WO2021176156A1 - Procédé de gestion d'une requête d'accès à un site internet depuis un dispositif d'accès - Google Patents

Procédé de gestion d'une requête d'accès à un site internet depuis un dispositif d'accès Download PDF

Info

Publication number
WO2021176156A1
WO2021176156A1 PCT/FR2021/050251 FR2021050251W WO2021176156A1 WO 2021176156 A1 WO2021176156 A1 WO 2021176156A1 FR 2021050251 W FR2021050251 W FR 2021050251W WO 2021176156 A1 WO2021176156 A1 WO 2021176156A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
request
address
domain name
access
Prior art date
Application number
PCT/FR2021/050251
Other languages
English (en)
Inventor
Eric Bouvet
Fabrice Fontaine
Original Assignee
Orange
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange filed Critical Orange
Priority to CN202180017965.XA priority Critical patent/CN115211077A/zh
Priority to US17/908,088 priority patent/US11985106B2/en
Priority to EP21708282.5A priority patent/EP4115579A1/fr
Publication of WO2021176156A1 publication Critical patent/WO2021176156A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/59Network arrangements, protocols or services for addressing or naming using proxies for addressing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time

Definitions

  • the method comprises
  • a module for receiving a response including an IP address and information, called first information, linked to the IP address;
  • the invention relates to a domestic gateway including the entity described above.
  • the invention relates to a computer program capable of being implemented on a management entity as defined above, the program comprising code instructions which, when it is executed by a processor, performs the process steps defined above.
  • the data medium can be any entity or device capable of storing the program.
  • the medium may comprise a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or else a magnetic recording means such as a hard disk.
  • the information medium can be a transmissible medium such as an electrical or optical signal, which can be conveyed via an electrical or optical cable, by radio or by other means.
  • the program according to the invention can in particular be downloaded from an Internet type network.
  • the information medium can be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
  • FIG. 4 illustrates a possible variant of the embodiment described with reference to FIG. 3.
  • FIG. 1 represents an access device of a user OBJ able to access a communication network RES via an interface device GTW.
  • the communication network RES can be the Internet and the interface device GTW can be a home gateway or a router allowing the terminal of a user OBJ to access the Internet. Access to the communication network is provided by a provider of access to the communication network.
  • a domain name resolution request is sent by the access device to a resolution server or DNS server.
  • the DNS server then responds to the access device 10 with a network address or “Internet Protocol” type address corresponding to the domain name, the access device then being able to access the IP address via the domestic gateway GTW.
  • the domestic gateway GTW is an interface device allowing exchanges between the access device OBJ and the communication network RES. Among other things, it plays a role of DNS relay. In other words, the gateway is responsible for addressing the REQ resolution requests to DNS resolution servers. A possible architecture of the interface device will be described later with reference to FIG. 2.
  • DNS domain name resolution server (acronym for “Domain Name System”).
  • the gateway has the conventional architecture of a computer and comprises in particular a processor CPU (or microcontroller), a memory MEM in which, in which, an ENT entity is stored.
  • the entity ENT is a computer program which comprises instructions for implementing the steps of the management method which will be described below with reference to FIG. 3, when the program is executed by the processor CPU.
  • the gateway further comprises a WiFi module and a RES module for communicating with a local network such as a WiFi network and a wide area network such as an ADSL, Fiber network, etc.
  • FIG. 3 illustrates a flowchart of the processing method according to a first embodiment of the invention.
  • the access device OBJ is a connected object.
  • the OBJ object 10 When the connected object OBJ wishes to access the communication network RES via the domestic gateway GTW, the OBJ object 10 creates, during a first step ET1, a resolution request REQ of the domain name DN of an Internet site to which it wishes to access and transmits this resolution request REQ to the GTW gateway.
  • the domestic gateway GTW transmits the resolution request to the DNS server.
  • the DNS server performs two tasks.
  • a first task consisting in obtaining, during a third step ET3, the IP address associated with the domain name;
  • a second task consisting in obtaining descriptive information on the IP address by interrogating the SRV server during a fourth step ET4, the descriptive information having the function for example of providing a level of confidence N-IP associated with the device to which corresponds the IP address resolved.
  • This information can be stored in the DNS server or stored on a server external to the DNS server.
  • the DNS server obtains and transmits to the entity ENT the descriptive information obtained N-IP on the IP address concerned.
  • Descriptive information can be a type of website associated with the IP address: social network, video games, crypto-mining, etc.
  • Another descriptive information can be the geographical location of the server: China, Russia, United States, Brazil, France
  • all of the descriptive information received is a confidence level N-IP provided in the form of a confidence score on a scale of 1 to 10, for example 9 for the website concerning.
  • the management entity ENT receives the response, verifies VRF the information received N-IP and decides to transmit the IP address to the object according to the descriptive information received, in our example the score of trust received.
  • the entity transmits the IP address only if the confidence score is greater than or equal to 7.
  • the score received by the ENT entity being 9, the entity transmits the IP address to the object during an eighth step ET8.
  • the OBJ object After receiving the IP address, the OBJ object accesses the website having the received IP address.
  • the access request is based on an IP address instead of a domain name.
  • a REQ (IP) request is transmitted from the OBJ object to the ENT entity.
  • REQ IP
  • the object OBJ instead of transmitting a request as in step ET2 described above, responds to the object OBJ during a step ETlb, by requesting the object to transmit a request access to the website using a domain name.
  • the OBJ object sends back an access request REQ (DN) to the Internet site using a domain name.
  • REQ access request
  • the management entity ENT receives the response, verifies the information received N-IP VRF and decides to transmit the IP address to the object according to the descriptive information received, in our example. the confidence score received.
  • the score received by the ENT entity being 9
  • the entity transmits the request received on the Internet network, during a seventh step ET7a, to the Internet site having the IP address.
  • the method takes into account information related to the connected object in the decision making.
  • the ENT entity takes into account not only descriptive information relating to the Internet site to which the object OBJ wishes to access but also descriptive information on the OBJ object itself.
  • Descriptive information about the object can be of any kind.
  • descriptive information is a category of user likely to use the object: child / adult, a category of object (toy, video game for children or adults, "IoT” object (for "Internet of Things” ) such as a camera or refrigerator, etc.).
  • the object is for example a connected game for children (a soft toy, an electric car for children, etc.)
  • the entity ENT compares the information received relating to the Internet site with the information relating to the object.
  • the entity detects any incompatibilities between the object and the website. For example, if the website is an adult site, not malicious, and the user category of the object is "child", the ENT entity does not pass the IP address to the object or not transmit the access request as appropriate.
  • the ENT entity does not transmit the IP address to the object or does not transmit the access request as the case may be.
  • a confidence level can also be assigned to the OBJ object.
  • the entity can use this level of trust to decide whether to transmit the IP address or not.
  • the descriptive information received from the resolution server is stored in the memory MEM of the GTW gateway.
  • a duration TM can also be set beyond which the information is out of date.
  • step TM? a check of the validity of the descriptive information is carried out by the entity (step TM?).
  • steps ET2 and following are performed again.
  • steps ET8 or ET7a are executed according to the use case defined above. In FIG. 5, only step ET8 is shown.
  • the ENT entity when the information related to an IP address, stored in memory in the home gateway, is out of date and therefore no longer valid, the ENT entity transmits a domain name resolution request in order to obtain the latest updated descriptive information.
  • this embodiment comprises the following steps:
  • the trigger for the transmission of the resolution request is not a receipt of a request for access to a domain name DN from the access device but a state of the descriptive information stored in memory, more precisely. an expiration of descriptive information.
  • the “descriptive information” relates to data capable of characterizing a remote object or server.
  • Descriptive information relating to the object is for example permissions and / or metadata which are known by the domestic gateway, the latter keeping the connected objects to which it is connected up to date.
  • the permissions target for example an administrator, a normal user, etc.
  • the metadata is for example
  • a confidence level such as a confidence score: 0 - 10
  • dangerous / not dangerous among the dangerous software, for example cryptomining software is known which has the function of using the processing power of a peripheral in order to generate cryptocurrency.
  • cryptomining software which has the function of using the processing power of a peripheral in order to generate cryptocurrency.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Procédé de gestion d'une requête d'accès à un site internet depuis un dispositif d'accès L'invention se rapporte à un procédé de gestion d'une requête d'accès à un site internet issue d'un dispositif (OBJ) et transmise au travers d'un réseau de télécommunication (RES), caractérisé en ce qu'il comprend les étapes suivantes, - Une étape de réception (ET1) d'une requête incluant un nom de domaine, issue d'un dispositif, destinée à être émise vers un serveur de résolution de noms de domaine; - Une étape de routage (ET2) de la requête à destination d'un serveur de résolution de noms de domaine; - Une étape de réception (ET6) d'une réponse incluant une adresse IP et d'informations, dites premières information, liées à l'adresse IP; - En fonction des premières informations, transmission (ET9,ET7a) ou pas de la requête sur le réseau (RES).

Description

DESCRIPTION
Procédé de gestion d'une requête d'accès à un site internet depuis un dispositif d'accès
Domaine technique
L'invention se rapporte au domaine des télécommunications.
L'invention se rapporte plus particulièrement à un procédé de gestion de l'accès à un site Internet depuis un dispositif de traitement de données appelé dispositif d'accès dans la suite.
Le dispositif d'accès choisi pour illustrer l'invention est un objet connecté.
Etat de la technique
Sur Internet, les ordinateurs communiquent entre eux grâce à un ensemble de protocoles dont le protocole IP (Internet Protocol). Ce protocole utilise des adresses numériques que l'on appelle communément adresses IP (@ IP).
Aussi, aux ordinateurs répartis dans le réseau sont associés un nom de domaine du type « exemple.com ». A ce nom de domaine correspond une URL (Uniform Resource Locator) qui est l'adresse unique qui permet d'accéder à un ordinateur du réseau, par exemple un serveur hébergeant un site Internet.
Deux méthodes existent pour accéder à un site Internet depuis un dispositif d'accès. Une première méthode d'accès s'effectue en utilisant l'adresse IP, une deuxième méthode s'effectue en utilisant une URL.
Lorsqu'une URL est utilisée, le dispositif d'accès transmet une requête à un serveur de résolution de nom de domaine ou serveur DNS (pour « Domain Name System ») pour récupérer l'adresse IP correspondante. Une fois l'adresse IP récupérée, le dispositif d'accès accède à l'ordinateur grâce à l'adresse IP.
L'utilisation d'une adresse IP en lieu et place d'une URL permet au dispositif d'accès d'accéder directement aux sites Internet sans nécessiter de requêtes DNS préalables.
Quelle que soit la méthode utilisée visée ci-dessus, accéder à des sites Internet présente des risques certains. Par exemple, le site Internet peut appartenir à un tiers malveillant capable de prendre la main sur le dispositif d'accès à l'insu du propriétaire du dispositif d'accès. Lorsque le dispositif d'accès est un objet connecté, par exemple un aspirateur équipé d'une caméra, le tiers malveillant peut installer, dans l'objet, un logiciel malveillant capable de transmettre des données depuis l'objet vers le réseau Internet. Le logiciel malveillant installé sur l'objet peut en effet commander une capture vidéo de l'environnement de la caméra et transmettre le contenu vidéo résultant sur le réseau Internet.
L'invention vient améliorer la situation.
L'invention
A cet effet, selon un aspect fonctionnel, l'invention a trait à un procédé de gestion d'une requête d'accès à un site internet issue d'un dispositif et transmise au travers d'un réseau de télécommunication, caractérisé en ce qu'il comprend les étapes suivantes,
- Une étape de réception d'une requête incluant un nom de domaine, issue d'un dispositif, destinée à être émise vers un serveur de résolution de noms de domaine;
- Une étape de routage de la requête à destination d'un serveur de résolution de noms de domaine;
- Une étape de réception d'une réponse incluant une adresse IP et des informations, dites premières informations, liées à l'adresse IP ;
- En fonction des premières informations, transmission ou pas de la requête sur le réseau.
Selon l'invention, une entité externe au dispositif d'accès, intercepte les requêtes d'accès aux sites Internet et requiert l'obtention à la fois d'une adresse IP à un serveur de résolution de noms de domaine, et des informations relatives à l'adresse IP.
A réception des informations, l'entité les analyse et décide de donner suite ou pas à la requête d'accès. On verra que, dans un mode de réalisation, lorsque l'entité décide de donner suite, l'adresse IP est transmise au dispositif d'accès à l'origine de la requête. Un serveur de résolution de noms de domaine est situé dans un environnement sécurisé. Les premières informations relatives à l'adresse IP sont donc stockées dans un environnement de confiance difficilement attaquable par un tiers malveillant. De plus, ce serveur de confiance tient idéalement à jour les premières informations liées aux adresses IP.
Enfin, l'entité est située hors du dispositif d'accès, idéalement dans un dispositif sécurisé telle qu'une passerelle domestique à laquelle est connecté le dispositif d'accès ; les chances de compromettre à la fois le dispositif d'accès et la passerelle domestique sont donc très réduites.
A noter qu'on entend, par « informations », toutes informations descriptives aptes à caractériser un ordinateur (ou site Internet) à savoir son niveau de confiance, une catégorie d'ordinateur (site pour enfants, pour adultes, etc.). D'autres exemples d'informations descriptives seront décrits ci-dessous.
Aujourd'hui, comme indiqué précédemment, les dispositifs d'accès, tels que des objets connectés, peuvent accéder directement à un site Internet avec une adresse IP parfois sans étape préalable de résolution de nom de domaine par un serveur de résolution de noms de domaine. Selon un premier mode de mise en œuvre particulier de l'invention, lorsque la requête initiale inclut une adresse IP d'un dispositif à accéder, l'étape de réception est précédée d'une étape de transmission, à destination du dispositif d'accès, d'un message requérant une transmission d'une requête destinée à un serveur de résolution de noms de domaine. Ce mode de réalisation force le dispositif d'accès à réaliser une résolution de nom par le biais d'un serveur de résolution de noms de domaine, ce de manière à récupérer des informations liées au site Internet qui correspond au nom de domaine reçu. Après vérification des informations reçues, l'entité de gestion transmet ou pas la requête reçue à destination du dispositif associé à l'adresse IP.
Selon encore un deuxième mode de mise en œuvre particulier de l'invention, qui pourra être mis en œuvre alternativement ou cumulativement avec le précédent mode, le procédé comprend en outre
- Une étape d'obtention d'informations liées au dispositif d'accès, dites secondes informations ; - Une étape de comparaison à la fois des premières et des desdites secondes informations ;
- En fonction de l'étape de comparaison, transmission ou pas de la requête sur le réseau.
Ce mode renforce la sécurité en prenant en compte des informations non seulement sur le site Internet concerné, mais aussi des informations sur le dispositif d'accès. L'entité de gestion récupère les informations liées au dispositif d'accès et celles liées au site Internet, et les compare et détecte d'éventuelles incompatibilités entre les premières et les deuxièmes informations avant de décider de transmettre ou pas l'adresse IP. Par exemple, le site Internet peut être un site Internet pour adulte alors que le dispositif d'accès est un jeu pour enfant, l'entité décide dans ce cas de ne pas donner suite à la requête d'accès pour des raisons d'incompatibilité entre le dispositif d'accès et le site Internet pour lequel un accès est demandé.
Selon le cas, lorsqu'il y a incompatibilité, l'entité ne transmet pas :
- l'adresse IP au dispositif d'accès dans le cas où la requête d'accès initiale reçue est basée sur un nom de domaine ; ou
- la requête sur le réseau Internet dans le cas où la requête d'accès initiale reçue est basée sur une adresse IP.
Selon encore un troisième mode de mise en œuvre particulier de l'invention, qui pourra être mis en œuvre alternativement ou cumulativement avec les précédents, suite à l'étape de réception d'une réponse incluant une adresse IP et d'informations liées à l'adresse IP, les informations reçues sont stockées. Dans cette configuration, dans le présent mode, la réception d'une nouvelle requête d'accès ultérieure est suivie d'une vérification de la présence d'informations liées au nom de domaine en mémoire, et de transmission ou pas de l'adresse IP en fonction des informations stockées en mémoire.
On verra dans la suite que les étapes décrites ci-dessus sont réalisées dans une passerelle domestique et que les informations reçues liées à l'adresse IP sont stockées dans une mémoire de la passerelle domestique. Selon encore un quatrième mode de mise en œuvre particulier de l'invention, qui pourra être mis en œuvre alternativement ou cumulativement avec les précédents, une durée de validité est associée aux informations stockées. Dans cette configuration, une présence d'informations liées au nom de domaine en mémoire est suivie d'une vérification que les informations sont toujours valides. Dans la négative, le procédé réalise les étapes décrites précédemment :
Une étape de routage de la requête à destination d'un serveur de résolution de noms de domaine;
Une étape de réception d'une réponse incluant une adresse IP et des informations liées à l'adresse IP ;
En fonction de la réponse, transmission ou pas de la requête sur le réseau.
Selon encore un quatrième mode de mise en œuvre particulier de l'invention, qui pourra être mis en œuvre alternativement ou cumulativement avec les précédents, lorsque la durée de validité a expiré, le procédé comprend
Une étape de transmission, à destination d'un serveur de résolution de noms de domaine, d'une requête d'obtention de mise à jour des informations associées à une adresse IP stockées en mémoire;
Une étape de réception d'une réponse incluant les informations associées à l'adresse IP et
Une étape de stockage des informations reçues.
Ce quatrième mode a pour avantage de mettre à jours les informations stockées dans la passerelle par exemple dès qu'elles ne sont plus valides. Cela permet, lorsque l'entité reçoit une requête d'accès d'avoir à disposition des informations valides. Cela évite à l'entité de transmettre une requête de résolution de nom de domaine sur le réseau. Ayant des informations valides stockées dans la passerelle, l'entité peut donc décider plus rapidement d'autoriser ou pas de transmettre la requête d'accès reçue à l'adresse IP concernée.
Selon un aspect matériel, l'invention se rapporte à une entité de gestion comprenant - Un module de réception d'une requête incluant un nom de domaine, issue d'un dispositif, destinée à être émise vers un serveur de résolution de noms de domaine;
- Un module de routage de la requête à destination du serveur de résolution
- un module de réception d'une réponse incluant une adresse IP et des informations, dites premières informations, liées à l'adresse IP ;
- un module de transmission apte à transmettre ou pas la requête sur le réseau en fonction des premières informations.
Selon un autre aspect matériel, l'invention se rapporte à une passerelle domestique incluant l'entité décrite ci-dessus.
Selon un autre aspect matériel, l'invention a trait à un programme d'ordinateur apte à être mis en œuvre sur une entité de gestion telle que définie ci-dessus, le programme comprenant des instructions de code qui, lorsqu'il est exécuté par un processeur, réalise les étapes du procédé définies ci-dessus.
Enfin, l'invention a trait à un support de données sur lequel a été mémorisée au moins une série d'instructions de code de programme pour l'exécution du procédé défini ci-dessus.
Le support de données peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique tel qu'un un disque dur. D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet. Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Enfin, signalons ici que, dans le présent texte, le terme « module » ou « entité » peut correspondre aussi bien à un composant logiciel qu'à un composant matériel ou un ensemble de composants matériels et logiciels, un composant logiciel correspondant lui-même à un ou plusieurs programmes ou sous-programmes d'ordinateur ou de manière plus générale à tout élément d'un programme apte à mettre en œuvre une fonction ou un ensemble de fonctions telles que décrites pour les modules concernés. De la même manière, un composant matériel correspond à tout élément d'un ensemble matériel (ou hardware) apte à mettre en œuvre une fonction ou un ensemble de fonctions pour le module concerné (circuit intégré, carte à puce, carte à mémoire, etc.).
L'invention sera mieux comprise à la lecture de la description qui suit, donnée à titre d'exemple et faite en référence aux dessins annexés sur lesquels :
[Fig. 1] La figure 1 représente un système informatique sur lequel est illustré un exemple de réalisation de l’invention.
[Fig. 2] la figure 2 est une vue schématique de l'architecture d'une passerelle domestique selon un mode de réalisation de l'invention.
[Fig. 3] la figure 3 illustre un exemple d'étapes mises en œuvre dans le cadre d'un procédé selon un mode de réalisation.
[Fig. 4] la figure 4 illustre une variante possible du mode de réalisation décrit en référence à la figure 3.
[Fig. 5] la figure 5 illustre une autre variante possible du mode de réalisation décrit en référence à la figure 3.
Description détaillée d'un (ou d') exemple(s) de réalisation illustrant l'invention
La figure 1 représente un dispositif d'accès d'un utilisateur OBJ pouvant accéder à un réseau de communication RES via un dispositif d'interface GTW. Le réseau de communication RES peut être Internet et le dispositif d'interface GTW peut être une passerelle domestique ou un routeur permettant l'accès du terminal d'un utilisateur OBJ à Internet. L'accès au réseau de communication est fourni par un fournisseur d'accès au réseau de communication.
Le dispositif d'accès OBJ peut être tout type de dispositif configuré pour accéder à un réseau de communication tel qu'internet via la passerelle domestique GTW. Le dispositif d'accès OBJ peut être un téléphone portable ou autre terminal de communication mobile, tel qu'une tablette ou un ordinateur portable, un ordinateur de bureau ou un appareil domestique pouvant établir une connexion avec le réseau de communication RES.
D'une manière générale, lorsqu'un utilisateur renseigne un nom de domaine sur le navigateur installé sur un dispositif d'accès, une requête de résolution de nom de domaine est émise par le dispositif d'accès vers un serveur de résolution ou serveur DNS.
Le serveur DNS répond ensuite au dispositif d'accès 10 avec une adresse réseau ou adresse de type « Internet Protocol » correspondant au nom de domaine, le dispositif d'accès pouvant ensuite accéder à l'adresse IP via la passerelle domestique GTW.
La passerelle domestique GTW est un dispositif d'interface permettant les échanges entre le dispositif d'accès OBJ et le réseau de communication RES. Elle joue entre autres un rôle de relais DNS. En d'autres mots, la passerelle se charge d'adresser les requêtes de résolution REQ vers des serveurs de résolution DNS. Une architecture possible du dispositif d'interface sera décrite ultérieurement en référence à la figure 2.
Rappelons ici qu'il est nécessaire d'obtenir l'adresse IP du site Internet pour accéder à celui-ci. En général, un site Internet a une (ou plusieurs) adresse(s) IP (par exemple 93.184.216.34) et un nom de domaine (www.exemple.com).
La traduction d'un nom de domaine en une adresse numérique est réalisée par un serveur de résolution de noms de domaine DNS (sigle anglo saxon de « Domain Name System »).
La figure 2 illustre une passerelle domestique configurée pour mettre en œuvre le procédé de gestion selon un mode particulier de réalisation de l'invention.
Selon ce mode particulier, la passerelle a l'architecture classique d'un ordinateur et comprend notamment un processeur CPU (ou microcontrôleur), une mémoire MEM dans laquelle, dans laquelle, une entité ENT est stockée. Dans notre exemple l'entité ENT est un programme d'ordinateur qui comprend des instructions pour mettre en œuvre les étapes du procédé de gestion qui sera décrit par la suite en référence à la figure 3, lorsque le programme est exécuté par le processeur CPU. La passerelle comprend en outre un module WiFi et un module RES pour communiquer avec un réseau local tel qu'un réseau WiFi et un réseau étendu tel qu'un réseau ADSL, Fibre, etc.
La figure 3 illustre un organigramme du procédé de traitement conforme à un premier mode de réalisation de l'invention.
Dans notre exemple, le dispositif d'accès OBJ est un objet connecté.
Lorsque l'objet connecté OBJ souhaite accéder au réseau de communication RES via la passerelle domestique GTW, l'objet OBJ 10 créé, lors d'une première étape ET1, une requête de résolution REQ du nom de domaine DN d'un site Internet auquel il souhaite accéder et transmet cette requête de résolution REQ à la passerelle GTW.
Lors d'une deuxième étape ET2, la passerelle domestique GTW transmet la requête de résolution au serveur DNS.
Ensuite, le serveur DNS réalise deux tâches. Une première tâche consistant à obtenir, lors d'une troisième étape ET3, l'adresse IP associée au nom de domaine ; une deuxième tâche consistant à obtenir des informations descriptives sur l'adresse IP en interrogeant le serveur SRV lors d'une quatrième étape ET4, les informations descriptives ayant pour fonction par exemple de fournir un niveau de confiance N- IP associé au dispositif auquel correspond l'adresse IP résolue. Ces informations, dites informations descriptives, peuvent être stockées dans le serveur DNS ou stockées sur un serveur externe au serveur DNS. Lors d'une cinquième étape ET5, le serveur DNS obtient et transmet à l'entité ENT les informations descriptives obtenues N-IP sur l'adresse IP concernée.
Ces informations descriptives peuvent être diverses et variées. Une information descriptive peut être un type de site Internet associé à l'adresse IP: réseau social, jeux-vidéo, crypto-minage, etc.
Une autre information descriptive peut être le lieu géographique où se situe le serveur : Chine, Russie, Etats-Unis, Brésil, France
Une autre information descriptive peut être un score de confiance associé à l'adresse IP par exemple donné sur une échelle de un à dix. Lors d'une sixième étape ET6, la passerelle reçoit la réponse du serveur DNS, la réponse incluant l'adresse IP résolue et un ensemble d'informations descriptives associée à l'adresse IP.
On suppose ici, pour simplifier l'exemple de réalisation, que l'ensemble des informations descriptives reçu est un niveau de confiance N-IP fourni sous forme de score de confiance sur une échelle de 1 à 10, par exemple 9 pour le site Internet concerné.
Lors d'une septième étape ET7, l'entité de gestion ENT reçoit la réponse, vérifie VRF les informations reçues N-IP et décide de transmettre l'adresse IP à l'objet en fonction des informations descriptives reçues, dans notre exemple le score de confiance reçu.
On suppose ici que l'entité ne transmet l'adresse IP que si le score de confiance est supérieur ou égal à 7. Dans cet exemple, le score reçu par l'entité ENT étant de 9, l'entité transmet l'adresse IP à l'objet lors d'une huitième étape ET8.
Si le score reçu du serveur DNS avait été un score inférieur à 7, l'entité n'aurait pas transmis l'adresse IP.
Après réception de l'adresse IP, l'objet OBJ accède au site Internet ayant l'adresse IP reçue.
Selon une première variante, la requête d'accès est basée sur une adresse IP en lieu et place d'un nom de domaine.
En référence à la figure 4, dans le cas où l'objet OBJ souhaite accéder, lors d'une étape ETla, à un site Internet via une adresse URL en lieu et place d'un nom de domaine, une requête REQ(IP) est transmise depuis l'objet OBJ à destination de l'entité ENT. A réception de la requête REQ(IP), au lieu de transmettre une requête comme à l'étape ET2 décrite ci-dessus, répond à l'objet OBJ lors d'une étape ETlb, en requérant à l'objet de transmettre une requête d'accès au site Internet en utilisant un nom de domaine.
Lors d'une étape ultérieure ETlc, l'objet OBJ transmet en retour une requête d'accès REQ(DN) au site Internet en utilisant un nom de domaine.
L'entité reçoit la requête d'accès. A ce stade ; le procédé se déroule de nouveau comme décrit ci-dessus de l'étape ET2 à l'étape ET6.
Ensuite, lors d'une sixième étape ET6a, l'entité de gestion ENT reçoit la réponse, vérifie VRF les informations reçues N-IP et décide de transmettre l'adresse IP à l'objet en fonction des informations descriptives reçues, dans notre exemple le score de confiance reçu.
On suppose ici à nouveau que l'entité ne transmet l'adresse IP que si le score de confiance est supérieur ou égal à 7.
Dans cet exemple, le score reçu par l'entité ENT étant de 9, l'entité transmet la requête reçue sur le réseau Internet, lors d'une septième étape ET7a, au site Internet ayant l'adresse IP.
Selon une deuxième variante, le procédé prend en compte des informations liées à l'objet connecté dans la prise de décision. Dans cette configuration, l'entité ENT prend en compte non seulement des informations descriptives relatives au site Internet auquel souhaite accéder l'objet OBJ mais aussi des informations descriptives sur l'objet OBJ lui-même.
Des informations descriptives sur l'objet peuvent être de toute sorte. Par exemple, une information descriptive est une catégorie d'utilisateur susceptible d'utiliser l'objet : enfant/adulte, une catégorie d'objet (jouet, jeu vidéo pour enfant ou adulte, objet « IoT » (pour « Internet of Things ») comme une caméra ou un réfrigérateur, etc.).
L'objet est par exemple un jeu connecté pour enfant (une peluche, une voiture électrique pour enfant, etc.)
Dans cette configuration, l'entité ENT compare les informations reçues relativement au site Internet avec les informations relatives à l'objet. L'entité détecte d'éventuelles incompatibilités entre l'objet et le site Internet. Par exemple, si le site Internet est un site pour adulte, sans être malveillant, et que la catégorie d'utilisateur de l'objet est « enfant », l'entité ENT ne transmet pas l'adresse IP à l'objet ou ne transmet pas la requête d'accès selon le cas.
De la même façon, si le site Internet est un site de crypto-minage (c'est-à-dire un site permettant de « miner » des crypto-monnaies), et que l'objet est de type « IoT », l'entité ENT ne transmet pas l'adresse IP à l'objet ou ne transmet pas la requête d'accès selon le cas.
Un niveau de confiance peut aussi être attribué à l'objet OBJ. Dans ce cas, l'entité peut utiliser ce niveau de confiance pour décider de transmettre l'adresse IP ou pas.
Selon un mode de réalisation, les informations descriptives reçues du serveur de résolution sont stockées dans la mémoire MEM de la passerelle GTW. Une durée TM peut aussi être fixée au-delà de laquelle les informations sont périmées.
Dans cette configuration, lorsqu'une requête d'accès basée sur un nom de domaine est reçue, l'entité ENT vérifie si ce nom de domaine DN a déjà fait l'objet d'une résolution en consultant la mémoire de la passerelle (étape DN/MEM).
Dans la négative, les étapes ET2 et suivantes sont de nouveau exécutées.
Dans l'affirmative, optionnellement, en référence à la figure 5, une vérification de la validité des informations descriptives est réalisée par l'entité (étape TM ?).
Si les données ne sont plus valides parce que la durée de validité a expiré, les étapes ET2 et suivantes sont de nouveau exécutées.
Si les données sont valides, les étapes ET8 ou ET7a sont exécutées selon le cas d'usage défini ci-dessus. Sue la figure 5, seule l'étape ET8 est représentée.
Selon une autre variante, lorsque les informations liées à une adresse IP, stockées en mémoire dans la passerelle domestique, sont périmées et donc ne sont plus valides, l'entité ENT transmet une requête de résolution de nom de domaine afin d'obtenir les dernières informations descriptives mises à jour.
Plus précisément, lorsque les informations ne sont plus valides, ce mode de réalisation comprend les étapes suivantes :
Une étape de transmission, à destination d'un serveur de résolution de noms de domaine, d'une requête d'obtention de mise à jour des informations associées à une adresse IP stockées en mémoire
Une étape de réception d'une réponse incluant les informations associées à l'adresse IP et Une étape de stockage des informations reçues.
Dans cette variante, le déclencheur de la transmission de requête en résolution n'est pas une réception d'une requête d'accès à un nom de domaine DN issue du dispositif d'accès mais un état des informations descriptives stockées en mémoire, plus précisément une péremption des informations descriptives.
Enfin, pour conclure, précisons ici que les « informations descriptives » vise des données aptes à caractériser un objet ou un serveur distant.
Des informations descriptives relatives à l'objet sont par exemple des permissions et/ou des metadonnées qui sont connues par la passerelle domestique, cette dernière tenant à jour les objets connectés auxquels elle est connectée.
Les permissions visent par exemple un administrateur, un utilisateur normal, etc.
Les métadonnées visent par exemple
- un type d'équipement: Caméra, PC, Téléphone, Tablette, Imprimante, TV
- un niveau de confiance tel qu'un score de confiance: 0 - 10
- un type d'équipement : dangereux, non-sécurisé, parental, réseau social, jeux- vidéo
- une catégorie d'équipement/logiciel: dangereux/pas dangereux ; parmi les logiciels dangereux, on connaît par exemple des logiciels de cryptominage qui ont pour fonction d'utiliser la puissance de traitement d'un périphérique dans le but de générer de la crypto monnaie. Ces sites Internet peuvent être utilisés de manière légitime par l'utilisateur de l'objet mais sont aussi utilisées de manière illégitime par des tiers malveillants.
- un pays d'origine : Chine, Russie, Etats-Unis, France, etc.

Claims

Revendications
1. Procédé de gestion d'une requête d'accès à un site internet issue d'un dispositif (OBJ) et transmise au travers d'un réseau de télécommunication (RES), caractérisé en ce qu'il comprend les étapes suivantes,
- Une étape de réception (ET1) d'une requête incluant un nom de domaine, issue d'un dispositif, destinée à être émise vers un serveur de résolution de noms de domaine;
- Une étape de routage (ET2) de la requête à destination d'un serveur de résolution de noms de domaine;
- Une étape de réception (ET6) d'une réponse incluant une adresse IP et des informations, dites premières informations liées à l'adresse IP ;
- En fonction des premières informations, transmission (ET9,ET7a) ou pas de la requête sur le réseau (RES).
2. Procédé de gestion selon la revendication 1, caractérisé en ce que, lorsque la requête d'accès initiale inclut une adresse IP d'un dispositif, l'étape de réception est précédée d'une étape de transmission, à destination du dispositif, d'un message requérant une transmission d'une requête destinée à un serveur de résolution de nom de domaine.
3. Procédé de gestion selon l'une des revendications 1 à 2, caractérisé en ce qu'il comprend en outre
- Une étape d'obtention d'informations liées au dispositif (OBJ), dites secondes informations ;
- Une étape de comparaison à la fois des premières et des desdites secondes informations ;
- En fonction de l'étape de comparaison, transmission ou pas de la requête sur le réseau.
4. Procédé de gestion selon l'une des revendications 1 à 3, caractérisé en ce que, suite à l'étape de réception d'une réponse incluant une adresse IP et d'informations liées à l'adresse IP, les informations reçues sont stockées, et en ce qu'une réception d'une nouvelle requête d'accès est suivie d'une vérification de la présence d'informations liées au nom de domaine en mémoire et de transmission ou pas de l'adresse IP en fonction des informations stockées dans la passerelle.
5. Procédé de gestion selon la revendication 4 caractérisé en ce qu'une durée de validité est associée aux informations stockées.
6. Procédé de gestion selon la revendication 5, caractérisé en ce que lorsque la durée de validité a expirée, le procédé comprend
- Une étape de transmission, à destination d'un serveur de résolution de noms de domaine, d'une requête d'obtention de mise à jour des informations associées à une adresse IP stockées en mémoire
- Une étape de réception d'une réponse incluant les informations associées à l'adresse IP et
- Une étape de stockage des informations reçues.
7. Entité de gestion (ENT) d'une requête d'accès à un site internet issue d'un dispositif (OBJ), caractérisé en ce qu'il comprend
- Un module de réception d'une requête incluant un nom de domaine, issue d'un dispositif, destinée à être émise vers un serveur de résolution de noms de domaine;
- Un module de routage de la requête à destination d'un serveur de résolution de noms de domaine;
- Un module de réception d'une réponse incluant une adresse IP et des informations, dites premières informations, liées à l'adresse IP ;
- un module de transmission apte à transmettre ou pas la requête sur le réseau en fonction des premières informations.
8. Passerelle domestique comprenant une entité de gestion telle que définie dans la revendication 7.
9. Programme d'ordinateur apte à être mis en œuvre sur un terminal mobile, le programme comprenant des instructions de code qui, lorsqu'il est exécuté par un processeur, réalise les étapes du procédé définies dans l'une des revendications 1 à 6.
10. Support de données sur lequel a été mémorisée au moins une série d'instructions de code de programme pour l'exécution d'un procédé défini dans l'une des revendications 1 à 6.
PCT/FR2021/050251 2020-03-02 2021-02-11 Procédé de gestion d'une requête d'accès à un site internet depuis un dispositif d'accès WO2021176156A1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN202180017965.XA CN115211077A (zh) 2020-03-02 2021-02-11 用于管理来自访问设备的网站访问请求的方法
US17/908,088 US11985106B2 (en) 2020-03-02 2021-02-11 Method for managing a request to access an internet site from an access device
EP21708282.5A EP4115579A1 (fr) 2020-03-02 2021-02-11 Procédé de gestion d'une requête d'accès à un site internet depuis un dispositif d'accès

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2002081 2020-03-02
FR2002081A FR3107798A1 (fr) 2020-03-02 2020-03-02 Procédé de gestion d’une requête d’accès à un site internet depuis un dispositif d’accès

Publications (1)

Publication Number Publication Date
WO2021176156A1 true WO2021176156A1 (fr) 2021-09-10

Family

ID=71094482

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2021/050251 WO2021176156A1 (fr) 2020-03-02 2021-02-11 Procédé de gestion d'une requête d'accès à un site internet depuis un dispositif d'accès

Country Status (5)

Country Link
US (1) US11985106B2 (fr)
EP (1) EP4115579A1 (fr)
CN (1) CN115211077A (fr)
FR (1) FR3107798A1 (fr)
WO (1) WO2021176156A1 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3113460A2 (fr) * 2015-06-28 2017-01-04 Verisign, Inc. Surveillance inter-réseau améliorée et gestion adaptative de la circulation dns
US20170041333A1 (en) * 2015-08-07 2017-02-09 Cisco Technology, Inc. Domain classification based on domain name system (dns) traffic
EP3270573A1 (fr) * 2016-07-13 2018-01-17 DNSthingy Inc. Procédé et routeur pour permettre ou bloc de protocole internet (ip) basées sur la génération de connectivité de serveur de nom de domaine (dns) des requêtes

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7769766B1 (en) * 2004-05-24 2010-08-03 Sonicwall, Inc. Method and an apparatus to store content rating information
US8713188B2 (en) * 2007-12-13 2014-04-29 Opendns, Inc. Per-request control of DNS behavior
US9009330B2 (en) * 2010-04-01 2015-04-14 Cloudflare, Inc. Internet-based proxy service to limit internet visitor connection speed
US10069837B2 (en) * 2015-07-09 2018-09-04 Biocatch Ltd. Detection of proxy server
US9118702B2 (en) * 2011-05-31 2015-08-25 Bce Inc. System and method for generating and refining cyber threat intelligence data
US20140156845A1 (en) * 2012-12-04 2014-06-05 Thomson Licensing Mechanism to block web sites using return traffic
US9396330B2 (en) * 2013-05-15 2016-07-19 Citrix Systems, Inc. Systems and methods for reducing denial of service attacks against dynamically generated next secure records
WO2015195093A1 (fr) * 2014-06-17 2015-12-23 Hewlett-Packard Development Company, L. P. Notations d'infection à base de dns
CN105338126B (zh) * 2014-07-17 2018-10-23 阿里巴巴集团控股有限公司 远程查询信息的方法及服务器
US9954815B2 (en) * 2014-09-15 2018-04-24 Nxp Usa, Inc. Domain name collaboration service using domain name dependency server
CN108737327B (zh) * 2017-04-14 2021-11-16 阿里巴巴集团控股有限公司 拦截恶意网站的方法、装置、系统和存储器
US10498751B2 (en) * 2017-05-31 2019-12-03 Infoblox Inc. Inline DGA detection with deep networks
US11310201B2 (en) * 2018-10-23 2022-04-19 Akamai Technologies, Inc. Network security system with enhanced traffic analysis based on feedback loop
US11115387B2 (en) * 2019-02-04 2021-09-07 Cisco Technology, Inc. Method for policy-driven, classifying, and routing traffic using the domain name system
US11159943B2 (en) * 2019-02-06 2021-10-26 Verizon Patent And Licensing Inc. Security monitoring for wireless communication devices
US11290472B2 (en) * 2019-09-25 2022-03-29 International Business Machines Corporation Threat intelligence information access via a DNS protocol
US11652792B2 (en) * 2019-10-30 2023-05-16 AVAST Software s.r.o. Endpoint security domain name server agent
US11632254B2 (en) * 2020-02-21 2023-04-18 Mcafee, Llc Home or enterprise router-based secure domain name services

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3113460A2 (fr) * 2015-06-28 2017-01-04 Verisign, Inc. Surveillance inter-réseau améliorée et gestion adaptative de la circulation dns
US20170041333A1 (en) * 2015-08-07 2017-02-09 Cisco Technology, Inc. Domain classification based on domain name system (dns) traffic
EP3270573A1 (fr) * 2016-07-13 2018-01-17 DNSthingy Inc. Procédé et routeur pour permettre ou bloc de protocole internet (ip) basées sur la génération de connectivité de serveur de nom de domaine (dns) des requêtes

Also Published As

Publication number Publication date
CN115211077A (zh) 2022-10-18
US20230283586A1 (en) 2023-09-07
EP4115579A1 (fr) 2023-01-11
FR3107798A1 (fr) 2021-09-03
US11985106B2 (en) 2024-05-14

Similar Documents

Publication Publication Date Title
EP1473904B1 (fr) Procédé et système d'accès à un réseau poste à poste
EP2692089B1 (fr) Mécanisme de redirection entrante sur un proxy inverse
EP2867817B1 (fr) Procédé d'authentification d'un dispositif pour l'accès à un service
WO2007003818A1 (fr) Procede de filtrage par couplage multi-protocolaire sur la base du protocole dns.
EP4115579A1 (fr) Procédé de gestion d'une requête d'accès à un site internet depuis un dispositif d'accès
EP2504957B1 (fr) Acces a un contenu reference par un serveur de contenu
WO2012010803A1 (fr) Mise a disposition d'informations par un terminal mobile dans un reseau
EP4128717A1 (fr) Délégation d'une fonction de résolution d'identifiants de nommage
EP4073999A1 (fr) Procede de traitement de requetes de resolution de nom de domaine
EP4362391A1 (fr) Procédé de gestion d'accès d'un utilisateur à au moins une application, programme d'ordinateur et système associés
EP4294067A1 (fr) Gestion de l authentification d'un terminal pour accéder à un service d'un fournisseur de service
EP2320623B1 (fr) Procédé de fourniture d'un service
FR2952262A1 (fr) Autorisation d'etablissement d'appels simultanes
FR3076638A1 (fr) Procede de gestion d'un acces a une page web d'authentification
EP3820112A1 (fr) Procédé de configuration d accès à un service internet
WO2017060624A1 (fr) Moyens de gestion d'accès à des données
WO2018234662A1 (fr) Procédé de contrôle de l'obtention par un terminal d'un fichier de configuration
FR2992128A1 (fr) Gestion de l'acces d'un terminal a un reseau de communication par le biais d'une passerelle
EP2448218A1 (fr) Procédé de présentation de services sur un écran d'un terminal
FR2972883A1 (fr) Gestion du transfert d'informations entre entites associees a des terminaux respectifs au travers d'un reseau de communication
FR3024008A1 (fr) Procede et dispositifs de controle parental
EP2525525A1 (fr) Procédé, programme d'ordinateur et dispositif de cooptation permettant à un abonné d'un service de partager ce service avec un autre utilisateur
WO2010012961A2 (fr) Mise à jour de critères de recherche de contenu définis pour un fournisseur de service
FR2969888A1 (fr) Procede de traitement de donnees pour acceder a un contenu au travers du reseau internet.
FR2880703A1 (fr) Procede d'identification d'utilisateur, de creation d'un document de partage et de service correspondant dans un systeme de partage d'un reseau pair a pair

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21708282

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2021708282

Country of ref document: EP

Effective date: 20221004