WO2015145018A1 - Procédé de traitement d'un message dans un dispositif d'interconnexion - Google Patents

Procédé de traitement d'un message dans un dispositif d'interconnexion Download PDF

Info

Publication number
WO2015145018A1
WO2015145018A1 PCT/FR2015/050616 FR2015050616W WO2015145018A1 WO 2015145018 A1 WO2015145018 A1 WO 2015145018A1 FR 2015050616 W FR2015050616 W FR 2015050616W WO 2015145018 A1 WO2015145018 A1 WO 2015145018A1
Authority
WO
WIPO (PCT)
Prior art keywords
interconnection device
rules
rule
message
processing
Prior art date
Application number
PCT/FR2015/050616
Other languages
English (en)
Inventor
Liana BOZGA
Louis DAVY
Jean-Olivier GERPHAGNON
Original Assignee
Bull Sas
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bull Sas filed Critical Bull Sas
Priority to US15/128,521 priority Critical patent/US20170111320A1/en
Priority to EP15714868.5A priority patent/EP3123691A1/fr
Publication of WO2015145018A1 publication Critical patent/WO2015145018A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps

Definitions

  • the invention relates to the interconnection device in the field of routing messages through a network.
  • the invention also relates to the security of computer networks in which data packets, or messages, are routed.
  • Interconnection device in the context of the present application, any device for intelligently interconnecting at least two data processing devices. We speak of interconnection device. In particular, the switches and routers are targeted.
  • the network equipment makes it possible to define access control lists (ACLs) containing rules to be applied to the data (messages or frames) circulating through said equipment.
  • ACLs access control lists
  • the application of said rules is done on each device in a "stand-alone" manner and without overall coherence at the network level whether it is local or extended. This means that each piece of equipment must define the rules and apply them at its own level and not in a homogeneous overall way.
  • the invention aims to remedy all or part of the disadvantages of the state of the art identified above, and in particular to provide means to allow interconnection devices to share a configuration, this configuration being a set of treatment rules.
  • one aspect of the invention relates to a method of processing a message by a first interconnection device characterized in that it comprises the following steps:
  • Remote processing rules obtained from a second interconnection device identified by the identifier of the second interconnection device.
  • the method / device according to the invention may present one or more of the following additional features, considered individually or as technically possible:
  • the remote processing rules are obtained for each processed message.
  • the remote processing rules are obtained on predetermined dates.
  • the remote rules once obtained, are saved locally so that they can be reused.
  • a remote processing rule is associated with an interconnect device identifier.
  • a remote processing rule is associated with a timestamp.
  • the remote processing rules are erased based on at least their time stamp.
  • a rule has at least:
  • a treatment instruction code among at least:
  • the invention also relates to a digital storage device comprising a file corresponding to instruction codes implementing the method according to one of the preceding claims.
  • the invention also relates to a device implementing the method according to one of the preceding claims.
  • Figure 1 an illustration of means for illustrating the implementation of the invention
  • Figure 2 an illustration of steps of the method according to the invention.
  • Figure 1 shows a hardware architecture in which the invention can be implemented.
  • Figure 1 shows a first connected device 1 01 and a second device 1 02 connected through a first device 1 03 interconnection.
  • An interconnection device is at least one message processing device issued by the devices to which the interconnection device is connected.
  • the first interconnection device comprises at least:
  • a microprocessor 104 A microprocessor 104,
  • a program memory comprising at least instruction codes corresponding to all or part of the invention.
  • these instruction codes are at least those of a client part of the invention
  • a storage memory 106 A storage memory 106,
  • the elements described are those useful for a clear description of the invention.
  • the memories are elements, in the sense of at least one electronic component, separated or are distinct zones of the same element.
  • FIG. 1 shows that the storage memory 106 of the first interconnection device 103 includes a first database 108 of processing rules data.
  • this first database of processing rules is limited to a table, each row of the table corresponding to a rule, each rule having properties corresponding to columns of the table.
  • a line is also called a record.
  • Figure 1 shows that the storage memory 106 of the first interconnection device 1 03 has a zone 1 09 to record an address of a second interconnection device 203 connected to the first device 1 03 interconnection.
  • This zone is designated as the identification memory of the remote interconnection device. This is for example:
  • the second device 203 interconnection is also a processing device. It is similar to the first interconnection device 103.
  • the second interconnection device 203 comprises a rules database and instruction codes corresponding to the invention. For the purposes of this illustration, these instruction codes correspond to a server part of the invention.
  • An address is for example an address in the format I PV4, that is to say an address according to version 4 of the protocol I P. It could be an IPV6 address. It is only an example, in practice it is a routable identifier on a network, whether it is an Ethernet network, InfiniBand, ARI ES, ... the list n ' is not exhaustive. In these cases the IP address is to be replaced by its equivalent: memory address, unique hardware identifier (GUI D) ... [0026]
  • GUI D unique hardware identifier
  • a network that is, a set of addresses.
  • An action code is at least among:
  • the processing of a message consists of determining which rules apply to it, and thus of applying to it the action corresponding to the corresponding rule or rules. If several rules correspond with contradictory actions, one applies a known mode of conflict resolution like for example:
  • Each rule to a priority is the action of the rule with the highest priority that is applied, or
  • Figure 1 shows a third device 301 connected, connected to the second device 203 interconnection.
  • Figure 1 also shows that the storage memory 106 of the first interconnection device 1 03 includes a second database 1 1 0 of data having the same structure as the first database 108 of processing rules data.
  • This second database 1 1 0 of data is intended to record processing rules from other interconnection devices. We can then speak of a base 10 of remote processing rules.
  • This Origin property can also register an interconnect device identifier to determine which device it came from.
  • FIG. 2 shows a step 500 of configuration of the first interconnection device 1 03.
  • a user generally administrator of the first network, updates the first base 108 of processing rule data.
  • Such an update requires a secure connection and is done in a traditional way:
  • the device By having a physical access to the device which allows to connect via a cable connected to a dedicated connector, historically RS232, the device: it is then in graphics mode or console mode depending on the device.
  • step 500 we go from step 500 to a step 501 for recording an identifier of the second interconnection device 203 in the memory 1 09.
  • This is done by adapting one of the configuration modes. previously described.
  • a graphical configuration mode adds an input field for entering a value for the identifier of the second interconnection device.
  • the validation of this input area causes the updating of the memory 09 to identify the remote interconnection device.
  • a configuration mode command line using a new command, due to the invention, the execution of which causes the updating of the memory 1 09 identification of the remote interconnection device.
  • the memory 1 09 may contain:
  • a string of characters that can be resolved into an address via a DNS server or equivalent A string of characters that can be resolved into an address via a DNS server or equivalent.
  • step 502 the first interconnection device 1 03 produces a processing rule request message comprising at least:
  • This instruction code is a rule request code.
  • a step 51 0 for receiving a rule request message the second interconnection device 203 receives the processing rule request message issued by the first interconnection device 1 03. This message is identified as a request message for processing rules because:
  • the destination address is that of the second interconnection device
  • the second device produces a processing rules transmission message comprising at least: A destination address that is worth the response address value of the rule request message;
  • An issuer address which is the address of the device producing and transmitting this message
  • This instruction code is a code designating the message as a processing rule transmission message.
  • N is greater than or equal to 1.
  • the first interconnection device 1 03 receives the transmission message processing rules. There he recovers the treatment rules. It has thus obtained remote processing rules of a second interconnection device.
  • This message is identified as a processing rule transmission message because:
  • the destination address is that of the first interconnection device
  • the remote processing rules are:
  • Step 502 is implemented, for example, according to a predetermined interval. This predetermined interval makes it possible to determine dates at which step 502 is implemented.
  • a message processing step 520 the first processing device receives a message.
  • This message is processed according to its characteristics, in particular source and destination addresses. This processing is performed according to the local processing rules and the remote processing rules.
  • the processing of a communication message is here comparable to a filtering. In a variant, which is not the most optimal, remote rules are required for each processing of a communication message.
  • the first device 101 connected to address A1,
  • the second device 1 02 connected to address A2,
  • the third device 301 connected to address A3
  • the Local Rule Database 1 08 has the following rule:
  • a local rule database of the second interconnect device has the following second rule:
  • the first device receives the following communication message:
  • the communication message would be blocked by the second interconnection device that it must cross to reach the third connected device 301.
  • the first interconnection device has obtained the second rule. He knows that the communication message must be blocked. This saves him from having to transmit the communication message and thus saves bandwidth.
  • ACLs access control lists
  • the application of said rules is done on each device in a "standalone" manner and without overall coherence at the network level. This means that each piece of equipment must define the rules and apply them at its own level and not in a homogeneous overall way. This homogeneity had to be maintained by hand. It is not uncommon, without the invention, to have some equipment blocking messages while others let them pass. This can be security breaches. With the invention it is possible to have a reference device that supports the configuration of a set of interconnection devices.
  • the local processing rules and the remote processing rules are recorded in the same database which then comprises an additional column for recording the origin of the rule, for example the address of its user. original device, or simply a Boolean marker indicating whether or not it is acting on a local rule.
  • an interconnection device obtains processing rules of several remote devices. It is noted here that a remote device is not necessarily an interconnection device. There is at least one processing device that implements the server part of the invention.
  • the server portion of the invention is the ability to respond to rule request messages.
  • the client portion of the invention is the ability to issue policy request messages and process responses to these messages.
  • a remote rule is associated with a timestamp. This makes it possible to define a default lifetime for the rule, and / or a duration at the end of which it is necessary to ask the remote device from which the rule originates if this one is still valid.
  • a time stamp also makes it possible to calculate an age for the rule. An age is the time calculated between the current date and the time stamp. In a variant, rules whose age exceeds a predetermined value are ignored.
  • a remote rule is associated with a version identifier which makes it possible not to re-issue remote rules whose version has not changed on the reference device.
  • each rule being associated with a unique identifier of the rule, the remote rules are deleted if they are not received in the response to a request message for issuing rules. This absence means that the rules in question have been deleted on the source device of the rules and that this deletion and cascaded on the devices that synchronize on the source device.
  • each rule is associated with a priority, the rule having the highest priority primarily applying to others.
  • the client that is to say the first interconnection device, requests processing rules.
  • Pull mode
  • the invention remains valid with an embodiment in which the second interconnection device, or a remote device, pushes rules to the first interconnection device.
  • the equivalent of the memory 1 09 to record an address of a second interconnection device on the second device becomes an area for recording at least one address of a device to which it is necessary to push treatment rules.
  • the rule transmission message is produced without a request being received. This is called "push" mode or subscription mode: a client device subscribes to a server device.
  • the rules to be transmitted are marked as such.
  • This marking is, for example, carried out via an additional column in a rule table. It can also be a file containing rules to emit. The fact of being in this file is then a marking.
  • the stages of the invention are distributed over time.
  • the processing rule databases are up-to-date at the time of processing a message.
  • a time stamp is:
  • time stamp time stamp
  • a version number In the case of a version number one can use an operation of the type used for the serial number management of SOA records for DNS. In the latter case we can consider managed rule files as zone files of a DNS server.
  • the invention has been described with simple processing rules, based on source addresses and destinations. In practice the invention remains valid with more complex rules using, for example, the concepts of protocols (tcp, udp, ftp, http ...) or packet inspection.
  • the description implicitly includes the concept of recursion. That is, a first interconnect device, when retrieving rules from a second interconnect device, can obtain rules that the second device itself has obtained from a third device. interconnection.
  • the zone 1 09 to record an address of a second device allows to register multiple addresses, each of these addresses corresponding to an interconnection device.
  • the first interconnection device obtains processing rules from several second interconnection devices.
  • a conflict resolution mode is used.
  • the step 51 0 of receiving a rule request message comprises a preliminary step 51 0.1 authentication of the issuer of the request message rules.
  • a simple version is the existence test of the response address of the message in a list of authorized applicants. If the response address exists, then the rules are issued. If the address does not exist then no response is made to the rule request message.
  • the authentication is based on the implementation of a challenge, for example based on certificates each device having his own, between the device to emit the message and the recipient device of the message.
  • an attempt to obtain processing rules is triggered by the receipt of a specific message.
  • a specific message is, for example, sent in broadcast mode by an interconnection device of which at least one processing rule has just been modified.

Abstract

L'invention se rapporte à un procédé de traitement d'un message par un premier dispositif d'interconnexion caractérisé en ce qu'il comporte les étapes suivantes : - Enregistrement, dans le premier dispositif d'interconnexion, d'une première base de données de règles de traitement - Enregistrement, dans le premier dispositif d'interconnexion, d'un identifiant d'un deuxième dispositif d'interconnexion, - Traitement d'une communication selon - Des règles de traitement locales de la première base de données locale de règles - Des règles de traitement distantes obtenues d'un deuxième dispositif d'interconnexion identifié par l'identifiant du deuxième dispositif d'interconnexion.

Description

Procédé de traitement d'un message dans un dispositif d'interconnexion
DOMAINE TECHNIQUE DE L'INVENTION
[ 0001 ] L'invention se rapporte au dispositif d'interconnexion dans le domaine d'acheminements de messages à travers un réseau. L'invention se rapporte également à la sécurité de réseaux informatiques dans lesquels des paquets de données, ou messages, sont acheminés.
[ 0002 ] On entendra par dispositif d'interconnexion, dans le cadre de la présente demande, tout dispositif permettant d'interconnecter de façon intelligente au moins deux dispositifs de traitement de données. On parle de dispositif d'interconnexion. Sont en particulier visés les, commutateurs (switches) et routeurs.
ETAT DE LA TECHNIQUE ANTERIEURE
[ 0003 ] Dans un environnement réseau, pour la gestion de la sécurité, il est primordial de pouvoir définir des règles d'accès aux équipements qui sont reliés à travers lui. Dans une solution actuelle les équipements réseau permettent de définir des listes d'accès (ACL pour Access Control List) contenant des règles à appliquer sur les données (messages ou trames) circulant à travers les dits équipements. L'application desdites règles se fait sur chaque équipement de manière «autonome» et sans cohérence globale à l'échelle du réseau qu'il soit local ou étendu. Cela signifie que chaque équipement doit définir les règles et les appliquer à son propre niveau et pas d'une manière globale homogène.
[ 0004 ] De ce fait, si des configurations sont modifiées sur un équipement, en désaccord avec la politique globale, de manière volontaire ou involontaire, la détection sera complexe et une brèche de sécurité potentiellement ouverte. Cependant, cette solution est la meilleure si les règles de sécurité sont différentes sur chaque équipement et sans cohérence. Cependant cela est rarement, si ce n'est jamais, le cas.
[ 0005 ] Dans la pratique les configurations sont recopiées à l'identique sur tous les dispositifs ce qui est une source d'erreurs, d'incohérences et de perte de performance. En effet un dispositif se retrouve encombré avec des règles correspondant à des paquets qu'il ne recevra jamais. Pour autant le dispositif essaie de tenir compte de ces règles.
[0006] Il est à noter que dans les solutions existantes, dans le cadre d'un réseau « routé » (i.e. un réseau dans lequel un ou plusieurs équipements sont chargés de définir les routes que doivent prendre les paquets selon leur origine et leur destination) la gestion des ACLs est souvent réalisée sur ces équipements et les règles non-définies sur les équipements terminaux.
[0007 ] De surcroît, si aucune ACL n'est définie au niveau des switches reliant les équipements terminaux (hosts) les contrôles d'accès ne seront appliqués que dans le cas où les trames réseaux sont obligées de passer par l'équipement de routage. Si les trames restent localisées au niveau du dit switch l'application des règles ne sera pas réalisée.
EXPOSE DE L'INVENTION
[0008 ] L'invention vise à remédier à tout ou partie des inconvénients de l'état de la technique identifiés ci-dessus, et notamment à proposer des moyens pour permettre à des dispositifs d'interconnexion de partager une configuration, cette configuration étant un ensemble de règles de traitements.
[ 0009] Dans ce dessein, un aspect de l'invention se rapporte à un procédé de traitement d'un message par un premier dispositif d'interconnexion caractérisé en ce qu'il comporte les étapes suivantes :
Enregistrement, dans le premier dispositif d'interconnexion, d'une première base de données de règles de traitement
Enregistrement, dans le premier dispositif d'interconnexion, d'un identifiant d'un deuxième dispositif d'interconnexion,
Traitement d'une communication selon
Des règles de traitement locales de la première base de données locale de règles
Des règles de traitement distantes obtenues d'un deuxième dispositif d'interconnexion identifié par l'identifiant du deuxième dispositif d'interconnexion.
[0010 ] Outre les caractéristiques principales qui viennent d'être mentionnées dans le paragraphe précédent, le procédé/dispositif selon l'invention peut présenter une ou plusieurs caractéristiques complémentaires parmi les suivantes, considérées individuellement ou selon les combinaisons techniquement possibles:
les règles de traitement distantes sont obtenues pour chaque message traité.
- les règles de traitement distantes sont obtenues à des dates prédéterminées.
les règles distantes, une fois obtenues, sont enregistrées localement de manière à pouvoir être réutilisées.
qu'une règle de traitement distante est associée à un identifiant de dispositif d'interconnexion.
qu'une règle de traitement distante est associée à un horodatage.
les règles de traitement distantes sont effacées en fonction d'au moins leur horodatage.
une règle comporte au moins :
- Une adresse source,
Une adresse destination,
Un code instruction de traitement parmi au moins :
-Bloquer le message,
-Laisser passer le message
- chaque règle de traitement est associée à une priorité
il comporte une étape d'authentification du premier dispositif d'interconnexion par le deuxième dispositif d'interconnexion
[0011] L'invention se rapporte également à un dispositif de stockage numérique comportant un fichier correspondant à des codes instructions mettant en œuvre le procédé selon l'une des revendications précédentes.
[0012] L'invention se rapporte également à un dispositif mettant en œuvre le procédé selon l'une des revendications précédentes.
BREVE DESCRIPTION DES FIGURES
[0013] D'autres caractéristiques et avantages de l'invention ressortiront à la lecture de la description qui suit, en référence aux figures annexées, qui illustrent :
la figure 1 , une illustration de moyens permettant l'illustration de la mise en œuvre de l'invention ; la figure 2, une illustration d'étapes du procédé selon l'invention.
[0014] [...]
[0015] Pour plus de clarté, les éléments identiques ou similaires sont repérés par des signes de référence identiques sur l'ensemble des figures.
[0016] L'invention sera mieux comprise à la lecture de la description qui suit et à l'examen des figures qui l'accompagnent. Celles-ci sont présentées à titre indicatif et nullement limitatif de l'invention.
DESCRIPTION DETAILLEE D'UN MODE DE REALISATION
[0017] La figure 1 montre une architecture matérielle dans laquelle l'invention peut être mise en œuvre. La figure 1 montre un premier dispositif 1 01 connecté et un deuxième dispositif 1 02 connecté par l'intermédiaire d'un premier dispositif 1 03 d'interconnexion.
[0018] Un dispositif d'interconnexion est au moins un dispositif de traitement de messages émis par les dispositifs auquel le dispositif d'interconnexion est connecté. En tant que dispositif de traitement le premier dispositif 1 03 d'interconnexion comporte au moins :
Un microprocesseur 104,
Une mémoire 1 05 de programme comportant au moins de codes instructions correspondant à tout ou partie de l'invention. Pour la présente description ces codes instructions sont au moins ceux d'une partie client de l'invention
Une mémoire 106 de stockage,
Un ensemble 1 07 de connecteurs permettant la connexion du dispositif
1 03 d'interconnexion.
[0019] Les éléments décrits sont ceux utiles pour une description claire de l'invention. Les mémoires sont des éléments, au sens ensemble d'au moins un composant électronique, séparés ou sont des zones distinctes d'un même élément.
[0020] On parle de tout ou partie de l'invention car celle-ci porte sur une application client-serveur. Il y a donc des codes instructions qui correspondent à la partie cliente, et des codes instructions qui correspondent à la partie serveur. Dans les mises en œuvre de l'invention les parties clientes et serveurs peuvent être présente sur le même dispositif.
[0021 ] Dans la pratique lorsque l'on prête une action à un dispositif celle-ci est réalisée par un microprocesseur du dispositif commandé par des codes instructions enregistrés dans une mémoire du dispositif.
[0022 ] La figure 1 montre que la mémoire 106 de stockage du premier dispositif 103 d'interconnexion comporte une première base 108 de données de règles de traitement. Dans notre exemple cette première base de données de règles de traitement se limite à une table, chaque ligne de la table correspondant à une règle, chaque règle ayant des propriétés correspondant à des colonnes de la table. Une ligne est aussi appelée un enregistrement.
[ 0023 ] La figure 1 montre que la mémoire 106 de stockage du premier dispositif 1 03 d'interconnexion comporte une zone 1 09 pour enregistrer une adresse d'un deuxième dispositif 203 d'interconnexion connecté au premier dispositif 1 03 d'interconnexion. Cette zone est désignée comme mémoire d'identification du dispositif d'interconnexion distant. Il s'agit par exemple :
d'un fichier de configuration dédié,
d'une section d'un fichier de configuration existant,
d'une zone située à une adresse prédéterminée sur le moyen de stockage,
d'une ligne dans une base de données
[ 0024 ] Le deuxième dispositif 203 d'interconnexion est lui aussi un dispositif de traitement. Il est similaire au premier dispositif 103 d'interconnexion. Le deuxième dispositif 203 d'interconnexion comporte une base de données de règles et des codes instructions correspondant à l'invention. Pour la présente illustration ces codes instructions correspondent à une partie serveur de l'invention.
[ 0025 ] Une adresse est par exemple une adresse au format I PV4, c'est-à-dire une adresse selon la version 4 du protocole I P. Ce pourrait être une adresse IPV6. II ne s'agit qu'un exemple, dans la pratique il s'agit d'un identifiant routable sur un réseau, qu'il s'agisse d'un réseau Ethernet, InfiniBand, ARI ES, ... la liste n'est pas exhaustive. Dans ces cas l'adresse I P est à remplacer par son équivalent : adresse mémoire, identifiant matériel unique (GUI D) ... [0026] Ainsi une règle comporte au moins :
Une propriété 1 081 identifiant source(s),
Une propriété 1 082 identifiant destination(s),
Une propriété 1 083 code action.
[ 0027 ] Pour les propriétés on parle d'identifiant pour désigner :
Une adresse, telle que précédemment définie, ou
Un réseau c'est-à-dire un ensemble d'adresses.
[ 0028 ] Un code action est au moins parmi :
Laisser passer, ou
- Bloquer.
[0029] Ainsi le traitement d'un message consiste à déterminer quelles règles s'appliquent à lui, et ainsi de lui appliquer l'action correspondant à la ou les règles correspondantes. Si plusieurs règles correspondent avec des actions contradictoires, on applique un mode de résolutions de conflit connu comme par exemple :
Chaque règle ayant un numéro d'ordre, c'est-à-dire de classement, c'est l'action de la première règle trouvée qui est appliquée, ou Le blocage est prioritaire, ou
Chaque règle à une priorité, c'est l'action de la règle ayant la priorité la plus élevée qui est appliquée, ou
... la liste n'est pas exhaustive.
[ 0030 ] La figure 1 montre un troisième dispositif 301 connecté, connecté au deuxième dispositif 203 d'interconnexion.
[ 0031 ] La figure 1 montre aussi que la mémoire 106 de stockage du premier dispositif 1 03 d'interconnexion comporte une deuxième base 1 1 0 de données ayant la même structure que la première base 1 08 de données de règles de traitement. Cette deuxième base 1 1 0 de données est destinée à enregistrer des règles de traitements issues d'autres dispositifs d'interconnexion. On peut alors parler d'une base 1 10 de règles de traitements distantes.
[ 0032 ] Dans la pratique il pourrait n'y avoir qu'une seule base de données avec des lignes ayant une propriété supplémentaire nommée « Origine » permettant d'enregistrer la provenance de la règle selon qu'elle est : Locale : c'est-à-dire propre au dispositif comportant la base de données, ou
Distante : c'est à dire issue d'un autre dispositif que celui comportant la base de données. Cette propriété Origine peut aussi enregistrer un identifiant de dispositif d'interconnexion permettant de déterminer de quel dispositif elle est issue.
[ 0033 ] En général les dispositifs interconnectés suivants :
Premier dispositif d'interconnexion, et
Deuxième dispositif d'interconnexion
sont ensemble appelés un réseau. Par extension on considère que les dispositifs connectés à ceux précédemment cités font aussi parti du réseau qui sera désigné comme le premier réseau par la suite.
[ 0034 ] La figure 2 montre une étape 500 de configuration du premier dispositif 1 03 d'interconnexion. Dans cette étape un utilisateur, généralement administrateur du premier réseau, met à jour la première base 1 08 de données de règles de traitement. Une telle mise à jour requiert une connexion sécurisée et se fait de manière classique :
A distance
Via une interface web (http), ou une interface web sécurisée (https), et un navigateur internet
Via une connexion ssh, c'est-à-dire en mode console,
En locale
En ayant un accès physique au dispositif ce qui permet de s'y connecter via un câble connecté à un connecteur dédié, historiquement RS232, du dispositif : on est alors en mode graphique ou en mode console selon le dispositif.
[0035 ] Il s'agit là de modes de configuration d'un dispositif d'interconnexion connus.
[ 0036] Dans l'invention on passe de l'étape 500 à une étape 501 d'enregistrement d'un identifiant du deuxième dispositif 203 d'interconnexion dans la mémoire 1 09. Cela est réalisé en adaptant l'un des modes de configuration précédemment décrits. Dans le cas d'un mode de configuration graphique on ajoute une zone de saisie permettant de saisir une valeur pour l'identifiant du deuxième dispositif d'interconnexion. La validation de cette zone de saisie provoque la mise à jour de la mémoire 1 09 d'identification du dispositif d'interconnexion distant. Dans le cas d'un mode de configuration en ligne de commande, on utilise une nouvelle commande, due à l'invention, dont l'exécution provoque la mise à jour de la mémoire 1 09 d'identification du dispositif d'interconnexion distant.
[0037 ] La mémoire 1 09 peut contenir :
Une adresse I PV4, I PV6 ou autre.
Une chaîne de caractère qui peut être résolue en une adresse par l'intermédiaire d'un serveur DNS ou équivalent.
[ 0038 ] De l'étape 501 on passe à une étape 502 d'obtention de règles de traitement distante. Dans l'étape 502 le premier dispositif 1 03 d'interconnexion produit un message de demande de règles de traitement comportant au moins :
Une adresse de destination, l'identifiant enregistré dans la mémoire 1 09 d'identification du dispositif d'interconnexion distant,
Une adresse de réponse, celle du premier dispositif 1 03 d'interconnexion.
Un code instruction prédéterminé : ce code instruction est un code de demande de règles.
[0039] Une fois le message de demande de règles produit, il est émis par le premier dispositif 1 03 d'interconnexion.
[ 0040 ] Dans une étape 51 0 de réception d'un message de demande de règles le deuxième dispositif 203 d'interconnexion reçoit le message de demande de règles de traitement émis par le premier dispositif 1 03 d'interconnexion. Ce message est identifié comme un message de demande de règles de traitement car :
Il est destiné au deuxième dispositif d'interconnexion, en effet l'adresse de destination est celle du deuxième dispositif d'interconnexion ;
Il comporte un code instruction idoine.
[0041 ] Dans cette étape le deuxième dispositif produit un message de transmission de règles de traitement comportant au moins : Une adresse de destination qui vaut la valeur de l'adresse de réponse du message de demande de règles ;
Une adresse d'émetteur qui vaut l'adresse du dispositif produisant et émettant ce message ;
Un code instruction prédéterminé : ce code instruction est un code désignant le message comme un message de transmission de règles de traitements.
Zéro ou N règles de traitement de messages, N étant supérieur ou égal à 1 .
[ 0042 ] Une fois que le message de transmission de règles est produit, il est émis par le deuxième dispositif d'interconnexion.
[0043 ] Dans une étape 51 1 , le premier dispositif 1 03 d'interconnexion reçoit le message de transmission de règles de traitement. Il y récupère les règles de traitement. Il a ainsi obtenu des règles de traitement distantes d'un deuxième dispositif d'interconnexion. Ce message est identifié comme un message de transmission de règles de traitement car :
Il est destiné au premier dispositif d'interconnexion, en effet l'adresse de destination est celle du premier dispositif d'interconnexion ;
Il comporte un code instruction idoine.
[0044 ] Selon des mises en œuvre de l'invention les règles de traitement distantes sont :
Maintenues dans une mémoire de travail, ou
Enregistrées dans une base de données locale, par exemple la base
1 10 de données de règles de traitement distantes.
[ 0045 ] L'étape 502 est mise en œuvre, par exemple, selon un intervalle prédéterminé. Cet intervalle prédéterminé permet de déterminer des dates auxquelles l'étape 502 est mise en œuvre.
[ 0046] Dans une étape 520 de traitement de message le premier dispositif de traitement reçoit un message. Ce message est traité en fonction de ses caractéristiques en particulier adresses source et destination. Ce traitement est effectué selon les règles de traitement locales et selon les règles de traitements distantes. Le traitement d'un message de communication est ici assimilable à un filtrage. [0047 ] Dans une variante, qui n'est pas la plus optimale, des règles distantes sont demandées à chaque traitement d'un message de communication.
[ 0048 ] Dans un exemple pratique considérons que :
Le premier dispositif 101 connecté a l'adresse A1 ,
- Le deuxième dispositif 1 02 connecté a l'adresse A2,
Le troisième dispositif 301 connecté a l'adresse A3
La base de données 1 08 de règles locales comporte la première règle suivante :
Source = A1 , Destination = A2, Action = Passer
- Une base de données de règles locales du deuxième dispositif d'interconnexion comporte la deuxième règle suivante :
Source = *, Destination = A3, Action = Bloquer
Le premier dispositif reçoit le message de communication suivant :
Source = A1 ,
- Destination = A3,
Message = Bonjour le monde !
[ 0049] Sans l'invention, le message de communication serait bloqué par le deuxième dispositif d'interconnexion qu'il doit traverser pour atteindre le troisième dispositif 301 connecté.
[ 0050 ] Avec l'invention le premier dispositif d'interconnexion a obtenu la deuxième règle. Il sait donc que le message de communication doit être bloqué. Cela lui évite d'avoir à transmettre le message de communication et permet ainsi d'économiser de la bande passante.
[ 0051 ] De même, avant l'invention, dans un environnement réseau, pour la gestion de la sécurité, les équipements réseau permettaient de définir des listes d'accès (ACL pour Access Control List) contenant des règles à appliquer sur les messages circulant à travers les dits équipements. L'application desdites règles se fait sur chaque équipement de manière « autonome » et sans cohérence globale à l'échelle du réseau. Cela signifie que chaque équipement doit définir les règles et les appliquer à son propre niveau et pas d'une manière globale homogène. Cette homogénéité devait être maintenue à la main. Il n'est pas rare, sans l'invention, d'avoir certains équipement bloquant des messages alors que d'autres les laisse passer. Cela peut constituer des brèches de sécurité. [0052 ] Avec l'invention il est possible d'avoir un dispositif de référence qui prend en charge la configuration d'un ensemble de dispositifs d'interconnexion.
[ 0053 ] Dans une variante de l'invention les règles de traitement locales et les règles de traitements distantes sont enregistrées dans la même base de données qui comporte alors une colonne supplémentaire pour enregistrer la provenance de la règle, par exemple l'adresse de son dispositif d'origine, ou simplement un marqueur booléen indiquant s'il agit ou non d'une règle locale.
[ 0054 ] Dans une autre variante de l'invention un dispositif d'interconnexion obtient des règles de traitement de plusieurs dispositifs distant. On note ici qu'un dispositif distant n'est pas nécessairement un dispositif d'interconnexion. Il est au moins un dispositif de traitement qui met en œuvre la partie serveur de l'invention. La partie serveur de l'invention est la capacité de répondre à des messages de demande de règles. La partie client de l'invention est la capacité d'émettre des messages de demande de règles et de traiter les réponses à ces messages.
[ 0055 ] Dans une variante de l'invention une règle distante est associée à un horodatage. Cela permet de définir une durée de vie par défaut pour la règle, et/ou une durée à l'échéance de laquelle il faut demander au dispositif distant d'où est issue la règle si celle-ci est encore valable. Un tel horodatage permet aussi de calculer un âge pour la règle. Un âge est le temps calculé entre la date courante et l'horodatage. Dans une variante les règles dont l'âge dépasse une valeur prédéterminée sont ignorées.
[0056] Dans une variante de l'invention une règle distante est associé à un identifiant de version ce qui permet de ne pas réémettre des règles distantes dont la version n'a pas changée sur le dispositif de référence.
[ 0057 ] Dans une variante de l'invention, chaque règle étant associée à un identifiant unique de règle, les règles distantes sont supprimées si elles ne sont pas reçues dans la réponse à un message de demande d'émission de règles. Cette absence signifie que les règles en question ont été supprimées sur le dispositif source des règles et que cette suppression et répercutée en cascade sur les dispositifs qui se synchronisent sur le dispositif source.
[0058 ] Dans une variante de l'invention chaque règle est associée à une priorité, la règle ayant la priorité la plus élevée s'appliquant prioritairement aux autres. [0059] On vient de décrire un mode de mise en œuvre dans lequel le client, c'est-à-dire le premier dispositif d'interconnexion, demande des règles de traitements. On parle de mode « pull ».
[ 0060 ] L'invention reste valable avec un mode de mise en œuvre dans lequel le deuxième dispositif d'interconnexion, ou un dispositif distant, pousse des règles vers le premier dispositif d'interconnexion. Dans ce cas, par symétrie, l'équivalent de la mémoire 1 09 pour enregistrer une adresse d'un deuxième dispositif d'interconnexion sur le deuxième dispositif devient une zone pour enregistrer au moins une adresse d'un dispositif vers lequel il faut pousser des règles de traitement. Le message de transmission de règle est dans ce cas produit sans qu'une demande ait été reçue. On parle alors de mode « push » ou de mode par abonnement : un dispositif client s'abonne à un dispositif serveur.
Dans une variante de l'invention au niveau du dispositif serveur les règles à transmettre sont marquées comme telles. Ce marquage est, par exemple, réalisée via une colonne supplémentaire dans une table de règle. Il peut aussi s'agir d'un fichier comportant des règles à émettre. Le fait d'être dans ce fichier est alors un marquage.
[ 0061 ] Les étapes de l'invention se répartissent dans le temps. Dans la pratique les bases de données de règles de traitement sont à jour au moment du traitement d'un message.
[0062 ] Un horodatage est :
une date,
un marqueur temporelle (timestamp), ou
un numéro de version. Dans le cas d'un numéro de version on peut utiliser un fonctionnement du type de celui utilisé pour la gestion des numéros de série des enregistrements SOA pour les DNS. Dans ce dernier cas on peut envisager des fichiers de règles gérés comme des fichiers de zone d'un serveur DNS.
La liste n'est pas exhaustive.
[ 0063 ] L'invention a été décrite avec des règles de traitement simples, basées sur des adresses sources et destinations. Dans la pratique l'invention reste valable avec des règles plus complexes utilisant, par exemple, les notions de protocoles (tcp, udp, ftp, http...) ou d'inspection de paquets. [0064 ] La description comporte implicitement la notion de récursivité. C'est-à- dire qu'un premier dispositif d'interconnexion, lorsqu'il récupère des règles d'un deuxième dispositif d'interconnexion, peut obtenir des règles que le deuxième dispositif a lui-même obtenu d'un troisième dispositif d'interconnexion.
[ 0065 ] Dans une variante de l'invention la zone 1 09 pour enregistrer une adresse d'un deuxième dispositif permet d'enregistrer plusieurs adresses, chacune de ces adresses correspondant à un dispositif d'interconnexion. Dans ce cas le premier dispositif d'interconnexion obtient des règles de traitements de plusieurs deuxièmes dispositifs d'interconnexion. Dans ce cas aussi on utilise, le cas échéant, un mode de résolution de conflit.
[0066] Dans une variante de l'invention, l'étape 51 0 de réception d'un message de demande de règles comporte une étape 51 0.1 préliminaire d'authentification de l'émetteur du message de demande de règles. Une version simple est le teste d'existence de l'adresse de réponse du message dans une liste de demandeurs autorisés. Si l'adresse de réponse existe, alors les règles sont émises. Si l'adresse n'existe pas alors aucune réponse n'est apportée au message de demande de règles.
[ 0067 ] Dans une variante plus élaborée, l'authentification est basé sur la mise en place d'un challenge, par exemple basé sur des certificats chaque dispositif ayant le sien, entre le dispositif émettre du message et le dispositif destinataire du message.
[0068 ] Dans une variante de l'invention, une tentative d'obtention de règles de traitements est déclenchée par la réception d'un message spécifique. Un tel message est, par exemple, émis en mode diffusion par un dispositif d'interconnexion dont au moins une règle de traitement vient d'être modifié.

Claims

REVENDICATIONS
1 . Procédé de traitement d'un message par un premier dispositif (103) d'interconnexion caractérisé en ce qu'il comporte les étapes suivantes :
- Enregistrement (500), dans le premier dispositif d'interconnexion, d'une première base (108) de données de règles de traitement
Enregistrement (501 ), dans le premier dispositif d'interconnexion, d'un identifiant (109) d'un deuxième dispositif d'interconnexion,
Traitement (520) d'une communication selon
- Des règles de traitement locales de la première base (108) de données locale de règles
Des règles de traitement distantes obtenues (51 1 ) d'un deuxième dispositif d'interconnexion identifié par l'identifiant du deuxième dispositif d'interconnexion.
2. Procédé selon la revendication 1 caractérisé en ce que les règles de traitement distantes sont obtenues pour chaque message traité.
3. Procédé selon la revendication 1 , caractérisé en ce que les règles de traitement distantes sont obtenues à des dates prédéterminées.
4. Procédé selon la revendication 1 ou 3 caractérisé en ce que les règles distantes, une fois obtenues, sont enregistrées localement de manière à pouvoir être réutilisées.
5. Procédé selon la revendication 4 caractérisé en ce qu'une règle de traitement distante est associée à un identifiant de dispositif d'interconnexion.
6. Procédé selon l'une des revendications 4 ou 5 caractérisé en ce qu'une règle de traitement distante est associée à un horodatage.
7. Procédé selon la revendication 6 caractérisé en ce que les règles de traitement distantes sont effacées en fonction d'au moins leur horodatage.
8. Procédé selon l'une des revendications précédentes caractérisé en ce qu'une règle comporte au moins :
- Une adresse source,
Une adresse destination,
Un code instruction de traitement parmi au moins :
Bloquer le message, Laisser passer le message.
9. Procédé selon l'une des revendications précédentes, caractérisé en ce que chaque règle de traitement est associé à une priorité.
10. Procédé selon l'une des revendications précédentes, caractérisé en ce qu'il comporte une étape d'authentification du premier dispositif d'interconnexion par le deuxième dispositif d'interconnexion.
1 1 . Dispositif de stockage numérique comportant un fichier correspondant à des codes instructions mettant en œuvre le procédé selon l'une des revendications précédentes.
12. Dispositif mettant en œuvre le procédé selon l'une des revendications précédentes.
PCT/FR2015/050616 2014-03-26 2015-03-12 Procédé de traitement d'un message dans un dispositif d'interconnexion WO2015145018A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US15/128,521 US20170111320A1 (en) 2014-03-26 2015-03-12 Method of processing a message in an interconnection device
EP15714868.5A EP3123691A1 (fr) 2014-03-26 2015-03-12 Procédé de traitement d'un message dans un dispositif d'interconnexion

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1452550 2014-03-26
FR1452550A FR3019417B1 (fr) 2014-03-26 2014-03-26 Procede de traitement d'un message dans un dispositif d'interconnexion

Publications (1)

Publication Number Publication Date
WO2015145018A1 true WO2015145018A1 (fr) 2015-10-01

Family

ID=51417356

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2015/050616 WO2015145018A1 (fr) 2014-03-26 2015-03-12 Procédé de traitement d'un message dans un dispositif d'interconnexion

Country Status (4)

Country Link
US (1) US20170111320A1 (fr)
EP (1) EP3123691A1 (fr)
FR (1) FR3019417B1 (fr)
WO (1) WO2015145018A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3188440A1 (fr) * 2015-12-30 2017-07-05 Juniper Networks, Inc. Partage de données de session de réseau

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US8000328B1 (en) * 2007-05-22 2011-08-16 Qurio Holdings, Inc. Filtering messages in a distributed virtual world based on virtual space properties
WO2012163587A1 (fr) * 2011-05-31 2012-12-06 Alcatel Lucent Contrôle d'accès distribué sur l'ensemble des pare-feux de réseau

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5708684A (en) * 1994-11-07 1998-01-13 Fujitsu Limited Radio equipment
US5978566A (en) * 1996-07-12 1999-11-02 Microsoft Corporation Client side deferred actions within multiple MAPI profiles
US7143439B2 (en) * 2000-01-07 2006-11-28 Security, Inc. Efficient evaluation of rules
US6826698B1 (en) * 2000-09-15 2004-11-30 Networks Associates Technology, Inc. System, method and computer program product for rule based network security policies
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7328451B2 (en) * 2003-06-30 2008-02-05 At&T Delaware Intellectual Property, Inc. Network firewall policy configuration facilitation
US7760730B2 (en) * 2004-06-15 2010-07-20 Oracle America, Inc. Rule set verification
US7129859B2 (en) * 2004-07-22 2006-10-31 International Business Machines Corporation Method and apparatus for minimizing threshold variation from body charge in silicon-on-insulator circuitry
US7792775B2 (en) * 2005-02-24 2010-09-07 Nec Corporation Filtering rule analysis method and system
US7680773B1 (en) * 2005-03-31 2010-03-16 Google Inc. System for automatically managing duplicate documents when crawling dynamic documents
US9060047B2 (en) * 2005-12-21 2015-06-16 Genband Us Llc Media stream management
US7716240B2 (en) * 2005-12-29 2010-05-11 Nextlabs, Inc. Techniques and system to deploy policies intelligently
US8307442B2 (en) * 2006-08-01 2012-11-06 Cisco Technology, Inc. Method of preventing infection propagation in a dynamic multipoint virtual private network
US8059533B2 (en) * 2007-10-24 2011-11-15 Cisco Technology, Inc. Packet flow optimization (PFO) policy management in a communications network by rule name
US20090138960A1 (en) * 2007-10-26 2009-05-28 University Of Ottawa Control access rule conflict detection
US7880990B2 (en) * 2008-12-10 2011-02-01 Hitachi Global Storage Technologies Netherlands B.V. Patterned-media magnetic recording disk with cryptographically scrambled patterns and disk drive operable with the disk
US8442048B2 (en) * 2009-11-04 2013-05-14 Juniper Networks, Inc. Methods and apparatus for configuring a virtual network switch
US9497164B2 (en) * 2010-05-27 2016-11-15 At&T Intellectual Property I, L.P. System and method of redirecting internet protocol traffic for network based parental controls
US9054883B2 (en) * 2010-10-05 2015-06-09 Tekelec, Inc. Methods, systems, and computer readable media for user activated policy enhancement
US8627448B2 (en) * 2010-11-02 2014-01-07 Jose Renato Santos Selective invalidation of packet filtering results
US8914841B2 (en) * 2010-11-24 2014-12-16 Tufin Software Technologies Ltd. Method and system for mapping between connectivity requests and a security rule set
US8874926B1 (en) * 2012-03-08 2014-10-28 Sandia Corporation Increasing security in inter-chip communication
CN103916295B (zh) * 2012-12-31 2017-09-12 华为终端有限公司 数据传输方法、设备及网关
US20140279611A1 (en) * 2013-03-15 2014-09-18 Eid Passport, Inc. High assurance federated attribute management
US9088543B2 (en) * 2013-06-03 2015-07-21 International Business Machines Corporation Coordinated network security management
US11770339B2 (en) * 2014-09-30 2023-09-26 Interdigital Patent Holdings, Inc. Dynamic policy control

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US8000328B1 (en) * 2007-05-22 2011-08-16 Qurio Holdings, Inc. Filtering messages in a distributed virtual world based on virtual space properties
WO2012163587A1 (fr) * 2011-05-31 2012-12-06 Alcatel Lucent Contrôle d'accès distribué sur l'ensemble des pare-feux de réseau

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3188440A1 (fr) * 2015-12-30 2017-07-05 Juniper Networks, Inc. Partage de données de session de réseau

Also Published As

Publication number Publication date
EP3123691A1 (fr) 2017-02-01
US20170111320A1 (en) 2017-04-20
FR3019417B1 (fr) 2017-07-07
FR3019417A1 (fr) 2015-10-02

Similar Documents

Publication Publication Date Title
JP4955107B2 (ja) Ipネットワーク内のトラフィックを分類するための方法およびユニット
EP1507384B1 (fr) Procédé de masquage des traitements applicatifs d'une requete d'accès à un serveur et système de masquage correspondant
FR2923969A1 (fr) Procede de gestion de trames dans un reseau global de communication, produit programme d'ordinateur, moyen de stockage et tete de tunnel correspondants
EP2692089B1 (fr) Mécanisme de redirection entrante sur un proxy inverse
EP3503508B1 (fr) Procédé de traitement de requêtes et serveur proxy
EP1869858A2 (fr) Procede de lutte contre l'envoi d'information vocale non sollicitee
WO2006079710A1 (fr) Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil
FR2888695A1 (fr) Detection d'une intrusion par detournement de paquets de donnees dans un reseau de telecommunication
FR2949934A1 (fr) Surveillance d'une session de communication comportant plusieurs flux sur un reseau de donnees
EP3365829B1 (fr) Procédé d'aide a la détection d'infection d'un terminal par un logiciel malveillant
WO2018104599A1 (fr) Procede d'authentification d'un equipement terminal, dispositif, equipement serveur et programme d'ordinateur associes
EP3123691A1 (fr) Procédé de traitement d'un message dans un dispositif d'interconnexion
WO2004086719A2 (fr) Systeme de transmission de donnees client/serveur securise
EP2979222B1 (fr) Procédé de stockage de données dans un système informatique effectuant une deduplication de données
FR2902954A1 (fr) Systeme et procede de stockage d'un inventaire des systemes et/ou services presents sur un reseau de communication
EP4066461B1 (fr) Procédé de coordination de la mitigation d'une attaque informatique, dispositif et système associés
EP2847939A1 (fr) Systeme de transmission de donnees
EP3149902B1 (fr) Technique d'obtention d'une politique de routage de requêtes émises par un module logiciel s'exécutant sur un dispositif client
EP3811578A1 (fr) Procédé de découverte de fonctions intermédiaires et de sélection d'un chemin entre deux équipements de communication
EP3070911A1 (fr) Procédé de contrôle d'accès à un réseau privé
FR3116981A1 (fr) Procédé et système de configuration d'accès à un réseau local.
EP3672209A1 (fr) Procédé d'identification de noeud de communication
FR2917556A1 (fr) Detection d'anomalie dans le trafic d'entites de service a travers un reseau de paquets
WO2007148014A2 (fr) Procede de construction de descriptions de flots de paquets
FR3042362A1 (fr) Moyens de gestion d'acces a des donnees

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15714868

Country of ref document: EP

Kind code of ref document: A1

REEP Request for entry into the european phase

Ref document number: 2015714868

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2015714868

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 15128521

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE