiques permettent d'assurer la protection des données stockées dans les différents produits du système. La protection des données comprend la protection de la donnée elle-même (confidentialité / intégrité) ainsi que l'audit / contrôle de l'utilisation de celle-ci.  Specific bricks make it possible to protect the data stored in the various products of the system. Data protection includes the protection of the data itself (confidentiality / integrity) as well as the audit / control of the use thereof.
Publication d'application : Application Publication:
Le serveur SaaS et le boîtier infrastructure proposent des solutions de publication d'applications permettant à un utilisateur d'accéder à une application sans installation sur ie poste distant. Cette solution est compatible avec tous les clients du système et quel que soit l'endroit où se trouve l'application. Les mécanismes de virtualisation d'applications sont identiques pour le boîtier infrastructure et ie serveur SaaS. Virtualisation du terminal :  The SaaS server and the infrastructure box provide application publishing solutions that allow a user to access an application without installation on the remote station. This solution is compatible with all system clients and wherever the application is located. The application virtualization mechanisms are identical for the infrastructure box and the SaaS server. Virtualization of the terminal:
Cette solution couplée à la publication d'application permet à un utilisateur d'accéder au système d'information à partir d'un terminal quelconque ou à partir d'un terminal spécifique mais appartenant à un autre système d'information. La solution garantit par défaut qu'aucune donnée ne pourra être stockée sur le poste citent. Il s'agit d'une configuration par défaut qui peut être modifiée en fonction du groupe auquel appartient le poste client (politique adaptative en fonction du contexte). La politique d'utilisation peut être liée au mécanisme d'authentification forte.  This solution coupled with the application publication allows a user to access the information system from any terminal or from a specific terminal but belonging to another information system. The solution guarantees by default that no data can be stored on the quoted item. This is a default configuration that can be changed based on the group to which the client node belongs (Adaptive policy based on context). The usage policy may be related to the strong authentication mechanism.
Application virtualisée : Virtualized application:
Il s'agit d'une solution permettant de virtualiser des applications afin de les faire fonctionner localement (sur le poste d'un utilisateur) sans avoir à installer ces applications. Les applications sont accessibles en téléchargement à partir par exemple du serveur Store.  It is a solution to virtualize applications to run locally (on a user's computer) without having to install these applications. The applications are available for download from, for example, the Store server.
Sécurité : Security :
Tous les éléments de la gamme bénéficient du même niveau de sécurité. On assure ainsi une cohérence du niveau de sécurité. Ce niveau est défini en fonction des risques connus et des exigences des utilisateurs. La sécurité est globale. Dans le cas où cette dernière s'applique à un système d'information existant, elle peut soit être indépendante de ce dernier avec une spécification du niveau de sécurité pour les interfaces, soit intégrée avec des mécanismes de sécurité de l'utilisateur. All elements of the range enjoy the same level of security. This ensures a consistent level of security. This level is defined according to known risks and user requirements. Security is global. In the case where the latter applies to a system existing information, it can either be independent of the latter with a specification of the level of security for the interfaces, or integrated with security mechanisms of the user.
La sécurité englobe:  Security includes:
• La sécurité des systèmes et applications (gestion de patch, mise à jour, contrôle de conformité, gestion des outils de contrôles, ...)  • The security of systems and applications (patch management, updating, compliance control, management of control tools, ...)
• La sécurité des données (chiffrement, sauvegarde, contrôle des accès...)  • Data security (encryption, backup, access control ...)
• La gestion des utilisateurs et droits associés. Administration/ supervision :  • User management and associated rights. Administration / supervision:
Cette solution couvre la supervision et l'administration des différents éléments du système:  This solution covers the supervision and administration of the various elements of the system:
β Provisionnement des comptes utilisateurs  β Provisioning user accounts
• Démarrage arrêt de service  • Start stop service
• Ajout de service supplémentaire  • Added additional service
• Surveillance des systèmes  • Systems monitoring
• Mise en production.  • Put into production.
Modularité de la gamme : Modularity of the range:
La passerelle peut être intégrée dans le boîtier infrastructure ou être utilisée de façon indépendante.  The gateway can be integrated into the infrastructure box or used independently.
Bien sûr, l'invention n'est pas limitée aux exemples qui viennent d'être décrits et de nombreux aménagements peuvent être apportés à ces exemples sans sortir du cadre de l'invention. Of course, the invention is not limited to the examples that have just been described and many adjustments can be made to these examples without departing from the scope of the invention.

Claims

REVENDICATIONS
1. Boîtier informatique portatif comprenant : A portable computer case comprising:
- un système d'information intégré (52),  - an integrated information system (52),
- une passerelle (4) d'accès au un système d'information intégré (52), cette passerelle comprenant: a gateway (4) for access to an integrated information system (52), this gateway comprising:
- un caisson (4) doté d'une alimentation,  - a box (4) with a power supply,
- un concentrateur (25) pour connecter la passerelle à un réseau local (12),  a hub (25) for connecting the gateway to a local area network (12),
- un premier pare-feu (26) pour connecter la passerelle au système d'information intégré (52) et à un réseau de communication externe de type Internet, et  a first firewall (26) for connecting the gateway to the integrated information system (52) and to an external Internet type communication network, and
- une unité de traitement (27) comprenant :  a processing unit (27) comprising:
- au moins un serveur de connexion à distance (28, 29, 30) accessible depuis le réseau de communication externe dans un tunnel sécurisé via le premier pare-feu, et  at least one remote connection server (28, 29, 30) accessible from the external communication network in a secure tunnel via the first firewall, and
- un serveur virtuel (31), dit serveur d'authentification, configuré pour interagir avec ledit au moins un serveur de connexion à distance (28, 29, 30) pour une authentifîcation forte de chaque utilisateur accédant au premier pare-feu, cette authentifîcation forte étant réalisée à partir d'un identifiant unique du terminal de l'utilisateur ; a virtual server (31), said authentication server, configured to interact with said at least one remote connection server (28, 29, 30) for a strong authentication of each user accessing the first firewall, this authentication strong being made from a unique identifier of the user's terminal;
- un serveur de stockage en réseau, dit serveur NAS, a networked storage server, called NAS server,
- un commutateur pour gérer les connexions internes du boîtier, et  a switch for managing the internal connections of the box, and
- un deuxième pare-feu disposé entre ladite passerelle informatique et les autres composants.  a second firewall disposed between said computer gateway and the other components.
2. Boîtier selon la revendication 1, caractérisé en ce que ledit au moins un serveur de connexion à distance (28, 29, 30) comprend un premier serveur virtuel (28), dit serveur pour bureau virtuel, accessible depuis le réseau de communication externe par déport d'affichage dans un tunnel sécurisé via le premier pare-feu. 2. Housing according to claim 1, characterized in that said at least one remote connection server (28, 29, 30) comprises a first virtual server (28), said server for virtual office, accessible from the external communication network by deporting display in a secure tunnel via the first firewall.
3. Boîtier selon la revendication 2, caractérisé en ce que le serveur pour bureau virtuel (28) est configuré pour exécuter chaque session dans un environnement virtuel isolé. The enclosure of claim 2, characterized in that the virtual desktop server (28) is configured to execute each session in an isolated virtual environment.
4. Boîtier selon la revendication 2 ou 3, caractérisé en ce que le serveur pour bureau virtuel (28) comprend plusieurs navigateurs pour accéder au système d'information (1). 4. Housing according to claim 2 or 3, characterized in that the virtual office server (28) comprises several browsers to access the information system (1).
5. Boîtier selon la revendication 4, caractérisé en ce que chaque navigateur est configuré pour accéder à un ensemble d'applications du système d'information (1). 5. Housing according to claim 4, characterized in that each browser is configured to access a set of applications of the information system (1).
6. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce que ledit au moins un serveur de connexion à distance (28, 29, 30) comprend un deuxième serveur virtuel (29), dit serveur pour nomade, accessible depuis le réseau de communication externe par liaison client- serveur avec échanges de données dans un tunnel sécurisé via le premier pare-feu. 6. Housing according to any one of the preceding claims, characterized in that said at least one remote connection server (28, 29, 30) comprises a second virtual server (29), said server for nomad, accessible from the network external communication via client-server link with data exchange in a secure tunnel via the first firewall.
7. Boîtier selon la revendication 6, caractérisé en ce que le serveur pour nomade (29) comprend : 7. Housing according to claim 6, characterized in that the nomadic server (29) comprises:
- un module serveur (29A) d'un composeur multi-accès, un module client du composeur étant contenu dans un terminal utilisateur,  a server module (29A) of a multi-access composer, a client module of the composer being contained in a user terminal,
- un module serveur (29B) d'une application d'accès à distance pour établir un tunnel VPN SSL et pour accéder au système d'information.  a server module (29B) of a remote access application for establishing an SSL VPN tunnel and for accessing the information system.
8. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce que ledit au moins un serveur de connexion à distance (28, 29, 30) comprend un troisième serveur virtuel (30), dit serveur pour voix, accessible depuis le réseau de communication externe par une liaison de voix sur IP dans un tunnel sécurisé via le premier pare-feu. 8. Housing according to any one of the preceding claims, characterized in that said at least one remote connection server (28, 29, 30) comprises a third virtual server (30), said server for voice, accessible from the network external communication by a voice over IP link in a secure tunnel via the first firewall.
9. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce que les serveurs virtuels sont disposés dans un environnement isolé. 9. Housing according to any one of the preceding claims, characterized in that the virtual servers are arranged in an isolated environment.
10. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce que les tunnels sécurisés sont des tunnels VPN chiffrés SSL. 10. Housing according to any one of the preceding claims, characterized in that the secure tunnels are SSL encrypted VPN tunnels.
11. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend en outre une carte électronique (56) pour gérer l'alimentation des différents composants du boîtier. 11. Housing according to any one of the preceding claims, characterized in that it further comprises an electronic card (56) for managing the supply of the various components of the housing.
12. Boîtier selon la revendication 11, caractérisé en ce que la carte électronique (56) est configurée pour démarrer séquentiellement de façon automatique différents composants du boîtier après un arrêt. Housing according to claim 11, characterized in that the electronic card (56) is configured to automatically start sequentially different components of the housing after a stop.
13. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend en outre une carte électronique (55) d'administration des différents composants du boîtier. 13. Housing according to any one of the preceding claims, characterized in that it further comprises an electronic card (55) for administering the various components of the housing.
14. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce que le système d'information intégré comprend : Housing according to any one of the preceding claims, characterized in that the integrated information system comprises:
- des applications en mode publication, - applications in publication mode,
- un serveur Web,  - a web server,
- un serveur d'impression,  - a print server,
- serveur de gestion d'adresses IP, et  - IP address management server, and
- un module de gestion de la publication des applications.  - a module for managing the publication of applications.
15. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce que le commutateur comprend au moins deux connecteurs pour disposer en cascade plusieurs boîtiers équivalents. 15. Housing according to any one of the preceding claims, characterized in that the switch comprises at least two connectors for cascading several equivalent housings.
16. Boîtier selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comprend une alimentation unique permettant un démarrage et un arrêt des composants du boîtier selon une séquence prédéfinie. 16. Housing according to any one of the preceding claims, characterized in that it comprises a single power supply for starting and stopping the housing components in a predefined sequence.
PCT/FR2012/000401 2011-10-06 2012-10-08 Computer case for securely accessing an information system WO2013050674A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR11/03040 2011-10-06
FR1103040A FR2981177B1 (en) 2011-10-06 2011-10-06 IT COMPUTER HOUSING SECURED WITH AN INFORMATION SYSTEM

Publications (1)

Publication Number Publication Date
WO2013050674A1 true WO2013050674A1 (en) 2013-04-11

Family

ID=47291083

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2012/000401 WO2013050674A1 (en) 2011-10-06 2012-10-08 Computer case for securely accessing an information system

Country Status (2)

Country Link
FR (1) FR2981177B1 (en)
WO (1) WO2013050674A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11548245B2 (en) 2013-11-22 2023-01-10 Johns Manville Fiber-containing prepregs and methods and systems of making

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2809255A1 (en) * 2000-05-22 2001-11-23 Right Vision Internet services provision/administration having several layers service organization with services single apparatus programmed with local/internal network connections and central look up services control.
US20080046993A1 (en) * 2006-08-21 2008-02-21 Amarnath Mullick Method and system for authorizing a level of access of a client to a virtual private network connection, based on a client-side attribute
US7584228B1 (en) * 2001-07-18 2009-09-01 Swsoft Holdings, Ltd. System and method for duplication of virtual private server files
WO2010136317A1 (en) 2009-05-27 2010-12-02 Commonit Method for browsing the internet, recording medium, access server and user station for implementing said method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2809255A1 (en) * 2000-05-22 2001-11-23 Right Vision Internet services provision/administration having several layers service organization with services single apparatus programmed with local/internal network connections and central look up services control.
US7584228B1 (en) * 2001-07-18 2009-09-01 Swsoft Holdings, Ltd. System and method for duplication of virtual private server files
US20080046993A1 (en) * 2006-08-21 2008-02-21 Amarnath Mullick Method and system for authorizing a level of access of a client to a virtual private network connection, based on a client-side attribute
WO2010136317A1 (en) 2009-05-27 2010-12-02 Commonit Method for browsing the internet, recording medium, access server and user station for implementing said method

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
NILS GRUSCHKA ET AL: "Browser as a Service (BaaS): Security and Performance Enhancements for the Rich Web", 17TH GI/ITG CONFERENCE ON COMMUNICATION IN DISTRIBUTED SYSTEMS (KIVS'11), 11 March 2011 (2011-03-11), XP055023357, Retrieved from the Internet <URL:http://drops.dagstuhl.de/opus/volltexte/2011/2975/pdf/22.pdf> [retrieved on 20120329], DOI: 10.4230/OASIcs.KiVS.2011.208 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11548245B2 (en) 2013-11-22 2023-01-10 Johns Manville Fiber-containing prepregs and methods and systems of making

Also Published As

Publication number Publication date
FR2981177B1 (en) 2013-10-25
FR2981177A1 (en) 2013-04-12

Similar Documents

Publication Publication Date Title
EP3008872B1 (en) Method for authenticating a terminal by a gateway of an internal network protected by an entity providing secure access
US10382401B1 (en) Cloud over IP for enterprise hybrid cloud network and security
RU2763314C2 (en) Providing devices as service
CA2767179A1 (en) Method and system for deploying at least one virtual network on the fly and on demand
EP2359302B1 (en) Security apparatus
EP3044913B1 (en) Method and system for establishing virtual private networks between local area networks
CN107690793A (en) Micro- VPN tunnellings for mobile platform
FR2872983A1 (en) FIREWALL PROTECTION SYSTEM FOR A COMMUNITY OF APPLIANCES, APPARATUS PARTICIPATING IN THE SYSTEM AND METHOD FOR UPDATING FIREWALL RULES WITHIN THE SYSTEM
EP2112624A1 (en) Method for managing cryptographic equipment with unified administration
FR2801754A1 (en) Double IP address assignment procedure uses configuration file allows resource control across networks of LANs.
FR2877521A1 (en) Position information distributing device, has distribution unit distributing return message to user terminal, where message is produced based on authentication request by adding position data based on cooperating procedure
JP2011250209A (en) Router, information processing equipment and program
CN105991642A (en) Method for use with public cloud network, private cloud routing server and smart device client
CN114244651A (en) Cloud desktop-based remote office implementation system and method
WO2014053710A1 (en) Gateway for secure access to an information system
CN112511562A (en) Cross-network data transmission system based on one-way isolation all-in-one machine and cloud desktop technology
WO2013050674A1 (en) Computer case for securely accessing an information system
EP3829101B1 (en) Method for securing data flows between a communication equipment and a remote terminal
WO2013057391A1 (en) Method for accessing an information system disposed behind a computer gateway
EP2912598A1 (en) Method for downloading at least one software component onto a computing device, and associated computer program product, computing device and computer system
EP4080923B1 (en) Electronic device for decentralised management of communication group(s)
FR2843847A1 (en) Data transmission system for Telnet manageable device e.g. router, has processing device with proxy unit to complete Telnet connection with Telnet device upon receiving request from help desk workstation to gain access to device
EP2630765A1 (en) Method for optimizing the transfer of a stream of secure data via an autonomic network
EP4362391A1 (en) Method for managing access of a user to at least one application, associated computer program and system
EP3265948B1 (en) Secure tranfer of authentication information

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12795488

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12795488

Country of ref document: EP

Kind code of ref document: A1