Nothing Special   »   [go: up one dir, main page]

EP4162658A1 - Procede de discrimination d'un message entre un terminal et un serveur de donnees - Google Patents

Procede de discrimination d'un message entre un terminal et un serveur de donnees

Info

Publication number
EP4162658A1
EP4162658A1 EP21734430.8A EP21734430A EP4162658A1 EP 4162658 A1 EP4162658 A1 EP 4162658A1 EP 21734430 A EP21734430 A EP 21734430A EP 4162658 A1 EP4162658 A1 EP 4162658A1
Authority
EP
European Patent Office
Prior art keywords
terminal equipment
packet
message
data
relating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP21734430.8A
Other languages
German (de)
English (en)
Inventor
Imed ALLAL
Emile Stephan
Gaël FROMENTOUX
Arnaud BRAUD
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Publication of EP4162658A1 publication Critical patent/EP4162658A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2475Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/35Flow control; Congestion control by embedding flow control information in regular packets, e.g. piggybacking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls

Definitions

  • the invention relates to the transport of multiplexed data streams in a protocol, such as a transport protocol, of a communications infrastructure and aims to provide a solution for allowing processing to be applied to a specific data stream among a set of transported data streams.
  • HTTP / 2 Hypertext Transfer Protocol / 2
  • TLS Transmission Layer Security
  • TCP Transmission Control Protocol
  • QUIC Quadick Transfer Protocol
  • UDP Internet Communications
  • This QUIC protocol is widely used by several web browsers and application servers.
  • QUIC combines the transport, multiplexing and protection functions of RTP (Real-time Transport Protocol), MPTCP (MultiPath TCP), TCP, SCTP (Stream Control Transmission Protocol) and TLS in a single protocol.
  • the QUIC protocol is an example of a protocol having such characteristics of security and of multiplexing of several data streams in a single connection, but these characteristics also apply to other protocols.
  • the MPTCP, HTTP3, SCTP, SPDY and HTTP2 protocols also make it possible to multiplex several data streams and therefore have constraints as explained below.
  • An operator ensuring the routing of the data transported in a protocol is faced with a problem of identifying a flow on the one hand due to the application of a security mechanism, such as the encryption and on the other hand by the problem of multiplexing of data flows in a single session of data. This can, for example, occur in the context of the development of vehicular data services.
  • a security mechanism such as the encryption and on the other hand by the problem of multiplexing of data flows in a single session of data.
  • This can, for example, occur in the context of the development of vehicular data services.
  • eCall service is being deployed in Europe.
  • the eCall service represents an initiative of the European Commission aimed at eventually introducing in all vehicles sold in the European Union an automatic emergency call system (eCall) based on a public service, allowing a damaged car instantly call the emergency services while sending a certain amount of data, including its precise position, regardless of the EU country in which it is located.
  • This system based on the unique European emergency number 112, improved geolocation,
  • TCU Transmission Control Unit
  • SIM cards SIM cards
  • TCU Transmission Control Unit
  • these services may be driver assistance services, entertainment services or even vehicle control services.
  • the data associated with these different services require different processing on the part of an operator. In this way, data relating to entertainment services could be billed to a customer, vehicle control data could be duplicated for use in the event of a problem, and assistance data could be given a high priority since it does not have to be used. not suffer from lower latency during their transmission.
  • the object of the present invention is to provide improvements over the state of the art.
  • the invention improves the situation by means of a method of discriminating a first message concerning a first application from among a set of messages concerning a plurality of applications, sent by a terminal equipment to a server of data via a routing device, able to apply processing to an attribute relating to the first message, said method being implemented by the terminal equipment and comprising:
  • the method thus allows an operator administering a device, such as a router or DPI (Deep Packet Inspection) type equipment or any other equipment of a communication network, to be able to identify a message from among a set of messages. without ambiguity and without requiring complex processing.
  • This identification is in fact becoming more and more complex due on the one hand to the content servers grouping together a wide variety of independent services and on the other hand by the use of protocols multiplexing more and more messages from applications or various terminals, these applications and these terminals transmitting the messages by means of a terminal equipment.
  • the identifiers such as the IP addresses of the terminal equipment and / or of the data server are not sufficient to identify with certainty a message from an application or from a terminal.
  • the method enables terminal equipment to be able to identify and group together certain messages, as a function of various attributes such as the terminal originating the message, the type of application or the application used, the quality of service relating to an application, in a specific package.
  • Equipment built thus a packet grouping together the messages which will have a specific processing applied by a device of the network and apply a marking to it, for example by modifying a marking parameter of this message so that on reading this marking parameter, the The device quickly identifies this packet in order to then apply processing to the messages added by the terminal equipment in the packet.
  • the terminal equipment transmits the plurality of messages to the data server in a secure session between the terminal equipment and the data server.
  • the method of discrimination is of particular interest when the session between the messages exchanged between the terminal equipment and the server exchanges data in a secure manner, that is to say for example via a connection ensuring the confidentiality of the messages.
  • the method allows a terminal device to apply a marking, for example by modifying a marking parameter, for example in an unencrypted part of the packet comprising the messages, so that the device can apply a process that does not require access to the contents of the package, nor the modification of the package.
  • the information packet is a packet of a secure stream multiplexing protocol.
  • the secure stream multiplexing protocols such as QUIC, HTTP2 or HTTP3 have advantages for the implementation of the discrimination method.
  • the QUIC protocol has many advantages for content providers and users, in particular for its message multiplexing capabilities and its intrinsic security of header data.
  • the method can be advantageously implemented by adding the messages in a QUIC packet suitable for being processed by the device. Indeed, this protocol is more and more widely supported by user equipment and data servers and it allows the multiplexing of messages.
  • the marking of such a QUIC packet allows the device to quickly differentiate the packets to be processed from others routed to the data server without processing.
  • the secure stream multiplexing protocol is one of the following protocols: the MPTCP protocol, the SCTP protocol, the QUIC protocol, the HTTP2 protocol, the SPDY protocol, the HTTP3 protocol.
  • the QUIC, HTTP2 and HTTP3 protocols are increasingly used for data transfer by content providers and terminal providers.
  • the advantage of using one of these protocols is that you can quickly deploy this process.
  • the protocol is the QUIC protocol and the application of the marking comprises the modification of bits among a "spin bit” and / or "Reserved Bits".
  • the spin bit is a bit in the QUIC protocol header. This bit can in particular be used for a calculation of the latency of a data transmission between a sender and a receiver.
  • This bit present in the specification of the QUIC protocol, and therefore supported by all QUIC applications but not necessarily used, in particular if the latency is not calculated, allows the device to be able to quickly identify the QUIC packet to be processed. .
  • the use of the two "Reserved Bits” allows the possibility of differentiating four flow management packets, thus allowing the device to be able to apply four differentiated treatments to messages included in the management packets comprising these four options.
  • the use of "Reserved Bits” in addition to the "spin bit” allows the implementation of eight differentiated processing of the messages of the flow management packets.
  • the terms Spin Bits and Reserved Bits are associated with the QUIC protocol and it is possible to envision the use of bits having the same role in any secure stream multiplexing protocol.
  • the information packet includes an attribute corresponding to a specific application.
  • the method can be implemented to apply treatment to a specific application.
  • the terminal equipment can thus instantiate several flow management packets each comprising messages relating to a specific application and of which the application of the marking corresponding here to a modified marking parameter is specific to the flow management packet.
  • the device can thus apply a treatment specific to flow management packets according to the distinct parameter of each packet.
  • the terminal equipment is access equipment of a local network carrying the plurality of messages from and to terminals of the local network.
  • the discrimination method can advantageously be implemented by access equipment of a local network, such as an access gateway of a home network or TCU type equipment of a vehicular network. This is because the terminal equipment can discriminate between the different applications and group the messages from these different applications into separate packets so that a network equipment carrying the packet applies specific processing according to a marking parameter of the packet.
  • the discrimination method comprises, prior to the addition of the attribute, a selection of said first message according to one or more criteria from the list:
  • the first application is included in a list of applications managed by the terminal equipment
  • the first message is received from a terminal whose identifier is included in a list of identifiers managed by the terminal equipment
  • the first message comprises data relating to a quality of service, said data being included in a set of data managed by the terminal.
  • the discrimination method can advantageously be implemented for a limited number of applications. For example, only the applications whose data is billed to the user are considered and the messages from these applications are added to the management package.
  • the method can also be instantiated for a list of terminals, independently or not of the applications used by these terminals.
  • a piece of data in a message for example an IP address or else a field relating to the Quality of Service, can also be used to decide whether or not to add the message to the management packet, in correlation with the application and / or the terminal supporting the application or not.
  • the different aspects of the discrimination method which have just been described can be implemented independently of one another or in combination with one another.
  • the invention also relates to a method of processing an attribute relating to a first message relating to a first application, said first message being sent by terminal equipment to a data server, the method being implemented by a device. conveying the first message and able to apply processing to an attribute relating to the first message, comprising
  • the processing method makes it possible to be able to apply processing to a packet potentially grouping together several messages for which processing must be carried out.
  • the method thus makes it possible to apply processing on the basis of information present, for example, in the header of a packet.
  • the device through which the packets pass can nevertheless apply a processing relating to the quality of service, to the counting of certain messages among the set of messages passing through the device on the basis of a parameter for marking a packet grouping together the messages concerned by the processing to be applied.
  • the processing includes counting at least one piece of data relating to the application from the processed attribute.
  • the packets can be sent by applications whose flows are billed to separate entities, modifying a marking parameter of a packet comprising messages relating to applications allows these packets to be billed to a specific entity.
  • the marked packets include messages to be billed to a vehicle manager and are easily identifiable in order to be counted by an intermediate device.
  • the processing method further comprises receiving and applying processing relating to a second message relating to the first application, from an attribute included in a second packet of information having a marking applied, said second information packet being received from the data server and destined for the terminal.
  • the processing method can advantageously be implemented for the packets sent by the terminal equipment and by the data server. For example, in the case of counting packets for billing or to apply a specific processing to the packets, it may be necessary to apply the processing to the bidirectional flows of the packets, sent by the terminal equipment to the server or to the server. data server for terminal equipment.
  • the invention also relates to a device for discriminating a first message relating to a first application from among a set of messages relating to a plurality of applications, sent by terminal equipment to a data server via a routing device, capable of applying processing to an attribute relating to the first message, said device comprising:
  • a transmitter capable of transmitting the information packet comprising the marking applied to the data server.
  • This device capable of implementing the discrimination method which has just been described in all of its embodiments, is intended to be implemented in a device of a communication network such as access equipment. 'a local network, such as a home gateway, a terminal or a piece of equipment such as a router.
  • the invention also relates to a device for processing an attribute relating to a first message relating to a first application, said first message being sent by terminal equipment to a data server, capable of applying processing to a relative attribute. at the first message, including
  • a detector capable of detecting an information packet comprising the attribute added by the terminal equipment, according to a marking applied to the information packet received
  • This device capable of implementing the processing method which has just been described in all its embodiments, is intended to be implemented in a device of a communication network such as a router, a windscreen. fire, a flow inspection equipment (in English Deep Packet Inspection), or even a data server.
  • the invention further relates to a system for processing an attribute relating to a first message relating to a first application, said first message being sent by terminal equipment to a data server, comprising at least one discrimination device, and at least one processing device.
  • the invention also relates to computer programs comprising instructions for implementing the steps of the respective discrimination and processing methods which have just been described, when these programs are both executed by a processor. and a recording medium readable respectively by a discrimination and processing device on which the computer programs are recorded.
  • the invention further improves the situation by means of a method for capturing a packet of an encrypted session established between a terminal equipment and a data server, said packet comprising data for determining a key. security used for the encryption of the packet, the method being implemented by a device routing the packet between the terminal equipment and the data server and comprising:
  • said cooperation packet comprising the determination datum corresponding to a security key used for the encryption of packets sent by the terminal equipment to the data server prior to sending by the terminal equipment of said cooperation packet,
  • the method thus allows that among all the packets sent by the device, the terminal equipment can insert a cooperation packet and to be indicated by a determination datum present in the packet, for example one or more bits set to a certain value. identifiable by the device typically in the header of the packet, that this packet is a cooperation packet to be decrypted with a key which is determined by the determination datum of a certain value.
  • the method thus advantageously makes it possible to implement a collaboration between the terminal equipment and the device conveying the data to allow the device to apply processing to cooperation data transmitted by the terminal equipment.
  • the method also makes it possible to be able to reuse a security key, which is no longer used for transporting data between the terminal equipment and the data server, for collaboration between the terminal equipment and the device.
  • the device can be a router, a firewall device or any other device ensuring processing of the session data.
  • the data server can implement the actions described for the device.
  • the data server receives the cooperation packet and processes it using the security key corresponding to the determination datum.
  • Encryption and decryption includes all the data protection modes that can be used to ensure the confidentiality of the exchanged packets and in particular quantum or homographic security techniques in particular.
  • the determination datum is a phase binary element indicating a change of key to be used by the terminal and the data server for the encryption and decryption of packets exchanged between the terminal equipment and the server. of data.
  • phase bit is for example used in protocols so that one end of the session indicates at the other end a change of the security key. for the data subsequently exchanged.
  • the data server will decrypt the data. received with the key corresponding to bit 1, corresponding to a phase change.
  • the key corresponding to bit 0 is no longer used for the encryption and decryption of the data exchanged between the terminal equipment and the data server and can be used for the encryption of the cooperation packet transmitted to the device by the device. terminal equipment, in accordance with the phase bit.
  • the cooperation packet is a packet of a secure data multiplexing protocol, such as the QUIC protocol, and the identification of the cooperation packet is carried out on the basis of one or more of the parameters following:
  • Terminal equipment can transmit different information to the device, possibly by encrypting the different information with the security key associated with the value of the determining bit.
  • the use of a connection identifier negotiated beforehand between the terminal equipment and the device, for example during the exchange of an encryption / decryption key or by an exchange of specific messages is advantageous. This in fact allows only the two pieces of equipment, namely the terminal equipment and the device, to have knowledge of this information.
  • the use of the spinbit bit and / or the RR bits of the QUIC packet can replace the connection identifier used or even supplement it in order to enrich the signaling transmitted to the device and to explicitly indicate to it that it is of a cooperation package requiring processing by the device.
  • the identification of the cooperation packet follows the activation in the device of a detection of the packets whose determination datum has a value distinct from the datum for determining a plurality of packets. successive previously received from the terminal equipment.
  • the device can permanently activate the detection of the reception of cooperation packets or it can activate this detection based on an event, thus reducing the obligation for the device to use resources for the activation and the processing of the communication.
  • the activation can be implemented following the reception by the device of an activation message transmitted by the terminal equipment, thus indicating to the device that it will receive a cooperation packet within the following seconds.
  • Activation can also be implemented if the device successively receives several packets having the determination datum at a certain value, for example positioned at 1, thus indicating to the device that the encryption key corresponding to the value 0 is no longer used for the encryption of the data transmitted to the data server but can be used for sending a cooperation packet, making it possible to reuse an obsolete encryption key for the encryption of the data to the data server.
  • the reception of a packet with a value of 0 can indicate to the device that it is a cooperation packet.
  • the security key associated with the determination data is sent by the terminal equipment to the device after the end of the session between the terminal equipment and the data server.
  • the security key corresponding for example to a binary determination element is transmitted following the sending of the cooperation packet by the terminal equipment and after the end of the session between the terminal equipment and the server of data. This is to ensure that the security key cannot be used for any other purpose, for example to decrypt a data packet sent while the session is still established.
  • the device saves the cooperation packet and decrypts it using the key transmitted after the session is terminated using the encryption key transmitted by the terminal equipment after the session is closed.
  • the security key associated with the determination datum was used for securing an exchange of packets from a previous session between the terminal equipment and the data server.
  • Some protocols such as QUIC or TLS, provide for a periodic change of the encryption keys used to encrypt the data exchanged during sessions.
  • the terminal equipment and the data server thus derive for example an encryption key for new exchanges on the basis of a key previously used for exchanges from a previous session.
  • the key used for the exchanges of a previous session is thus no longer used to derive keys for subsequent exchanges of data and can be advantageously used for the encryption and the sending of the cooperation packet transmitted by the terminal equipment to destination of the device.
  • the security key associated with the determination datum is a key negotiated between the terminal equipment and the data server during a session initialization step.
  • a security key also called "secret cooperation” can be negotiated by the terminal equipment and the data server. This is particularly the case when no session between the terminal equipment and the data server existed before this session establishment.
  • This security key (which can be a secret cooperation) can be advantageously used for the encryption and decryption of the cooperation packet.
  • the cooperation packet is removed from the plurality of packets during the routing of said plurality to the data server.
  • the cooperation packet is removed from a plurality of packets sent by the terminal equipment in the session established with the data server.
  • the cooperation packet intended for the device is of no interest to the data server. Its removal can furthermore prevent a malfunction of the data server which is not supposed to receive a packet comprising a determination bit corresponding to an encryption key which is normally no longer used for the encryption of the packets between the terminal equipment. and the data server.
  • the capture method further comprises the analysis, the identification of a cooperation packet and the decryption of the packet of. cooperation as defined above, among packets sent by the data server to the terminal equipment.
  • the device can apply a processing, for example a counting operation, for the packets received from the terminal equipment but also from the data server. data.
  • a processing for example a counting operation
  • the method implemented will be identical to the method applied for the packets received from the terminal equipment and the device may also not remove the cooperation packet from the packets sent to the data server so that the latter takes into account the existence of the cooperation packet for itself to position a binary element of the cooperation packet sent to the device.
  • the invention also relates to a method of counting data relating to an application sent by a terminal equipment to a data server via a device, using an encrypted session between the terminal equipment and the device. server, the method being implemented by the terminal equipment and comprising
  • the counting method implemented by the terminal equipment allows the device to have information on the volume of data exchanged, in a unidirectional or bidirectional link between the terminal equipment and the data server, for a given application. This process thus makes it possible to remedy the problem accessing the encrypted packet data by the device.
  • This method thus enables the user to transmit to the device in a secure manner, possibly by reusing a security key previously used for the packets of the session, counting information via an incremented counter for each packet relating to a given application.
  • the device can then apply processing, such as billing, to the entities in charge of paying for the packets of the respective applications transmitted and possibly received by the terminal equipment.
  • the counting method further comprises sending to the device a security key corresponding to the data for determining the cooperation packet.
  • the terminal equipment can transmit this key, for example once the session between the terminal equipment and the data server completed, so that the device can effectively access the contents of the cooperation packet.
  • the counting method further comprises the prior sending of an activation message for the capture method by the device to the data server.
  • the terminal equipment may transmit to the data server a message for activating the capture process, thus indicating to the data server that it is likely to receive a packet comprising a binary element corresponding to a security key which is no longer used.
  • This activation message may also indicate to the data server that it itself activates the counting method corresponding to the marking method implemented by the terminal equipment for the packets that it sends to the equipment. terminal.
  • the invention further relates to a device for capturing a packet of an encrypted session established between a terminal equipment item and a data server, said packet comprising data for determining a security key used for the. packet encryption, comprising:
  • an analyzer capable of analyzing a plurality of packets sent by the terminal equipment and intended for the server
  • an identification module able to identify a cooperation packet from among the plurality of analyzed packets, said cooperation packet comprising the determination datum corresponding to a security key used for the encryption of packets sent by the terminal equipment to the destination the data server prior to the sending by the terminal equipment of said cooperation packet,
  • a decryption module capable of decrypting the cooperation packet received using a security key corresponding to the data for determining the cooperation packet identified.
  • This device capable of implementing the capture method which has just been described in all of its embodiments, is intended to be implemented in a device of a communication network such as a router, a windscreen. fire, a flow inspection equipment (in English Deep Packet Inspection), or even a data server.
  • the invention further relates to a device for counting data relating to an application sent by a terminal equipment to a data server via a device, using an encrypted session between the terminal equipment and the server, including
  • a transmitter capable of transmitting a plurality of packets each comprising a data item for determining a security key used for the encryption of the packet
  • a computer capable of incrementing a counter of the data relating to the application, and capable of adding the incremented counter in a cooperation packet comprising the determination datum corresponding to a security key used for the encryption of the packets of the plurality exchanged between the terminal equipment and the data server prior to sending said cooperation packet,
  • a sender able to send the cooperation packet comprising the added counter to the data server.
  • This device capable of implementing the counting method which has just been described in all of its embodiments, is intended to be implemented in a device of a communication network such as access equipment. 'a local network, such as a home gateway, a terminal or a piece of equipment such as a router.
  • the invention further relates to a system for counting data relating to an application sent by a terminal equipment to a data server via a device, using an encrypted session between the terminal equipment and the server comprising at least one capture device and at least one counting device.
  • the invention also relates to computer programs comprising instructions for implementing the steps of the respective capture and counting methods which have just been described, when these programs are both executed by a processor. and a recording medium readable respectively by a capture and counting device on which the computer programs are recorded.
  • the programs mentioned above can use any programming language, and be in the form of source code, object code, or code intermediate between source code and object code, such as in a partially compiled form, or in n any other desirable shape.
  • a medium may include a storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or else a magnetic recording means.
  • a storage means such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or else a magnetic recording means.
  • Such a storage means can for example be a hard disk, a flash memory, etc.
  • an information medium can be a transmissible medium such as an electrical or optical signal, which can be conveyed via an electrical or optical cable, by radio or by other means.
  • a program according to the invention can in particular be downloaded from an Internet type network.
  • an information medium can be an integrated circuit in which a program is incorporated, the circuit being adapted to execute or to be used in the execution of the methods in question.
  • FIG. 1 presents an implementation of the discrimination method according to a first aspect of the invention
  • FIG. 2 shows an implementation of the method for capturing a packet according to one embodiment of the invention
  • FIG 3 shows an implementation of the discrimination method according to one embodiment of the invention
  • FIG 4 shows an implementation of the discrimination method according to another embodiment of the invention
  • FIG 5 shows an implementation of the counting method according to one embodiment of the invention
  • FIG 6 shows an implementation of the counting method according to another embodiment of the invention
  • FIG 7 shows a discrimination device according to one embodiment of the invention.
  • FIG 8 shows a treatment device according to one embodiment of the invention.
  • FIG 9 shows a capture device according to one embodiment of the invention.
  • FIG 10 shows a counting device according to one embodiment of the invention.
  • This infrastructure can be implemented to route communications data to fixed or mobile terminals and the infrastructure, deployed from specific equipment or virtualized functions, may be intended to route and process data from residential or mobile customers. business.
  • terminal equipment 30 transmits several messages F1, F2, F3 to a data server 20. These messages F1, F2, F3 are routed in a network 100 comprising in particular an access equipment 40 and a device 50 conveying the messages exchanged between the terminal equipment 30 and the data server 20.
  • the messages F1, F2, F3 transmitted by the terminal equipment 20 can be sent by the terminal equipment 30 or else sent by another terminal, such as the terminal 60, and routed by the terminal equipment 30 to the server 20 of data via the access equipment 40 ensuring the connection of the terminal equipment 30 to the network 100 and the device 50.
  • the terminal equipment 30 is equipment of the TCU type of a vehicle 10 transmitting the messages F1 and F2 and the terminal 60 is for example a smartphone of an occupant of the vehicle transmitting the messages F3.
  • the different messages F1, F2, F3 may require special processing by the device 50 and therefore the possibility of being able to discriminate between the different messages. For example, knowing that the transmission of messages F1, F2, F3 can be billed to separate entities, it is necessary to be able to effectively count the number of messages F1 and / or F2 and / or F3. Except, according to the techniques of the prior art, it may be difficult for the device 50 to access the content of the messages F1, F2, F3 because they can in particular be encrypted.
  • the F3 messages relating to an application used by the occupant are integrated into an information packet and sent by the TCU 30 to the server. of data.
  • the terminal equipment applies a marking, for example by modifying information elements of the unencrypted header of the packet, so that the device 40 can easily read it. 'identify and process among the various messages F1, F2, F3 that it must convey.
  • the added message F3 can correspond to the data of the application or else to data specific to the processing by the device 50.
  • the message F3 can correspond to the volume of data exchanged between the terminal 60 and the data server 20.
  • the terminal equipment 30, which can effectively intervene on the messages that it sends itself or on behalf of terminals such as the terminal 60, collaborates with the device by sending it information packets that can be processed by the device 50.
  • the access equipment 40 can also play the role of the device 50 and the terminal equipment 30 can also be a residential gateway, also called a box, or else a device of the smartphone type.
  • the information packet comprising the F3 messages can further be encrypted using an encryption key and the device 50 can then decrypt the information packet received from the terminal equipment 30 using a decryption key corresponding to the encryption key used for the encryption.
  • the terminal equipment 30 can include in the information packet the messages relating to the two applications, for example by differentiating between the different messages by tagging applied to the package.
  • the marking may include a marking specific to an application. For example, if F4 messages not shown in [Fig. 1] are sent by the terminal 60 to the data server 20, the terminal equipment can insert the messages F3 and F4 in an information packet that the device 50 can process in accordance with the marking applied by the user equipment 30.
  • FIG 2 an implementation of a method for capturing a packet according to an embodiment of the invention is presented.
  • the entities 10, 20, 30, 40, 50 shown in this [Fig 2] are identical to the entities 10, 20, 30, 40, 50 shown in [Fig 1].
  • three applications Appl, App2, App3 are represented. These applications Appl, App2, App3 can be used or activated on the terminal equipment 30 or on a terminal, such as the terminal 60 shown in [Fig 1].
  • the device 50 like the access equipment 40, routes the packets relating to the applications Appl, App2, App3 sent by the terminal equipment 30 to the data server 20 as well as the packets sent by the data server 20 to the device. terminal equipment 30.
  • An encrypted session is established between terminal equipment 30 and the data server 20 for routing the packets.
  • One or more encrypted sessions for example one per application Appl, App2 and App3 or one session for all the applications Appl, App2 and App3 can be implemented.
  • the packets exchanged between the terminal equipment 30 and the data server 20 include data for determining a security key used for the encryption of the packets. For example, it can be one or more bits allowing the terminal equipment 30 and the data server 20 to agree on the security key to be used for the encryption and decryption of the data and to indicating the key or a change of key by information supplied by a determination datum, for example present in the unencrypted header of the packet.
  • the device 50 routing the various packets exchanged between the terminal equipment 30 and the data server 20, analyzes these packets and more particularly analyzes the data for determining the keys of the packets.
  • a series of packets relating to the application Appl are encrypted with an encryption key, for example a private key, and the determination data item corresponding to this key has a value v1.
  • the device 50 analyzing these data and verifying that the value of the data is unchanged, transmits these packets to the data server. Then, the device receives a packet having a determination data having a value v0 which had been used for the exchange of packets from a previous connection in the session or for sending packets during a previous protection phase for the same connection.
  • This determination data value v0 is no longer supposed to be used for the exchanges of packets between the terminal equipment 30 and the data server since all the packets include the value v1 as determination data.
  • the device 50 determines that it is a cooperation packet, comprising data intended for it, and decrypts the content of the packet with a decryption key corresponding to the value v0, this key no longer being used for the exchange of data between the terminal equipment 30 and the data server 20.
  • an encryption key previously used for the exchange of packets between the terminal equipment 30 and the data server 20 can be reused to transmit information to the device 50 in a packet encrypted with the reused key.
  • the security key associated with the determination datum whose value is v0 can be supplied to the device 50 prior to the sending of the cooperation packet or subsequently, the device 50 being able to store the cooperation packet in order to decrypt it once the key has been received.
  • the user equipment can thus implement a counting method making it possible to inform the device 50 on the number of packets or the volume of data or information on a session duration in a cooperation packet comprising an incremented counter for each packet.
  • the counter possibly corresponding to the number of transmitted packets, to an incremented data volume for each transmitted packet, or to an incremented duration as soon as a new packet is transmitted.
  • the device 50 can thus use the information from the counter included in the cooperation packet decrypted using the key corresponding to the data for determining the cooperation packet.
  • the terminal equipment 30 is a access equipment of a local network, such as a residential gateway or access equipment of a vehicular network such as a TCU.
  • the terminal equipment 30 attaches and connects to the access equipment 40. It is considered that a session is established between the terminal equipment 30 and the data server 20.
  • the session can be established by a secure connection between the terminal equipment 30 and the data server 20.
  • the smartphone 60 sends a message relating to an application Appl, for example a network game, and intended for the data server 20 intended for the terminal equipment 30 and the latter transmits this message to the server 20 data during a step 301.
  • the terminal equipment 30 transmits a message relating to an application App2, for example for managing the vehicle 10, to the data server 20.
  • the 2 messages require differentiated treatment from the routing device 50, the message relating to the application App2 having to be saved by the device 50, in particular in the event of an audit for insurance purposes.
  • the access equipment 40 and the device 50 route the various messages sent during steps 301 and 302 to the data server 20.
  • the terminal equipment 30 holds a list of applications for which a particular action must be taken.
  • the terminal equipment 30 identifies the messages as a function of the terminal sending these messages or even as a function of information. , for example relating to the quality of service, in the message itself. According to this example, the terminal equipment must copy an attribute relating to the message in an information packet intended for the device 50.
  • the terminal equipment 30 selects a message from among the set of messages to be transmitted to the data server 20 as a function of a criterion. For example, the terminal equipment can compare the application concerned by the message sent. According to the example, the messages relating to the application App2 must give rise to specific processing by the device 50. According to another example, the terminal equipment 30 can transmit to the device 50 attributes relating to messages sent by a terminal. in particular, for example from the terminal 60. According to yet another example, the terminal equipment 30 can transmit attributes relating to messages comprising specific routing, protocol or even quality of service information. security.
  • all the messages requiring a specific routing quality may give rise to the provision of an attribute relating to the instant when the terminal equipment 30 sent the messages so that the device 50 can verify that the messages concerned have indeed. been routed while respecting the quality of service criterion indicated in the messages, or that their temporal distribution corresponds to the type of application expected (using a Shallow packet Inspection technique).
  • the terminal equipment 30 adds the message, according to an example, in an information packet.
  • Several distinct message attributes may be grouped together in the information packet to limit the number of information packets transmitted.
  • the attribute relating to the message, which has been added can correspond to part of the message sent or else to one or more information relating to the application App2 such as: the number of messages, the duration of the session between the terminal equipment 30 and the data server 20 for the application App2, the identifier of the terminal having sent the messages relating to the application App2.
  • the information packet can include message attributes specific to a single application, for example if the information packet only includes attributes relating to the application App2. But in the case where the same processing must be applied to messages of different applications, it may be advantageous to group together message attributes relating to separate applications but requiring identical processing by the device in the same information packet. For example, if the processing consists of counting the packets sent and relating to two applications App4 and App5, billed to the same entity, attributes such as message counters relating to the applications App4 and App5 could be transmitted in an information packet. .
  • the terminal equipment 30 then applies, during a step 305, a marking of the information packet, for example by positioning certain binary elements of the information packet at a defined value.
  • the information packet may be a packet of a secure stream multiplexing protocol.
  • This type of protocol offering integrated security and the possibility of multiplexing several streams, is particularly interesting. Indeed, in the case where the terminal equipment 30 wishes to transmit several information packets, each packet grouping together message attributes requiring a specific processing, it is then possible to transmit the information packets in a secure manner and by multiplexing the various information packets within a single connection between the terminal equipment 30 and the device 50.
  • the protocol secure stream multiplexing can be the QUIC protocol or even the HTTP2 or HTTP3 protocol.
  • the QUIC protocol has the particular advantage of comprising the Spin-Bit and Reserved Bits which can be used to apply a marking to the information packet.
  • Binary elements of other secure stream multiplexing protocols such as the Spin-Bit or the Reserved Bits of the QUIC protocol, can be used indifferently to apply a marking to the information packet.
  • the terminal equipment 30 sends the information packet comprising one or more attributes of the messages relating to the application App2.
  • the information packet comprises the messages sent by the terminal equipment 30 for a duration of 300 seconds.
  • This information packet transmitted using the QUIC protocol further comprises the Spin-Bit and Reserved Bits positioned at 1.
  • the marking information makes it possible to differentiate the information packet received from other packets, indicates to the device 50 that it is an information packet and that processing must be applied to the information packet using the message attributes present in the information packet received during step 306.
  • the device 50 transmits to a backup entity 70, a message comprising the attributes of messages received during step 307 and thus making it possible to keep a history of the messages relating to the application App2 transmitted by the terminal equipment 30.
  • the information packet is transmitted to the data server 20 during a step 309. This can in particular be the case when the processing by the device 50 consists in duplicating the information packet received so that the sequen The delivery of packets received by the data server 20 is not distorted or misled by the removal of a packet from a session between the terminal equipment 30 and the data server 20.
  • the processing can consist in counting the number of messages transmitted for an application.
  • the attribute could be a number of messages or a data volume of the messages sent.
  • the device 50 can also apply processing to the messages relating to the application App2 transmitted by the data server 20 to the terminal equipment 30.
  • the server 20 data sends messages relating to the application App2 to the terminal equipment 30.
  • Steps 311 to 317 are equivalent to steps 303 to 309 described previously except that the data server 20 performs the operations of the data server. terminal equipment 30 and reciprocally, terminal equipment 30 performs the operations performed by the data server 20.
  • the access equipment 40 can also perform some or all of the operations performed by the device 50 in addition or not to the operations performed by the device 50.
  • the discrimination method and the corresponding processing method activate a QFLOW_A extension of QUIC which forces the exchanges of QUIC packets in "flow management" mode for only the QUIC packets to be counted as being traffic to be billed to the owner of the SIM card of the device.
  • TCU module (terminal equipment) of a car grouping of QUIC messages to be counted in marked QUIC packets.
  • the QFLOW_A extension modifies the use of the spinbit field to mark QUIC packets to be counted by the device.
  • the activation of the QFLOW_A extension creates in the server a flow table used to implement the "flow management" method for the packets sent by the server.
  • the vehicle manufacturer typically develops the process in OEM (in English Original Equipment Manufacturer) in the dashboard tablet so that the OS (in English Operating System), the Web browser or the applications group together the QUIC messages of the flows to be counted.
  • OEM in English Original Equipment Manufacturer
  • OS in English Operating System
  • QUIC packets marked so that a device, for example managed by a mobile operator, identifies them and records them in the case where the processing consists of posting the messages of the flows concerned.
  • the QFLOW_A method is described in “flow management” mode: the criterion for grouping together the messages in marked packets is the identifier of the application which generated the messages in marked packets.
  • another message grouping criterion can be the grouping of QUIC control messages in order to be able to invoice only the "useful" data messages (i.e. - say not including DNS type control data for example) to the end customer.
  • Other processing may consist of controlling the signaling for security purposes or of routing the control messages more quickly through a device such as a proxy.
  • a typical use of the method is the storage of signaling to perform subsequent inspection of messages stored and transmitted in QUIC packets.
  • the method is applicable in a mode without visible markings from the outside of the package.
  • a typical use of this mode is the acceleration of the signaling in "reverse proxy" type devices where the routing of the signaling to a DPI type inspection function (telemetry, problem analysis, security ).
  • the discrimination process can include different modes that can be combined such as for example:
  • QFLOW_A mode Only messages sent by the TCU client (terminal equipment) are added to a QUIC packet which is marked, so only the data sent are counted as traffic invoiced by the manufacturer.
  • QFLOW_B mode A QUIC extension indicates in the transport parameter named “spinbit” that the packet must be counted. This is sufficient to account for the volume paid by the manufacturer (which should not be billed to the owner of the car).
  • a QUIC extension indicates in a transport parameter such as the spinbit and the 2 bits RR of the QUIC protocol are used to describe the identifier of an application. Thus, 3 bits make it possible to distinguish 8 different applications (for example waze, gmap, ...) or another grouping criterion (terminal identifier, QoS criterion, etc.).
  • Step A creation of the QUIC connection between the TCU module (terminal equipment) and the server (data server) without explicit activation of the QFLOW_A extension: the server deduces from this as well as the spinbit of the QUIC protocol is used for the mode.
  • QFLOW_A creation of the QUIC connection between the TCU module (terminal equipment) and the server (data server) without explicit activation of the QFLOW_A extension: the server deduces from this as well as the spinbit of the QUIC protocol is used for the mode.
  • the TCU module knows (for example thanks to an application table to be billed) that these messages are to be recorded.
  • the TCU module therefore receives data which must be counted by the device. It creates a QUIC package which will group together the data to be counted by the device. It can structure this data by application in the case where the QUIC packet includes data from several distinct applications.
  • Step B The TCU module (and more precisely the module's QUIC stack) receives data (messages) to be counted and added to a QUIC Stream management packet.
  • the QUIC stack can include the received message or only part of the message, such as source and destination addresses, protocol type.
  • the TCU module receives messages relating to the App Serv 4 application which are not to be counted by the device.
  • An untagged QUIC message (Norm QUIC) is created and will route these messages to the server, recipient of these data.
  • Step C and step E: The QUIC stack receives data (or messages) and processes them to include them in the QUIC packet created during the CO step. It sends the “untagged” QUIC packet to the server.
  • Step D The server receives "untagged" QUIC packets, ie with a SpinBit value of 0. Note that the device does not apply any processing to these so-called untagged packets.
  • Step E Another terminal sends messages relating to the App Serv 3 application. These messages are to be entered as indicated in step BO.
  • the TCI module sends the QUIC Stream packet to the server.
  • the device identifies the QUIC Stream packet at G using the Spinbit bit marked at 1 and applies the processing. In this case, the device records and adds the volume of data corresponding to the App Serv 3 application using the information transmitted in the Stream packet, i.e. the attribute relating to the App Serv 3 application.
  • Step F The server's QUIC stack receives a QUIC Stream packet and processes the packet's messages.
  • Step G The device routes QUIC packets sent by the server to the terminals attached to the TCU module or specifically to the TCU module but does not apply any processing because this is QFLOW_A mode.
  • the QUIC packets sent by the server are processed in accordance with the processing applied to the packets sent by the TCU module.
  • step B above is modified so that the TCU module tells the server to activate QFLOW_B mode thus informing that the Spinbit bit is used to identify the message transport to be counted in QUIC packets.
  • steps F and G are further modified as follows:
  • Step F When the server receives a QUIC packet with the spinbit at 1, it extracts the QUIC messages (in this embodiment, the messages are themselves QUIC packets) from the packet and stores a list of identifiers associated with the messages. in a flow table. Then it processes each frame: o Saving the identifiers; o Processing of each QUIC Stream packet; o Responses to each QUIC Stream packet; o Addition of response messages (or attributes relating to response messages) to messages received in a QUIC Stream packet;
  • Step G Sending the QUIC Stream packet to the TCU module (indicating the address of the terminals that generated the App Serv 3 messages)
  • Step Gbis The Device identifies the QUIC Stream packet received from the server and applies the message counting processing based on the messages or attributes present in the QUIC message.
  • the QFLOW_C mode is distinguished from the two modes above by a different identification of the Stream packets.
  • the processing applied can be distinguished according to the identification of the Stream packet received. For example, the treatment can be applied depending on the application, depending on the entity in charge of paying for the messages, depending on the terminal sending the messages or a combination of these criteria:
  • the counting is performed according to the entity in charge of paying for the messages.
  • Message attributes are grouped into QUIC packets used to bill a particular entity.
  • the bits correspond to a billing entity for the messages:
  • the count is managed by category of applications.
  • the 3 spinbit and RR bits of the QUIC header indicate the category of the packet, i.e. a set of applications whose messages are to be grouped and marked so that they are then processed by the device. Below is an example:
  • the entities 10, 20, 30, 40, 50, 60 and 100 are equivalent to the entities having the same titles in [Fig 1], [Fig 2] and [Fig 3].
  • the terminal equipment 30 attaches and connects to the access equipment 40. It is considered that an encrypted session is established between the terminal equipment 30 and the data server 20.
  • a decryption key for example a public key, corresponding to the encryption key.
  • the packets transmitted by the data server 20 to the terminal equipment 30 are encrypted and then decrypted.
  • the terminal 60 transmits packets relating to an application App4 to the terminal equipment 30 so that the latter transmits them during a step 402 to the data server 20 with which the terminal has established a session.
  • the application App4 is a web access application.
  • the packets transmitted during step 402 are encrypted using a security key.
  • the packets sent further include a determination datum informing the data server 20 about the security key actually used for the encryption of the packets.
  • the determination datum corresponds to the values of one or more binary elements of the header of the packets such as for example a phase binary element as defined for example in the TLS and QUIC protocols making it possible to indicate a change of key to the data server, the new key being calculated from an algorithm and the key previously used for the exchange of packets.
  • the packets are successively exchanged with different keys, the change of key being indicated by a change of phase.
  • the determination datum can therefore correspond to the phase change bit or even to a phase change bit and additional bits to allow an enrichment of the information relating to the key used by the terminal equipment for the transmission of the packets to the data server 20.
  • the terminal equipment 30 sends packets relating to an application App6 intended for the data server 20.
  • the application App6 is a security application making it possible to determine the positioning of the vehicle 10 when it is moving and to be able to organize help in the event of a problem such as a breakdown of the vehicle or an accident.
  • the counting of the packets relating to a video streaming application App5 must be carried out by the terminal equipment 30 so that the data relating to the video streaming service used by the terminal 60 is effectively billed to the user of said service and not to the owner of the vehicle 10 for example.
  • This activation can be static, that is to say that a list of applications for which the counting must be carried out is maintained by the terminal equipment 30.
  • This activation can also be dynamic, for example following the reception of a request transmitted by an application or terminal equipment administration platform 30.
  • the terminal equipment sends to the device 50 a message for activating a method for capturing packets allowing the device to position itself in listening mode to identify cooperation packets transmitted by the terminal equipment 30, so that the counting of the packets can be operated.
  • the terminal equipment can also indicate a connection identifier used which will be added to the cooperation packet and which the device can effectively identify. Thus among all the packets that the device 50 routes, it will be able to identify the cooperation packets. It should be noted that this connection identifier can be transmitted specifically to the device 50 if, for example, no activation message is transmitted.
  • the activation message can, according to another alternative, also include the decryption key which will have to be used by the device 50 to decrypt the cooperation packet, possibly in accordance with the connection identifier included in the message.
  • This activation message can itself be encrypted using a key initially supplied to the device 50 in a message not shown in [FIG. 5].
  • the terminal equipment sends to the data server 20 a message for activating the capture method implemented by the device 50.
  • the purpose of this message is to inform 'on the one hand the data server 20 that the keys initially used for the encryption of packets between the terminal equipment 30 and the data server 20 can be used for other purposes, for the encryption of cooperation packets.
  • the purpose of this activation message is also to indicate to the data server 20 to implement the counting method such that the packets exchanged in a bidirectional session between the terminal equipment 30 and the data server 20 are counted. for example to then be billed to the owner of terminal 60.
  • the terminal 60 sends a request for access to a video streaming service to the data server 20 via the terminal equipment 20 ensuring the connection of the terminal 60 to the network 100.
  • the terminal equipment 30 initializes a counter for the packets received from the terminal 60 and relating to the application App5.
  • the terminal equipment increments the counter with the number of packets received from the terminal 60.
  • the counter can include the number of packets or even the volume of data corresponding to the packets received.
  • the counter uses the Mbits as a unit of the counter.
  • the terminal equipment 30 initializes a counter per terminal and increments the counter for the packets sent by the corresponding terminal or else uses a counter for the application App5 independently of the terminal sending the packets.
  • the counter is incremented as a function of the packets received from a terminal for a set of applications. Thus all the packets received from the terminal 60 can be counted.
  • the packets relating to the application App4 and App5 are counted by the terminal equipment 30.
  • the terminal 60 transmits new packets relating to the application App5 and the terminal equipment 30 increments the counter initialized during step 407.
  • the terminal equipment 30 adds the incremented counter in a cooperation packet. This addition can occur after a period of time has elapsed following initialization of the counter, once the counter reaches a certain volume of data or packets, or after receiving a message from a management server.
  • the terminal equipment 30 further determines a determination datum to be added to the cooperation packet. According to one example, this determination datum corresponds to an encryption key previously used by the terminal equipment 30 to send data to the data server 20.
  • the determination datum can be the determination datum used for sending packets during steps 402 and / or 403, in particular if this datum is no longer used for sending packets during steps 406 and 409. for example.
  • the cooperation packet comprises a connection identifier, such as possibly indicated in the activation message during step 405.
  • the connection identifier comprises binary elements of a protocol, in particular a secure data multiplexing protocol.
  • This connection identifier can, according to one example, comprise the Spin-Bit and Reserved Bits of the QUIC protocol or equivalent bits of the HTTP2 or HTTP3 protocols.
  • the connection identifier can, according to another alternative, include the data of determination of the packet.
  • the device identifies the cooperation packet from the determination datum as indicated below.
  • the terminal equipment transmits the cooperation packet to the data server 20 via the device 50.
  • the data packet cooperation comprises the data for determining the encryption key used for the encryption of the cooperation packet as well as the incremented counter and possibly a connection identifier used by the device 50 to identify the cooperation packet from among the set of packets received.
  • the device 50 if it has received the activation message during step 404 or else by default when it receives packets, carries out an analysis of the packets received from the terminal equipment 30. This analysis can relate to the comparison of connection identifier values and / or of data for determining the packets received.
  • the device 50 receives the cooperation packet and identifies it using the connection identifier, if this is present in the packet, and / or the data for determining the encryption key used. In the latter case, knowing that the packets received previously no longer include this determination datum, the reception of a packet comprising a determination datum distinct from the packets to be routed in a given time interval indicates to the device 50 that it is is a cooperation package.
  • the device 50 when the device 50 no longer receives during a time interval of packets with a value v0 as determination data and it starts to receive packets having a value v1, it can initialize a timer and if it receives again a packet with a value v0 as determination data after a certain delay after initialization of the timer, it is probable that the packet is an information packet.
  • this determination datum corresponds to an encryption key newly used for the exchange of packets between the terminal equipment 30 and the data server 20
  • the device 50 will not be able to decrypt this packet which will have been falsely identified as a cooperation packet since it does not hold the key to decrypt such a packet.
  • the encryption / decryption key associated with the data for determining the information packet could, according to one example, be used during a previous session between the terminal equipment 30 and the data server.
  • a session context can be maintained between the terminal equipment 30 (or a terminal connected to it) and the data server 20 and when a new connection is established, the session context is reestablished for example by reuse of cookies and it is possible to reuse a key corresponding to a previous connection of the same session of which the context is maintained.
  • the encryption key associated with the determination datum was used during the session initialization exchanges (in English Handshake) between the terminal equipment 30 and the data server 20.
  • the identification is also or solely based on the connection identifier, it is then appropriate for the device 50 to compare the value of the connection identifier with one or more identifier values corresponding to packets of. 'information.
  • the terminal equipment transmits during a step 413 a key making it possible to decrypt the packet information received.
  • This alternative makes it possible to avoid errors and the decryption of packets which are not information packets but whose determination data corresponds to a key actually used for the encryption / decryption of the data.
  • the device transmits the meter to a billing device 80 ensuring the conversion of the meter into billing information which will be transmitted to the user of the terminal 60, the meter possibly comprising information on the App5 application, the terminal having sent the packets or even time-stamping information for the packets relating to the App5 application.
  • the cooperation packet is removed from all the packets to be sent to the data server 20. Knowing that the information present in the information packet is intended to be processed by the device, the data server 20 has no reason to receive this packet which also contains a determination datum normally no longer used for the decryption of the data. packets received from terminal equipment 30.
  • the data server 20 implements the counting method as implemented by the terminal equipment 30 and is able to count the packets relating to the application App5, to initialize a counter of these packets and to add it to an information packet transmitted to the terminal equipment so that it is communicated to the device 50 following its identification by data of determination, possibly different from the data item used by the terminal equipment 30 and / or a connection identifier possibly also different from the connection identifier used for the information packets sent by the terminal equipment 30.
  • exchanges between the data server 20 and the device 50 may have taken place beforehand in accordance with step 404 described above.
  • the data server 20 transmits via the device 50, the access equipment 40 and the terminal equipment 30 packets relating to the application App5, to transmit the video content required by the terminal 60 during step 408.
  • the device 50 analyzing the packets received from the data server 20 identifies an information packet using the information described above, possibly storing it if it does not yet have the key making it possible to decrypt it and extract the meter therefrom in order to transmit it to the billing equipment 80 during a step 419.
  • the counting method implemented by the terminal equipment 30 and possibly by the data server 20 thus allows the device 50, in collaboration with the invoicing equipment 80, to be able to invoice the packets and therefore the data of the application. App5.
  • the use of such methods thus makes it possible to count the data relating to each application and to reuse the encryption / decryption keys which are no longer used for the transmission of the packets comprising the useful data of the applications, that is to say required. for access to audio, video and text content from the various applications.
  • the counting method and the corresponding capture method can be implemented according to several modes called RFLOW_A and RFFOW_B.
  • Fe mode RFFOW_A is a unidirectional mode which does not require modification in the server because the device withdraws the cooperation packets after reception of a signal from the terminal, or after the expiration of a delay or even when the reception of 'a data volume is reached.
  • Fe mode RFFOW_A thus defines a cooperation packet in an extension of the QUIC protocol which allows the exchange of data with the device (type of application, counters).
  • This cooperation packet is encrypted with a so-called 1-RTT key used during phase 0 (session initialization) of the QUIC protocol.
  • the terminal equipment sends the 1-RTT key of the phase 0 of QUIC at the moment it wishes during or after the end of the connection.
  • the device records all or part of the messages exchanged between the terminal equipment and the data server, in order to identify and decode the cooperation packets after receiving the cooperation key making it possible to decrypt the recorded cooperation packets.
  • RFLOW_B mode differs from RFLOW_A RFLOW_B mode in the following way.
  • the bidirectional RFLOW_B mode activates the extension (the counting process) on the server side by sending a Transport Parameter of QUIC COOP_MODE for example when establishing the session between the terminal equipment and the data server.
  • the server will not terminate the connection on an error when it receives 1-RTT messages after the transition phase. Indeed, if it does not activate the counting process, it could consider that the reception of packets encrypted with a key that is normally no longer used is an error.
  • the server can also send and receive cooperation packets.
  • FIG 6 describes an embodiment relating to the RFLOW_A mode.
  • a UA terminal equipment establishes a session with a data server (SRV) allowing the routing of messages (or packets) via a device (GW), for example managed by an operator of a communication network.
  • SRV data server
  • GW device
  • Step 0 Step (0)
  • the UA terminal and the GW device exchange ENC_KEY_UA encryption and DEC_KEY_UA decryption keys
  • Step A The device activates the method of capturing the packets received from the terminal equipment UA. It should be noted that this step can be carried out following receipt of a capture activation message by the UA.
  • Step B Handshake messages exchanged between the UA and the SRV. The messages use keys identified by a determination datum corresponding to a phase 0. This key is the future cooperation key. It is subsequently called the initial phase 0 key or again the reconnection phase 0 key even if it can be any type of key as described in step 0.
  • Step C Data packets relating to applications, for example sent by terminals connected to the UA and not shown in [Fig 6] are exchanged between the UA and the SRV.
  • the exchanged packets can include determination data corresponding to the current phase (0 in the example) or to a new phase (1 in the example).
  • Data packets can indeed be encrypted with a new encryption key.
  • Step D GW activates the RFLOW extension of the capture method after a delay of n ms without a packet comprising determination data corresponding to the phase assumed to be active (0 in the example), or after n consecutive packets comprising a determination datum corresponding to the new phase (1 in the example), which should no longer be used for the exchange of packets between the UA and the SRV following the change of the encryption key. From this moment, the packets of the previous phase (whose determination data corresponds to phase 0) are considered as cooperation packets and are captured, and removed from the stream of packets exchanged between the UA and the SRV by GW.
  • GW uses the standard QUIC reverse phase packet mark bit as the determination data.
  • phase determination datum
  • GW will then suspend the RFLOW extension as soon as a cooperation packet is detected that it cannot decipher. This packet will be sent to the SRV server and not stored by GW. Then it will activate the RFLOW extension after a delay of n ms without a previous phase packet at 1 or after n consecutive packets comprising a determination datum corresponding to the new phase (0 in the example). These packets from the previous phase (called cooperation) are captured and removed from the stream by GW.
  • Step E Exchange of unmarked data packets having a determination datum corresponding to a phase at 1
  • Step F Counting the messages (which can be packets or data of different types), and adding the counter in a cooperation packet. Setting to 0 of the phase (determination data) of the cooperation package. Sending of the cooperation package to the GW.
  • Step G Capture of the cooperation packet comprising the counter by identification of the phase at 0 used as determination datum. Note that the decryption key associated with the initial phase 0 can be sent by the UA to the GW, alternatively or in addition to the sending in step 0.
  • the GW does not remove cooperative packets from all packets routed by the GW between the AU and the SRV.
  • Cooperation packets having determination data corresponding to a cooperation packet are therefore received by the SRV.
  • the SRV server transmits data to the UA, whether or not in response to data packets received from the UA.
  • the SRV implements the counting method and the GW also captures the cooperation packets transmitted by the SRV to the UA by selecting the cooperation packets according to the value of the determination data present in the packets also received. from the SRV server.
  • the AU will also receive cooperation packets.
  • the reconnection of the session is carried out using the key used during the previous connection.
  • the corresponding counting and capture method recycles the 0-RTT key to mark the cooperation packets to be identified by the GW.
  • cooperation_secret QHKDF-Expand (master_secret, “coop s”, hash.length)
  • RFLOW_A and RFLOW_B modes can be combined in order to increase the levels of cooperation by creating several modes of identification of the cooperation packets by GW:
  • a spinbit S bit identifies the cooperation packets and the RR bits (RI, R2) distinguish several cooperation modes: o in the RFLOW_A mode, S at 1 indicates that the packet is a cooperation packet (use of the DEC_KEY_UA key for the decrypt) o Advanced options: the use of RI and R2 bits distinguish 4 types of cooperation packets:
  • ⁇ Read 00 to indicate a QUIC packet including a zone readable by GW;
  • ⁇ Delete 01 to indicate a QUIC packet readable by the gateway and to be removed by GW;
  • ⁇ Update 10 to indicate a QUIC packet modifiable in clear by GW (no encryption);
  • ⁇ Modif 11 to indicate an end-to-end QUIC packet open for cooperation in write mode
  • FIG. 7 an example of the structure of a discrimination device 500 according to one embodiment of the invention is presented.
  • the discrimination device 500 implements the discrimination method, various embodiments of which have just been described.
  • the discrimination device can be implemented in a device of a communication network such as terminal equipment, access equipment of a local network, such as a home gateway, a terminal or a device. router type equipment.
  • the device 500 comprises a processing unit 530, equipped for example with an mR microprocessor, and controlled by a computer program 510, stored in a memory 520 and implementing the discrimination method according to the invention.
  • a computer program 510 stored in a memory 520 and implementing the discrimination method according to the invention.
  • the code instructions of the computer program 510 are for example loaded into a RAM memory, before being executed by the processor of the processing unit 530.
  • Such a device 500 comprises:
  • a transmitter 503 capable of transmitting the information packet comprising the marking applied to a data server.
  • FIG. 8 an example of the structure of a treatment device according to one embodiment of the invention is presented.
  • the processing device 600 implements the processing method, of which various embodiments have just been described.
  • the processing device 600 can be implemented in a device of a communication network such as a router, a firewall, a flow inspection equipment (in English Deep Packet Inspection), or even a server. of data.
  • the device 600 comprises a processing unit 630, equipped for example with an mR microprocessor, and controlled by a computer program 610, stored in a memory 620 and implementing the processing method according to the invention.
  • a computer program 610 stored in a memory 620 and implementing the processing method according to the invention.
  • the code instructions of the computer program 610 are, for example, loaded into a RAM memory, before being executed by the processor of the processing unit 630.
  • Such a device 600 comprises:
  • a receiver 601 capable of receiving an information packet from terminal equipment.
  • a detector 602 capable of detecting an information packet comprising the attribute added by the terminal equipment, according to a marking applied to the information packet received,
  • processing module 603 able to process the attribute included in the received information packet.
  • FIG. 9 an example of the structure of a capture device 700 according to one embodiment of the invention is presented.
  • the capture device 700 implements the capture method, various embodiments of which have just been described.
  • the capture device 700 can be put into works in a device of a communication network such as a router, a firewall, a flow inspection equipment (in English Deep Packet Inspection), or even a data server.
  • the device 700 comprises a processing unit 730, equipped for example with an mR microprocessor, and controlled by a computer program 710, stored in a memory 720 and implementing the capture method according to the invention.
  • a computer program 710 stored in a memory 720 and implementing the capture method according to the invention.
  • the code instructions of the computer program 710 are, for example, loaded into a RAM memory, before being executed by the processor of the processing unit 730.
  • Such a device 700 comprises:
  • a receiver 704 capable of receiving a plurality of packets from terminal equipment
  • an analyzer 701 capable of analyzing a plurality of packets sent by terminal equipment and intended for the server
  • an identification module 702 able to identify a cooperation packet from among the plurality of analyzed packets, said cooperation packet comprising the determination datum corresponding to a security key used for the encryption of packets sent by the terminal equipment to destination of the data server prior to the sending by the terminal equipment of said cooperation packet,
  • decryption module 703 capable of decrypting the cooperation packet received using a security key corresponding to the data for determining the cooperation packet identified.
  • the counting device 800 implements the counting method, various embodiments of which have just been described.
  • the counting device 800 can be implemented in a device of a communication network such as terminal equipment or access equipment of a local network, such as a home gateway, or a terminal or equipment. router type.
  • the device 800 comprises a processing unit 830, equipped for example with an mR microprocessor, and controlled by a computer program 810, stored in a memory 820 and implementing the counting method according to the invention.
  • the computer program code instructions 810 are for example loaded into a RAM memory, before being executed by the processor of the processing unit 830.
  • Such a device 800 comprises:
  • a transmitter 802 capable of transmitting a plurality of packets each comprising a datum for determining a security key used for the encryption of the packet,
  • a computer 801 capable of incrementing a counter of the data relating to the application, in particular sent to the data server, and capable of adding the incremented counter in a cooperation packet comprising the determination datum corresponding to a security key used for the encryption of the plurality of packets exchanged between the terminal equipment and the data server prior to sending said cooperation packet.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

L'invention concerne un procédé de discrimination d'un premier message concernant une première application parmi un ensemble de messages concernant une pluralité d'application, émis par un équipement terminal à destination d'un serveur de données par l'intermédiaire d'un dispositif d'acheminement, apte à appliquer un traitement à un attribut relatif au premier message, ledit procédé étant mis en œuvre par l'équipement terminal et comprenant un ajout d'un attribut relatif au premier message dans un paquet d'information, ledit paquet regroupant des attributs auxquels le traitement est appliqué, une application d'un marquage du paquet d'information comprenant l'attribut ajouté, ainsi qu'une émission du paquet d'information comprenant le marquage appliqué à destination du serveur de données.

Description

DESCRIPTION
Titre de l'invention : Procédé de discrimination d’un message entre un terminal et un serveur de données
1. Domaine technique
L'invention concerne le transport de flux de données multiplexées dans un protocole, tel qu’un protocole de transport, d’une infrastructure de communications et vise à proposer une solution pour permettre d’appliquer un traitement à un flux de données spécifique parmi un ensemble de flux de données transportés.
2. Etat de la technique
Dans les réseaux de communications, les flux de données sont de plus en plus acheminés de façon sécurisée, c’est-à-dire en appliquant des mécanismes d’authentification et de confidentialité aux données échangées entre deux pairs. Cette sécurisation s’est accrue avec l’utilisation du protocole HTTP/2 (Hypertext Transfer Protocol/2) transporté sur le protocole TLS (Transport Layer Security) et TCP (Transmission Control Protocol) puis le développement rapide du protocole de transport QUIC (Quick UDP Internet Communications). Ce protocole QUIC est largement utilisé par plusieurs navigateurs Web et serveurs applicatifs. QUIC réunit dans un seul protocole les fonctions de transport, de multiplexage et de protection des protocoles RTP (Real-time Transport Protocol), MPTCP (MultiPath TCP), TCP, SCTP (Stream Control Transmission Protocol) et TLS. Il renforce la sécurité par des mécanismes intégrés d’authentification et de confidentialité des données de signalisation présents dans l'entête des paquets, et de renouvellement de clés dès les premiers échanges de messages du protocole (Handshake process). Il est par ailleurs à noter que le protocole QUIC est un exemple de protocole ayant de telles caractéristiques de sécurité et de multiplexage de plusieurs flux de données dans une unique connexion mais ces caractéristiques s’appliquent également à d’autres protocoles. Ainsi, les protocoles MPTCP, HTTP3, SCTP, SPDY et HTTP2 permettent également de multiplexer plusieurs flux de données et présentent donc des contraintes comme exposé ci-dessous.
Un opérateur assurant l’acheminement des données transportées dans un protocole, tel que QUIC, se trouve confronté à un problème d’identification d’un flux d’une part en raison de l’application d’un mécanisme de sécurité, tel que le chiffrement et d’autre part par le problème de multiplexage de flux de données dans une unique session de données. Cela peut par exemple survenir dans le cadre du développement des services de données véhiculaires. Il est à noter qu’un service eCall est en cours de déploiement en Europe. Le service eCall représente une initiative de la Commission européenne visant à introduire, à terme dans tous les véhicules vendus dans l’Union européenne, un système d’appel d’urgence automatique (eCall) basé sur un service public, permettant à une voiture accidentée d’appeler instantanément les services d’urgence tout en envoyant un certain nombre de données, dont sa position précise, et ce, quel que soit le pays de l’UE dans lequel elle se trouve. Ce système, basé sur le numéro unique d’urgence européen 112 amélioré de la géolocalisation, permettra une intervention des services d’urgence plus rapide, adaptée à la sévérité de l’accident et au type de véhicule impliqué.
Les constructeurs automobiles ont ainsi commencé le déploiement des services eCall dans tous les nouveaux modèles sortis à partir d’avril 2018 via l’intégration des boîtiers connectés appelés TCU (Telematic Control Unit) équipés avec des cartes SIMs. Or, il apparaît que le développement de ce service d’assistance eCall s’accompagne d’autres services proposés à partir d’un tel boîtier TCU. Ces services pourront être des services d’assistance au conducteur, des services de divertissement ou bien encore des services de contrôle du véhicule. Les données associées à ces différents services requièrent de la part d’un opérateur des traitements différents. Ainsi des données relatives à des services de divertissement pourront être facturées à un client, des données de contrôle du véhicule pourront être dupliquées pour être utilisées en cas de problème et les données d’assistance pourront se voir appliquer une haute priorité puisqu’elles ne doivent pas souffrir d’une moindre latence au cours de leur transmission. Ces données, émises par exemple par l’équipement TCU ont par ailleurs la particularité d’être acheminées vers un ou des serveurs non différenciés. Il apparaît en effet que des fournisseurs de contenus ou des fournisseurs de solutions de mise en cache de données peuvent être émetteur ou destinataire d’une pluralité de type de données parmi les différents types de données (assistance, divertissement, contrôle...) décrits ci-dessus. Le document US 2005-0177506A1 décrit une solution permettant de différencier des flux en vue d’une facturation associée à chaque flux mais la solution proposée s’appuie sur une distinction des flux en fonction de l’adresse IP. Cette solution n’est pas opérante pour le problème soulevé ci-dessus puisque les flux sont tous vus par un équipement d’acheminement d’un opérateur comme provenant d’un équipement unique, tel que l’équipement TCU, et donc d’une seule adresse IP. Il est à noter que l’adresse de destination ne permet pas non plus de distinguer les flux puisque cette adresse peut également être commune aux différents flux de données multiplexés si un serveur de contenus ou un serveur cache est destinataire de plusieurs flux distincts.
La présente invention a pour objet d’apporter des améliorations par rapport à l’état de la technique.
3. Exposé de l'invention
L'invention vient améliorer la situation à l'aide d'un procédé de discrimination d’un premier message concernant une première application parmi un ensemble de messages concernant une pluralité d’application, émis par un équipement terminal à destination d’un serveur de données par l’intermédiaire d’un dispositif d’acheminement, apte à appliquer un traitement à un attribut relatif au premier message, ledit procédé étant mis en œuvre par l’équipement terminal et comprenant :
- ajout d’un attribut relatif au premier message dans un paquet d’information, ledit paquet regroupant des attributs auxquels le traitement est appliqué,
- application d’un marquage du paquet d’information comprenant l’attribut ajouté,
- émission du paquet d’information comprenant le marquage appliqué à destination du serveur de données.
Le procédé permet ainsi à un opérateur administrant un dispositif, tel qu’un routeur ou un équipement de type DPI (en anglais Deep Packet Inspection) ou tout autre équipement d’un réseau de communication, de pouvoir identifier un message parmi un ensemble de messages sans ambiguïté et sans nécessiter de traitements complexes. Cette identification devient en effet de plus en plus complexe en raison d’une part des serveurs de contenus regroupant une grande variété de services indépendants et d’autre part par une utilisation de protocoles multiplexant de plus en plus de messages issus d’applications ou de terminaux divers, ces applications et ces terminaux transmettant les messages par l’intermédiaire d’un équipement terminal . Dans ce cas, les identifiants tels que les adresses IP de l’équipement terminal et/ou du serveur de données ne suffisent pas pour identifier de façon certaine un message d’une application ou d’un terminal. Le procédé permet qu’un équipement terminal puisse identifier et regrouper certains messages, en fonction d’attributs divers tels que le terminal à l’origine du message, le type d’application ou bien l’application utilisée, la qualité de service relative à une application, dans un paquet spécifique. L’équipement construit ainsi un paquet regroupant les messages qui se verront appliquer un traitement spécifique par un dispositif du réseau et lui applique un marquage, par exemple en modifiant un paramètre de marquage de ce message de telle façon qu’à la lecture de ce paramètre de marquage, le dispositif identifie rapidement ce paquet pour ensuite appliquer un traitement aux messages ajoutés par l’équipement terminal dans le paquet.
Selon un aspect du procédé de discrimination, l’équipement terminal émet la pluralité de messages à destination du serveur de données dans une session sécurisée entre l’équipement terminal et le serveur de données.
Le procédé de discrimination revêt un intérêt particulier lorsque la session entre les messages échangés entre l’équipement terminal et le serveur échange des données de façon sécurisée, c’est-à-dire par exemple via une connexion assurant la confidentialité des messages. Dans ce cas, seuls les équipements détenant une clé permettant de déchiffrer les messages peuvent accéder au contenu des messages. Or le procédé permet qu’un équipement terminal applique un marquage, par exemple en modifiant un paramètre de marquage, par exemple dans une partie non chiffrée du paquet comprenant les messages, pour que le dispositif puisse appliquer un traitement ne requérant ni l’accès au contenu du paquet, ni la modification du paquet.
Selon un autre aspect du procédé de discrimination, le paquet d’information est un paquet d’un protocole sécurisé de multiplexage de flux.
Les protocoles sécurisés de multiplexage de flux, tels que QUIC, HTTP2 ou HTTP3 présentent des avantages pour la mise en œuvre du procédé de discrimination. Par exemple, le protocole QUIC présente beaucoup d’avantages pour les fournisseurs de contenus et les utilisateurs notamment pour ses capacités de multiplexage des messages et sa sécurisation intrinsèque des données d'entêtes. Le procédé peut être avantageusement mis en œuvre par l’ajout des messages dans un paquet QUIC propre à être traité par le dispositif. En effet, ce protocole est de plus en plus largement supporté par les équipements utilisateurs et les serveurs de données et il permet le multiplexage des messages. Le marquage d’un tel paquet QUIC permet au dispositif de rapidement différencier les paquets à traiter des autres acheminés à destination du serveur de données sans traitement. Selon un autre aspect du procédé de discrimination, le protocole sécurisé de multiplexage de flux est un protocole parmi les protocoles suivants : le protocole MPTCP, le protocole SCTP, le protocole QUIC, le protocole HTTP2, le protocole SPDY, le protocole HTTP3.
Les protocoles QUIC, HTTP2 et HTTP3 sont de plus en plus utilisés pour le transfert des données par les fournisseurs de contenus et les fournisseurs de terminaux. L’utilisation de l’un de ces protocoles présente l’avantage de pouvoir déployer rapidement ce procédé.
Selon un autre aspect du procédé de discrimination, le protocole est le protocole QUIC et l’application du marquage comprend la modification d’éléments binaires parmi un « spin bit » et/ou des « Reserved Bits ».
Le spin bit est un bit de l’en-tête du protocole QUIC. Ce bit peut notamment être utilisé pour un calcul de latence d’une transmission de données entre un émetteur et récepteur. L’utilisation de ce bit, présent dans la spécification du protocole QUIC, et donc supporté par toutes les applications QUIC mais non forcément utilisé, notamment si la latence n’est pas calculée, permet au dispositif de pouvoir rapidement identifier le paquet QUIC à traiter.
L’utilisation des deux bits « Reserved Bits » autorise la possibilité de différencier quatre paquets de gestion de flux, permettant ainsi au dispositif de pouvoir appliquer quatre traitements différenciés à des messages compris dans les paquets de gestions comprenant ces quatre options. L’utilisation des bits « Reserved Bits » en complément du « «spin bit » autorise la mise en œuvre de huit traitements différenciés des messages des paquets de gestion de flux. Les termes Spin Bits et Reserved Bits sont associés au protocole QUIC et il est possible d’envisager l’utilisation de bits ayant le même rôle dans n’importe quel protocole sécurisé de multiplexage de flux.
Selon un autre aspect du procédé de discrimination, le paquet d’information comprend un attribut correspondant à une application spécifique.
Le procédé peut être mis en œuvre pour appliquer un traitement à une application spécifique. L’équipement terminal peut ainsi instancier plusieurs paquets de gestion de flux comprenant chacun des messages relatifs à une application spécifique et dont l’application du marquage correspondant ici à un paramètre de marquage modifié est spécifique au paquet de gestion de flux. Le dispositif peut ainsi appliquer un traitement spécifique aux paquets de gestion de flux en fonction du paramètre distinct de chaque paquet.
Selon un autre aspect du procédé de discrimination, l’équipement terminal est un équipement d’accès d’un réseau local acheminant la pluralité de messages en provenance et à destination de terminaux du réseau local.
Le procédé de discrimination peut être avantageusement mis en œuvre par un équipement d’accès d’un réseau local, tel qu’une passerelle d’accès d’un réseau domestique ou un équipement de type TCU d’un réseau véhiculaire. En effet, l’équipement terminal peut discriminer les différentes applications et regrouper les messages de ces différentes applications dans des paquets distincts pour qu’un équipement du réseau acheminant le paquet applique un traitement spécifique en fonction d’un paramètre de marquage du paquet.
Selon un autre aspect de l’invention, le procédé de discrimination comprend préalablement à l’ajout de l’attribut, une sélection dudit premier message en fonction d’un ou plusieurs critères de la liste:
- la première application est comprise dans une liste d’applications gérée par l’équipement terminal,
- le premier message est reçu d’un terminal dont un identifiant est compris dans une liste d’ identifiants gérée par l’équipement terminal,
- le premier message comprend une donnée relative à une qualité de service, ladite donnée étant comprise dans un ensemble de données gérées par le terminal.
Le procédé de discrimination peut être avantageusement mis en œuvre pour un nombre limité d’applications. Par exemple, seules les applications dont les données sont facturées à l’utilisateur sont considérées et les messages de ces applications sont ajoutés au paquet de gestion. Le procédé peut également être instancié pour une liste de terminaux, indépendamment ou pas des applications utilisées par ces terminaux. Une donnée d’un message, par exemple une adresse IP ou bien un champ relatif à la Qualité de Service, peut être également utilisé pour décider d’ajouter le message dans le paquet de gestion ou non, en corrélation avec l’application et/ou le terminal supportant l’application ou non. Les différents aspects du procédé de discrimination qui viennent d'être décrits peuvent être mis en œuvre indépendamment les uns des autres ou en combinaison les uns avec les autres.
L’invention concerne également un procédé de traitement d’un attribut relatif à un premier message concernant une première application, ledit premier message étant émis par un équipement terminal à destination d’un serveur de données, le procédé étant mis en œuvre par un dispositif acheminant le premier message et apte à appliquer un traitement à un attribut relatif au premier message, comprenant
- la détection d’un paquet d’information comprenant l’attribut ajouté par l’équipement terminal, en fonction d’un marquage appliqué au paquet d’information reçu,
- le traitement de l’attribut compris dans le paquet d’information reçu.
Le procédé de traitement permet de pouvoir appliquer un traitement à un paquet regroupant potentiellement plusieurs messages pour lesquels un traitement doit être effectué. Le procédé permet ainsi de pouvoir appliquer un traitement sur la base d’une information présente par exemple dans l’en-tête d’un paquet. Ainsi, si des données utiles du paquet sont chiffrées, le dispositif par lequel des paquets transitent peut néanmoins appliquer un traitement relatif à la qualité de service, au comptage de certains messages parmi l’ensemble des messages transitant par le dispositif sur la base d’un paramètre de marquage d’un paquet regroupant les messages concernés par le traitement à appliquer.
Selon un aspect du procédé de traitement, le traitement comprend le comptage d’au moins une donnée relative à l’application à partir de l’attribut traité.
Dans un environnement où les paquets peuvent être émis par des applications dont les flux sont facturés à des entités distinctes, la modification d’un paramètre de marquage d’un paquet comprenant des messages relatifs à des applications permet de facturer ces paquets à une entité spécifique. Ainsi par exemple, les paquets marqués comprennent des messages à facturer à un gestionnaire de véhicule et sont aisément identifiables pour être comptabilisés par un dispositif intermédiaire.
Selon un aspect du procédé de l’invention, le procédé de traitement comprend en outre la réception et l’application d’un traitement relatif à un deuxième message concernant la première application, à partir d’un attribut compris dans un deuxième paquet d’information ayant un marquage appliqué, ledit deuxième paquet d’information étant reçu en provenance du serveur de données et à destination du terminal. Le procédé de traitement peut avantageusement être mis en œuvre pour les paquets émis par l’équipement terminal et par le serveur de données. Par exemple, dans le cas du comptage des paquets pour une facturation ou bien pour appliquer un traitement spécifique aux paquets, il peut être nécessaire d’appliquer le traitement aux flux bidirectionnels des paquets, émis par l’équipement terminal à destination du serveur ou du serveur de données à destination de l’équipement terminal.
Les différents aspects du procédé de traitement qui viennent d'être décrits peuvent être mis en œuvre indépendamment les uns des autres ou en combinaison les uns avec les autres.
L’invention concerne également un dispositif de discrimination d’un premier message concernant une première application parmi un ensemble de messages concernant une pluralité d’application, émis par un équipement terminal à destination d’un serveur de données par l’intermédiaire d’un dispositif d’acheminement, apte à appliquer un traitement à un attribut relatif au premier message, ledit dispositif comprenant:
- un module de marquage, apte à
- ajouter un attribut relatif au premier message dans un paquet d’information, ledit paquet regroupant des attributs auxquels le traitement est appliqué,
- appliquer un marquage du paquet d’information comprenant l’attribut ajouté,
- un émetteur, apte à émettre le paquet d’information comprenant le marquage appliqué à destination du serveur de données.
Ce dispositif, apte à mettre en œuvre dans tous ses modes de réalisation le procédé de discrimination qui vient d'être décrit, est destiné à être mis en œuvre dans un dispositif d’un réseau de communication tel qu’un équipement d’accès d’un réseau local, tel qu’une passerelle domestique, un terminal ou un équipement de type routeur. L’invention concerne également un dispositif de traitement d’un attribut relatif à un premier message concernant une première application, ledit premier message étant émis par un équipement terminal à destination d’un serveur de données, apte à appliquer un traitement à un attribut relatif au premier message, comprenant
- un détecteur, apte à détecter un paquet d’information comprenant l’attribut ajouté par l’équipement terminal, en fonction d’un marquage appliqué au paquet d’information reçu,
- un module de traitement, apte à traiter l’attribut compris dans le paquet d’information reçu. Ce dispositif, apte à mettre en œuvre dans tous ses modes de réalisation le procédé de traitement qui vient d'être décrit, est destiné à être mis en œuvre dans un dispositif d’un réseau de communication tel qu’un routeur, un pare-feu, un équipement d’inspection de flux (en anglais Deep Packet Inspection), ou bien encore un serveur de données. L’invention concerne en outre un système de traitement d’un attribut relatif à un premier message concernant une première application, ledit premier message étant émis par un équipement terminal à destination d’un serveur de données, comprenant au moins un dispositif de discrimination, et au moins un dispositif de traitement. L'invention concerne aussi des programmes d'ordinateur comprenant des instructions pour la mise en œuvre des étapes des procédés respectifs de discrimination et de traitement qui viennent d'être décrits, lorsque ces programmes sont l’un et l’autre exécutés par un processeur et un support d’enregistrement lisible respectivement par un dispositif de discrimination et de traitement sur lesquels sont enregistrés les programmes d’ordinateurs.
L'invention vient en outre améliorer la situation à l'aide d'un procédé de capture d’un paquet d’une session chiffrée établie entre un équipement terminal et un serveur de données, ledit paquet comprenant une donnée de détermination d’une clé de sécurité utilisée pour le chiffrement du paquet, le procédé étant mis en œuvre par un dispositif acheminant le paquet entre l’équipement terminal et le serveur de données et comprenant :
- analyse d’une pluralité de paquets émis par l’équipement terminal et destinés au serveur,
- identification d’un paquet de coopération parmi la pluralité de paquets analysés, ledit paquet de coopération comprenant la donnée de détermination correspondant à une clé de sécurité utilisée pour le chiffrement de paquets émis par l’équipement terminal à destination du serveur de données préalablement à l’envoi par l’équipement terminal dudit paquet de coopération,
- déchiffrement du paquet de coopération reçu à l’aide d’une clé de sécurité correspondant à la donnée de détermination du paquet de coopération identifié. Lorsqu’une connexion entre un équipement terminal et un serveur de données est sécurisée, et notamment chiffrée, il n’est pas possible pour un dispositif assurant l’acheminement des données de pouvoir accéder au contenu des paquets échangés entre l’équipement et le serveur. Une option pour corriger cela est de fournir au dispositif les clés de sécurité utilisées par l’équipement terminal et le serveur de données. Mais cette fourniture a pour conséquence de provoquer une faille de sécurité dans les échanges de données et requiert de systématiquement transmettre les clés au dispositif, ce qui représente un problème de sécurité. Hors, dans certains cas, le dispositif doit pouvoir appliquer un traitement spécifique à certains paquets, ce traitement pouvant être de facturer spécifiquement certaines applications ou de transmettre certaines données à une autorité de régulation. Le procédé permet ainsi que parmi l’ensemble des paquets acheminés par le dispositif, l’équipement terminal puisse insérer un paquet de coopération et à indiquer par une donnée de détermination présente dans le paquet, par exemple un ou plusieurs bits positionnés à une certaine valeur identifiable par le dispositif typiquement dans l’en-tête du paquet, que ce paquet est un paquet de coopération à déchiffrer avec une clé qui est déterminée par la donnée de détermination d’une certaine valeur. Le procédé permet ainsi avantageusement de mettre en œuvre une collaboration entre l’équipement terminal et le dispositif acheminant les données pour permettre au dispositif d’appliquer un traitement à des données de coopération transmises par l’équipement terminal. Le procédé permet en outre de pouvoir réutiliser une clé de sécurité, qui n’est plus utilisée pour le transport des données entre l’équipement terminal et le serveur de données, pour la collaboration entre l’équipement terminal et le dispositif. Le dispositif peut être un routeur, un équipement pare-feu ou tout autre équipement assurant un traitement des données de la session. Notamment, le serveur de données peut mettre en œuvre les actions décrites pour le dispositif. Dans ce cas, le serveur de données reçoit le paquet de coopération et le traite à l’aide de la clé de sécurité correspondant à la donnée de détermination. Le chiffrement et le déchiffrement comprend tous les modes de protection des données pouvant être utilisés pour assurer la confidentialité des paquets échangés et notamment les techniques de sécurisation quantum ou homographique notamment.
Selon un aspect du procédé de capture, la donnée de détermination est un élément binaire de phase indiquant un changement de clé à utiliser par le terminal et le serveur de données pour le chiffrement et le déchiffrement de paquets échangés entre l’équipement terminal et le serveur de données.
Il est connu qu’un bit de phase est par exemple utilisé dans des protocoles pour qu’une extrémité de la session indique à l’autre extrémité un changement de la clé de sécurité pour les données échangées ensuite. Dans le cas où un tel bit était positionné à 0 et qu’une extrémité, telle que l’équipement terminal, le passe à 1 pour les données transmises à partir de ce moment au serveur de données, le serveur de données va déchiffrer les données reçues avec la clé correspondant au bit 1, correspondant à un changement de phase. Dans ce cas, la clé correspondant au bit 0 n’est plus utilisée pour le chiffrement et le déchiffrement des données échangées entre l’équipement terminal et le serveur de données et pourra être utilisé pour le chiffrement du paquet de coopération transmis au dispositif par l’équipement terminal, conformément à l’élément binaire de phase.
Selon un aspect du procédé de capture, le paquet de coopération est un paquet d’un protocole sécurisé de multiplexage de données, tel que le protocole QUIC, et l’identification du paquet de coopération est réalisée à partir d’un ou plusieurs des paramètres suivants :
Bit de phase
Valeur du bit spinbit du paquet QUIC
Valeur des bits RR du paquet QUIC
Identifiant de connexion
L’équipement terminal peut transmettre différentes informations au dispositif, possiblement en chiffrant les différentes informations avec la clé de sécurité associé à la valeur de l’élément binaire de détermination. L’utilisation d’un identifiant de connexion négocié préalablement entre l’équipement terminal et le dispositif, par exemple lors de l’échange d’une clé de chiffrement/déchiffrement ou par un échange de messages spécifiques est avantageux. Cela permet en effet que seuls les deux équipements, à savoir l’équipement terminal et le dispositif, aient connaissance de cette information. L’utilisation du bit spinbit et/ou des bits RR du paquet QUIC peut se substituer à l’identifiant de connexion utilisé ou bien encore le compléter afin d’enrichir la signalisation transmise au dispositif et de lui indiquer explicitement qu’il s’agit d’un paquet de coopération requérant un traitement par le dispositif.
Selon un aspect du procédé de capture, l’identification du paquet de coopération fait suite à l’activation dans le dispositif d’une détection des paquets dont la donnée de détermination à une valeur distincte de la donnée de détermination d’une pluralité de paquets successifs préalablement reçus en provenance de l’équipement terminal. Le dispositif peut activer en permanence la détection de la réception de paquets de coopération ou bien il peut activer cette détection en fonction d’un événement, réduisant ainsi l’obligation pour le dispositif d’utiliser des ressources pour l’activation et le traitement du paquet suite à la détection d’un paquet ayant l’élément binaire de détermination à 0. L’activation peut être mise en œuvre suite à la réception par le dispositif d’un message d’activation transmis par l’équipement terminal, indiquant ainsi au dispositif qu’il va recevoir un paquet de coopération dans les secondes suivantes. L’activation peut aussi être mise en œuvre si le dispositif reçoit successivement plusieurs paquets ayant la donnée de détermination à une certaine valeur, par exemple positionné à 1, indiquant ainsi au dispositif que la clé de chiffrement correspondant à la valeur 0 n’est plus utilisée pour le chiffrement des données transmises au serveur de données mais pourra être utilisée pour l’envoi d’un paquet de coopération, permettant de réutiliser une clé de chiffrement désuète pour le chiffrement des données vers le serveur de données. Ainsi après avoir reçu plusieurs paquets successifs avec une valeur de la donnée de détermination à 1 par exemple, la réception d’un paquet avec une valeur à 0 peut indiquer au dispositif qu’il s’agit d’un paquet de coopération.
Selon un aspect du procédé de capture, la clé de sécurité associée à la donnée de détermination est émise par l’équipement terminal à destination du dispositif après la fin de la session entre l’équipement terminal et le serveur de données.
Selon ce mode de réalisation, la clé de sécurité correspondant par exemple à un élément binaire de détermination est transmise suite à l’envoi du paquet de coopération par l’équipement terminal et après la fin de la session entre l’équipement terminal et le serveur de données. Cela permet de s’assurer que la clé de sécurité ne puisse pas être utilisée pour un autre usage, par exemple pour déchiffrer un paquet de données émis alors que la session est encore établie. Le dispositif sauvegarde le paquet de coopération et le déchiffre à l’aide la clé transmise une fois la session terminée à l’aide de la clé de chiffrement transmise par l’équipement terminal après la fermeture de la session.
Selon un aspect du procédé de capture, la clé de sécurité associée à la donnée de détermination était utilisée pour la sécurisation d’un échange de paquets d’une session précédente entre l’équipement terminal et le serveur de données. Certains protocoles, tels que QUIC ou TLS, prévoient un changement périodique des clés de chiffrement utilisés pour chiffrer les données échangées lors de sessions. L’équipement terminal et le serveur de données dérivent ainsi par exemple une clé de chiffrement pour les nouveaux échanges sur la base d’une clé précédemment utilisée pour des échanges d’une session antérieure. La clé utilisée pour les échanges d’une session précédente n’est ainsi plus utilisée pour dériver des clés pour des échanges ultérieurs de données et peut être avantageusement utilisée pour le chiffrement et l’envoi du paquet de coopération transmis par l’équipement terminal à destination du dispositif.
Selon un aspect du procédé de capture, la clé de sécurité associée à la donnée de détermination est une clé négociée entre l’équipement terminal et le serveur de données lors d’une étape d’initialisation de la session.
Lors d’une phase d’établissement de session, telle qu’une phase de Handshake, une clé de sécurité aussi appelée « coopération secret » peut être négociée par l’équipement terminal et le serveur de données. C’est notamment le cas lorsqu’aucune session entre l’équipement terminal et le serveur de données n’existait avant cet établissement de session. Cette clé de sécurité (qui peut être une coopération secret) peut être avantageusement utilisée pour le chiffrement et le déchiffrement du paquet de coopération.
Selon un aspect du procédé de capture, le paquet de coopération est retiré de la pluralité de paquets lors de l'acheminement de ladite pluralité vers le serveur de données.
Dans un mode de réalisation, le paquet de coopération est retiré de pluralité de paquets envoyés par l’équipement terminal dans la session établie avec le serveur de données. Notamment dans le cas d’une session uni-directionnelle entre l’équipement terminal et le serveur de données, le paquet de coopération destiné au dispositif n’a pas d’intérêt pour le serveur de données. Son retrait peut éviter en outre un dysfonctionnement du serveur de données qui n’est pas censé recevoir un paquet comprenant un élément binaire de détermination correspondant à une clé de chiffrement qui n’est normalement plus utilisée pour le chiffrement des paquets entre l’équipement terminal et le serveur de données.
Selon un aspect du procédé de l’invention, le procédé de capture comprend en outre l’analyse, l’identification d’un paquet de coopération et le déchiffrement du paquet de coopération tels que définis ci-dessus, parmi des paquets émis par le serveur de données à destination de l’équipement terminal.
Notamment dans le cas d’une session bi-directionnelle entre l’équipement terminal et le serveur de données, le dispositif peut appliquer un traitement, par exemple une opération de comptage, pour les paquets reçus de l’équipement terminal mais aussi du serveur de données. Dans ce cas, le procédé mis en œuvre sera identique au procédé appliqué pour les paquets reçus de l’équipement terminal et le dispositif pourra en outre ne pas retirer le paquet de coopération des paquets émis à destination du serveur de données pour que celui-ci prenne en compte l’existence du paquet de coopération pour lui-même positionner un élément binaire du paquet de coopération émis vers le dispositif.
Les différents aspects du procédé de capture qui viennent d'être décrits peuvent être mis en œuvre indépendamment les uns des autres ou en combinaison les uns avec les autres.
L’invention concerne également un procédé de comptage de données relatives à une application émises par un équipement terminal vers un serveur de données par l’intermédiaire d’un dispositif, à l’aide d’une session chiffrée entre l’équipement terminal et le serveur, le procédé étant mis en œuvre par l’équipement terminal et comprenant
- l’émission d’une pluralité de paquets comprenant chacun une donnée de détermination d’une clé de sécurité utilisée pour le chiffrement du paquet,
- l’incrémentation d’un compteur des données relatives à l’application, par exemple émises à destination du serveur de données,
- l’ajout du compteur incrémenté dans un paquet de coopération comprenant la donnée de détermination correspondant à une clé de sécurité utilisée pour le chiffrement de paquets de la pluralité échangés entre l’équipement terminal et le serveur de données préalablement à l’envoi dudit paquet de coopération,
- l’envoi du paquet de coopération comprenant le compteur ajouté à destination du serveur de données.
Le procédé de comptage mis en œuvre par l’équipement terminal permet au dispositif d’avoir une information sur le volume de données échangé, dans une liaison unidirectionnelle ou bidirectionnelle entre l’équipement terminal et le serveur de données, pour une application donnée. Ce procédé permet ainsi de remédier au problème d’accès aux données chiffrées des paquets par le dispositif. Ce procédé permet ainsi à l’utilisateur de transmettre au dispositif de façon sécurisée, en réutilisant possiblement une clé de sécurité préalablement utilisée pour les paquets de la session, des informations de comptage via un compteur incrémenté pour chaque paquet relatif à une application donnée. Ainsi le dispositif pourra ensuite appliquer un traitement, telle qu’une facturation, aux entités en charge du paiement pour les paquets des applications respectives transmis et possiblement reçus par l’équipement terminal. Selon un aspect de l’invention, le procédé de comptage comprend en outre l’envoi au dispositif d’une clé de sécurité correspondant à la donnée de détermination du paquet de coopération.
Sachant que la clé de sécurité correspondant à l’élément binaire de détermination n’est dans la plupart des cas pas connue par le dispositif, l’équipement terminal peut transmettre cette clé, par exemple une fois la session entre l’équipement terminal et le serveur de données terminée, pour que le dispositif puisse effectivement accéder au contenu du paquet de coopération.
Selon un aspect de l’invention, le procédé de comptage comprend en outre l’envoi préalable d’un message d’activation du procédé de capture par le dispositif à destination du serveur de données.
Notamment lorsque la session entre l’équipement terminal et le serveur de données est bidirectionnelle, il peut être nécessaire que l’équipement terminal transmette au serveur de données un message d’activation du procédé de capture, indiquant ainsi au serveur de données qu’il est susceptible de recevoir un paquet comprenant un élément binaire correspondant à une clé de sécurité qui n’est plus utilisée. Ce message d’activation pourra en outre indiquer au serveur de données qu’il active lui-même le procédé de comptage correspondant au procédé de marquage mis en œuvre par l’équipement terminal pour les paquets qu’il émet à destination de l’équipement terminal.
Les différents aspects du procédé de comptage qui viennent d'être décrits peuvent être mis en œuvre indépendamment les uns des autres ou en combinaison les uns avec les autres.
L’invention concerne en outre un dispositif de capture d’un paquet d’une session chiffrée établie entre un équipement terminal et un serveur de données, ledit paquet comprenant une donnée de détermination d’une clé de sécurité utilisée pour le chiffrement du paquet, comprenant :
- un analyseur, apte à analyser une pluralité de paquets émis par l’équipement terminal et destinés au serveur,
- un module d’identification, apte à identifier un paquet de coopération parmi la pluralité de paquets analysés, ledit paquet de coopération comprenant la donnée de détermination correspondant à une clé de sécurité utilisée pour le chiffrement de paquets émis par l’équipement terminal à destination du serveur de données préalablement à l’envoi par l’équipement terminal dudit paquet de coopération,
- un module de déchiffrement, apte à déchiffrer le paquet de coopération reçu à l’aide d’une clé de sécurité correspondant à la donnée de détermination du paquet de coopération identifié.
Ce dispositif, apte à mettre en œuvre dans tous ses modes de réalisation le procédé de capture qui vient d'être décrit, est destiné à être mis en œuvre dans un dispositif d’un réseau de communication tel qu’un routeur, un pare-feu, un équipement d’inspection de flux (en anglais Deep Packet Inspection), ou bien encore un serveur de données. L’invention concerne en outre un dispositif de comptage de données relatives à une application émises par un équipement terminal vers un serveur de données par l’intermédiaire d’un dispositif, à l’aide d’une session chiffrée entre l’équipement terminal et le serveur, comprenant
- un émetteur, apte à émettre une pluralité de paquets comprenant chacun une donnée de détermination d’une clé de sécurité utilisée pour le chiffrement du paquet,
- un calculateur, apte à incrémenter un compteur des données relatives à l’application, et apte à ajouter le compteur incrémenté dans un paquet de coopération comprenant la donnée de détermination correspondant à une clé de sécurité utilisée pour le chiffrement de paquets de la pluralité échangés entre l’équipement terminal et le serveur de données préalablement à l’envoi dudit paquet de coopération,
- un émetteur, apte à émettre le paquet de coopération comprenant le compteur ajouté à destination du serveur de données.
Ce dispositif, apte à mettre en œuvre dans tous ses modes de réalisation le procédé de comptage qui vient d'être décrit, est destiné à être mis en œuvre dans un dispositif d’un réseau de communication tel qu’un équipement d’accès d’un réseau local, tel qu’une passerelle domestique, un terminal ou un équipement de type routeur. L’invention concerne en outre un système de comptage de données relatives à une application émises par un équipement terminal vers un serveur de données par l’intermédiaire d’un dispositif, à l’aide d’une session chiffrée entre l’équipement terminal et le serveur comprenant au moins un dispositif de capture et au moins un dispositif de comptage.
L'invention concerne aussi des programmes d'ordinateur comprenant des instructions pour la mise en œuvre des étapes des procédés respectifs de capture et de comptage qui viennent d'être décrits, lorsque ces programmes sont l’un et l’autre exécutés par un processeur et un support d’enregistrement lisible respectivement par un dispositif de capture et de comptage sur lesquels sont enregistrés les programmes d’ordinateurs. Les programmes mentionnés ci-dessus peuvent utiliser n’importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n’importe quelle autre forme souhaitable.
Les supports d'informations mentionnés ci-dessus peuvent être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, un support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique.
Un tel moyen de stockage peut par exemple être un disque dur, une mémoire flash, etc. D'autre part, un support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Un programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, un support d'informations peut être un circuit intégré dans lequel un programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution des procédés en question.
4. Brève description des dessins
D’autres caractéristiques et avantages de l’invention apparaîtront plus clairement à la lecture de la description suivante de modes de réalisation particuliers, donnés à titre de simples exemples illustratifs et non limitatifs, et des dessins annexés, parmi lesquels : [Fig 1] présente une mise en œuvre du procédé de discrimination selon un premier aspect de l’invention, [Fig 2] présente une mise en œuvre du procédé de capture d’un paquet selon un mode de réalisation de l’invention,
[Fig 3] présente une mise en œuvre du procédé de discrimination selon un mode de réalisation de l’invention,
[Fig 4] présente une mise en œuvre du procédé de discrimination selon un autre mode de réalisation de l’invention,
[Fig 5] présente une mise en œuvre du procédé de comptage selon un mode de réalisation de l’invention,
[Fig 6] présente une mise en œuvre du procédé de comptage selon un autre mode de réalisation de l’invention,
[Fig 7] présente un dispositif de discrimination selon un mode de réalisation de l’invention.
[Fig 8] présente un dispositif de traitement selon un mode de réalisation de l’invention. [Fig 9] présente un dispositif de capture selon un mode de réalisation de l’invention. [Fig 10] présente un dispositif de comptage selon un mode de réalisation de l’invention.
5. Description des modes de réalisation
Dans la suite de la description, on présente des modes de réalisation de l'invention dans une infrastructure de communication. Cette infrastructure peut être mise en œuvre pour acheminer des données de communications à destination de terminaux fixes ou mobiles et l’infrastructure, déployée à partir d’équipements spécifiques ou de fonctions virtualisées, peut être destinée à acheminer et traiter des données de clientèle résidentielle ou d’entreprise.
On se réfère tout d’abord à la [Fig 1] qui présente une mise en œuvre d’un procédé de discrimination selon un premier aspect de l’invention. Selon ce premier aspect, un équipement terminal 30 transmet plusieurs messages Fl, F2, F3 à destination d’un serveur 20 de données. Ces messages Fl, F2, F3 sont acheminés dans un réseau 100 comprenant notamment un équipement d’accès 40 et un dispositif 50 acheminant les messages échangés entre l’équipement terminal 30 et le serveur 20 de données. Les messages Fl, F2, F3 transmis par l’équipement terminal 20 peuvent être émis par l’équipement terminal 30 ou bien émis par un autre terminal, tel que le terminal 60, et acheminé par l’équipement terminal 30 vers le serveur 20 de données via l’équipement d’accès 40 assurant la connexion de l’équipement terminal 30 au réseau 100 et le dispositif 50. Selon cet aspect, l’équipement terminal 30 est un équipement de type TCU d’un véhicule 10 émettant les messages Fl et F2 et le terminal 60 est par exemple un smartphone d’un occupant du véhicule émettant les messages F3. Les différents messages Fl, F2, F3 peuvent requérir un traitement particulier par le dispositif 50 et donc la possibilité de pouvoir discriminer les différents messages. Par exemple, sachant que la transmission des messages Fl, F2, F3 peuvent être facturés à des entités distinctes, il est nécessaire de pouvoir effectivement comptabiliser le nombre de messages Fl et/ou F2 et/ou F3. Hors, selon les techniques de l’art antérieur, il peut être difficile pour le dispositif 50 d’accéder au contenu des messages Fl, F2, F3 car ils peuvent être notamment chiffrés. Selon cet aspect, sachant que les messages F3 doivent être facturés à l’occupant du véhicule 10, les messages F3 relatifs à une application utilisée par l’occupant sont intégrés dans un paquet d’information et émis par le TCU 30 à destination du serveur de données. Pour que le dispositif 50 puisse facilement identifier le paquet d’information, l’équipement terminal applique un marquage, par exemple en modifiant des éléments d’information de l’en-tête non chiffrée du paquet, pour que le dispositif 40 puisse facilement l’identifier et traiter parmi les différents messages Fl, F2, F3 qu’il doit acheminer. Le message F3 ajouté peut correspondre aux données de l’application ou bien à des données propres au traitement par le dispositif 50. Par exemple, le message F3 peut correspondre au volume de données échangé entre le terminal 60 et le serveur 20 de données. Ainsi, l’équipement terminal 30, qui peut effectivement intervenir sur les messages qu’il émet lui-même ou pour le compte de terminaux tels que le terminal 60, collabore avec le dispositif en lui transmettant des paquets d’information pouvant être traités par le dispositif 50. L’équipement d’accès 40 peut également jouer le rôle du dispositif 50 et l’équipement terminal 30 peut être également être une passerelle résidentielle, aussi appelée box, ou bien un équipement de type smartphone. Le paquet d’information comprenant les messages F3 peut en outre être chiffré à l’aide d’une clé de chiffrement et le dispositif 50 peut alors déchiffrer le paquet d’information reçu de l’équipement terminal 30 à l’aide d’une clé de déchiffrement correspondante à la clé de chiffrement utilisée pour le chiffrement. Il est à noter que si des messages relatifs à des applications distinctes requièrent un traitement de la part du dispositif 50, alors l’équipement terminal 30 peut inclure dans le paquet d’information les messages relatifs aux deux applications, en différenciant par exemple les différents messages par le marquage appliqué au paquet. Ainsi le marquage pourra comprendre un marquage propre à une application. Par exemple, si des messages F4 non représentés sur la [Fig. 1] sont émis par le terminal 60 à destination du serveur 20 de données, l’équipement terminal pourra insérer les messages F3 et F4 dans un paquet d’information que le dispositif 50 pourra traiter conformément au marquage appliqué par l’équipement utilisateur 30.
En relation avec la [Fig 2], une mise en œuvre d’un procédé de capture d’un paquet selon un mode de réalisation de l’invention est présentée. Les entités 10, 20, 30, 40, 50 représentées sur cette [Fig 2] sont identiques aux entités 10, 20, 30, 40, 50 représentées dans la [Fig 1]. Dans cette [Fig 2] trois applications Appl, App2, App3 sont représentées. Ces applications Appl, App2, App3 peuvent être utilisées ou activées sur l’équipement terminal 30 ou sur un terminal, tel que le terminal 60 représenté dans la [Fig 1]. Le dispositif 50, comme l’équipement d’accès 40, achemine les paquets relatifs aux applications Appl, App2, App3 émis par l’équipement terminal 30 vers le serveur de données 20 ainsi que les paquets émis par le serveur de données 20 vers l’équipement terminal 30. Une session chiffrée est établie entre l’équipement terminal 30 et le serveur de données 20 pour l’acheminement des paquets. Une ou plusieurs sessions chiffrées, par exemple une par application Appl, App2 et App3 ou une session pour l’ensemble des applications Appl, App2 et App3 peut être mise en œuvre. Les paquets échangés entre l’équipement terminal 30 et le serveur de données 20 comprennent une donnée de détermination d’une clé de sécurité utilisée pour le chiffrement des paquets. Par exemple, il peut s’agir d’un ou plusieurs bits permettant à l’équipement terminal 30 et le serveur de données 20 de se mettre d’accord sur la clé de sécurité à utiliser pour le chiffrement et le déchiffrement des données et à indiquer la clé ou un changement de clé par une information fournie par une donnée de détermination, par exemple présente dans l’en-tête non chiffrée du paquet. Le dispositif 50, acheminant les différents paquets échangés entre l’équipement terminal 30 et le serveur 20 de données, analyse ces paquets et plus particulièrement analyse les données de détermination des clés des paquets. Une suite de paquets relatifs à l’application Appl sont chiffrés avec une clé de chiffrement, par exemple une clé privée, et la donnée de détermination correspondant à cette clé a une valeur vl. Le dispositif 50, analysant ces données et vérifiant que la valeur de la donnée est inchangée transmet ces paquets à destination du serveur de données. Puis, le dispositif reçoit un paquet ayant une donnée de détermination ayant une valeur vO qui avait été utilisée pour l’échange de paquets d’une connexion précédente de la session ou pour l’envoi de paquets lors d'une phase de protection précédente pour une même connexion. Cette valeur vO de donnée de détermination est censée ne plus être utilisée pour les échanges de paquets entre l’équipement terminal 30 et le serveur de données puisque l’ensemble des paquets comprennent la valeur vl comme donnée de détermination. Le dispositif 50 détermine qu’il s’agit d’un paquet de coopération, comprenant des données qui lui sont destinées, et déchiffre le contenu du paquet avec une clé de déchiffrement correspondant à la valeur vO, cette clé n’étant plus utilisée pour l’échange des données entre l’équipement terminal 30 et le serveur 20 de données. Ainsi, une clé de chiffrement précédemment utilisée pour l’échange de paquets entre l’équipement terminal 30 et le serveur 20 de données peut être réutilisée pour transmettre des informations au dispositif 50 dans un paquet chiffré avec la clé réutilisée. Ceci n’altère pas la sécurité de bout en bout entre l’équipement terminal 30 et le serveur 20 de données puisque la clé utilisée pour chiffrer le paquet de coopération transmis par l’équipement terminal 30 (ou le serveur 20 de données) au dispositif 50 est une clé qui n’est plus utilisée pour le chiffrement des paquets échangés entre l’équipement terminal 30 et le serveur 20 de données. La clé de sécurité associée à la donnée de détermination dont la valeur est vO peut être fournie au dispositif 50 préalablement à l’envoi du paquet de coopération ou postérieurement, le dispositif 50 pouvant mémoriser le paquet de coopération pour le déchiffrer une fois la clé reçue. L’équipement utilisateur peut ainsi mettre en œuvre un procédé de comptage permettant d’informer le dispositif 50 sur le nombre de paquets ou le volume de données ou une information sur une durée de session dans un paquet de coopération comprenant un compteur incrémenté pour chaque paquet transmis, le compteur pouvant correspondre au nombre de paquets émis, à un volume de données incrémenté pour chaque paquet émis, ou à une durée incrémentée dès qu’un nouveau paquet est émis. Le dispositif 50 peut ainsi exploiter l’information du compteur comprise dans le paquet de coopération déchiffré à l’aide de la clé correspondant à la donnée de détermination du paquet de coopération.
On se réfère maintenant à la [Fig 3] qui présente une mise en œuvre du procédé de discrimination selon un mode de réalisation de l’invention. Les entités 10, 20, 30, 40, 50, 60 et 100 sont équivalentes aux entités ayant les mêmes intitulés dans les [Fig 1] et [Fig 2]. En particulier, selon une alternative, l’équipement terminal 30 est un équipement d’accès d’un réseau local, tel qu’une passerelle résidentielle ou un équipement d’accès d’un réseau véhiculaire tel qu’un TCU. Lors d’une étape 200, l’équipement terminal 30 s’attache et se connecte à l’équipement d’accès 40. Il est considéré qu’une session est établie entre l’équipement terminal 30 et le serveur 20 de données. Selon une alternative, la session peut être établie par une connexion sécurisée entre l’équipement terminal 30 et le serveur 20 de données. Lors d’une étape 300, le smartphone 60 émet un message relatif à une application Appl, par exemple de jeu en réseau, et destiné au serveur 20 de données à destination de l’équipement terminal 30 et ce dernier transmet ce message au serveur 20 de données lors d’une étape 301. Lors d’une étape 302, l’équipement terminal 30 transmet un message relatif à une application App2, par exemple de gestion du véhicule 10, au serveur 20 de données. Les 2 messages requièrent de la part du dispositif 50 d’acheminement un traitement différencié, le message relatif à l’application App2 devant être sauvegardé par le dispositif 50, notamment en cas d’audit pour une assurance. L’équipement d’accès 40 et le dispositif 50 acheminent les différents messages émis lors des étapes 301 et 302 vers le serveur 20 de données. L’équipement terminal 30 détient une liste d’applications pour lesquelles une action particulière doit être menée. Par exemple, pour l’application App2 il doit émettre un message lié à cette application au dispositif 50. Selon un autre exemple, l’équipement terminal 30 identifie les messages en fonction du terminal émettant ces messages ou bien encore en fonction d’une information, par exemple relative à la qualité de service, dans le message lui-même. Selon cet exemple, l’équipement terminal doit copier un attribut relatif au message dans un paquet d’information destiné au dispositif 50.
Selon un exemple, lors d’une étape 303 facultative, l’équipement terminal 30 sélectionne un message parmi l’ensemble des messages à transmettre au serveur 20 de données en fonction d’un critère. Par exemple, l’équipement terminal peut comparer l’application concernée par le message émis. Selon l’exemple, les messages relatifs à l’application App2 doivent donner lieu à un traitement spécifique par le dispositif 50. Selon un autre exemple, l’équipement terminal 30 pourra transmettre au dispositif 50 des attributs relatifs à des messages émis par un terminal en particulier, par exemple en provenance du terminal 60. Selon encore un autre exemple, l’équipement terminal 30 pourra transmettre des attributs relatifs à des messages comprenant une information spécifique d’acheminement, de protocole ou encore de qualité de service voire de sécurité. Ainsi, tous les messages requérant une qualité d’acheminement spécifique pourront donner lieu à la fourniture d’un attribut relatif à l’instant où l’équipement terminal 30 a émis les messages pour que le dispositif 50 puisse vérifier que les messages concernés ont bien été acheminés en respectant le critère de qualité de service indiqué dans les messages, ou encore que leur répartition temporelle correspond au type de l'application attendue (en utilisant une technique Shallow packet Inspection).
Lors d’une étape 304, l’équipement terminal 30 ajoute le message, selon un exemple, dans un paquet d’information. Plusieurs attributs de messages distincts pourront être regroupés dans le paquet d’information pour limiter le nombre de paquets d’information transmis. Selon une alternative, l’attribut relatif au message, qui a été ajouté peut correspondre à une partie du message émis ou bien à une ou plusieurs informations relatives à l’application App2 telles que : le nombre de messages, la durée de la session entre l’équipement terminal 30 et le serveur 20 de données pour l’application App2, l’identifiant du terminal ayant émis les messages relatifs à l’application App2.
Le paquet d’information, selon une alternative, peut comprendre des attributs de messages propres à une seule application, par exemple si le paquet d’information ne comprend que des attributs relatifs à l’application App2. Mais dans le cas où un même traitement doit être appliqué à des messages d’applications différentes, il peut être avantageux de regrouper des attributs de messages relatifs à des applications distinctes mais requérant un traitement identique par le dispositif dans un même paquet d’information. Par exemple, si le traitement consiste à compter les paquets émis et relatifs à deux applications App4 et App5, facturés à une même entité, des attributs tels que des compteurs de messages relatifs aux applications App4 et App5 pourront être transmis dans un paquet d’information. L’équipement terminal 30 applique ensuite lors d’une étape 305 un marquage du paquet d’information, par exemple en positionnant certains éléments binaires du paquet d’information à une valeur définie. Selon un exemple, le paquet d’information peut être un paquet d’un protocole sécurisé de multiplexage de flux. Ce type de protocole, proposant une sécurisation intégrée et la possibilité de multiplexer plusieurs flux est particulièrement intéressant. En effet, dans le cas où l’équipement terminal 30 souhaite transmettre plusieurs paquets d’information, chaque paquet regroupant des attributs de messages requérant un traitement spécifique, il est alors possible de transmettre les paquets d’information de façon sécurisée et en multiplexant les différents paquets d’information au sein d’une connexion unique entre l’équipement terminal 30 et le dispositif 50. Selon un exemple, le protocole sécurisé de multiplexage de flux peut être le protocole QUIC ou bien encore le protocole HTTP2 ou HTTP3. Le protocole QUIC présente en particulier l’avantage de comprendre les bits Spin-Bit et Reserved Bits pouvant être utilisé pour appliquer un marquage au paquet d’information. Des éléments binaires d’autres protocoles sécurisés de multiplexage de flux, tels que le Spin-Bit ou les bits Reserved Bits du protocole QUIC, peuvent être indifféremment exploités pour appliquer un marquage au paquet d’information.
Lors d’une étape 306, l’équipement terminal 30 émet le paquet d’information comprenant un ou plusieurs attributs des messages relatifs à l’application App2. Dans ce mode de réalisation, il est considéré que le paquet d’information comprend les messages émis par l’équipement terminal 30 pendant une durée de 300 secondes. Ce paquet d’information transmis en utilisant le protocole QUIC comprend en outre les bits Spin-Bit et Reserved Bits positionné à 1. L’information de marquage, permettant de différencier le paquet d’information reçu d’autres paquets, indique au dispositif 50 qu’il s’agit d’un paquet d’information et qu’un traitement doit être appliqué au paquet d’information en utilisant les attributs de messages présents dans le paquet d’information reçu lors de l’étape 306. Lors d’une étape 307, le dispositif 50 transmet à une entité 70 de sauvegarde, un message comprenant les attributs de messages reçus lors de l’étape 307 et permettant ainsi de conserver un historique des messages relatifs à l’application App2 transmis par l’équipement terminal 30. Selon une alternative, le paquet d’information est transmis au serveur 20 de données lors d’une étape 309. Cela peut notamment être le cas lorsque le traitement par le dispositif 50 consiste à dupliquer le paquet d’information reçu de sorte que le séquencement de paquets reçus par le serveur 20 de données ne soit pas faussé ou mis en erreur par le retrait d’un paquet d’une session entre l’équipement terminal 30 et le serveur 20 de données. Selon une alternative, le traitement peut consister à compter le nombre de messages transmis pour une application. Ainsi, dans le cas où il s’agit de différencier la facturation par utilisateur (propriétaire du véhicule 10, possesseur du terminal 60, gestionnaire de l’équipement utilisateur 30), il est nécessaire de compter les messages ou le volume de données généré par les applications et de répercuter les frais associés au nombre ou au volume à l’utilisateur ou gestionnaire utilisant ou gérant l’application. Dans ce cas, l’attribut pourra être un nombre de messages ou un volume de données des messages émis.
Selon un autre exemple, le dispositif 50 peut également appliquer un traitement aux messages relatifs à l’application App2 transmis par le serveur 20 de données à destination de l’équipement terminal 30. Selon cet exemple, lors d’une étape 310 le serveur 20 de données émet des messages relatifs à l’application App2 à destination de l’équipement terminal 30. Les étapes 311 à 317 sont équivalentes aux étapes 303 à 309 décrites précédemment si ce n’est que le serveur 20 de données effectue les opérations de l’équipement terminal 30 et de façon réciproque, l’équipement terminal 30 réalise les opérations effectuées par le serveur 20 de données.
Il est à noter que l’équipement d’accès 40 peut également effectuer certaines ou l’ensemble des opérations réalisées par le dispositif 50 en complément ou non des opérations effectuées par le dispositif 50.
En relation avec la [Fig 4], on présente une mise en œuvre du procédé de discrimination selon un autre mode de réalisation de l’invention.
Le procédé de discrimination et le procédé de traitement correspondant activent une extension QFLOW_A de QUIC qui force les échanges de paquets QUIC en mode « gestion de flux » pour seulement les paquets QUIC à comptabiliser comme étant du trafic à facturer au propriétaire de la carte SIM du module TCU (équipement terminal) d’une voiture : regroupement des messages QUIC à comptabiliser dans des paquets QUIC marqués. L’extension QFLOW_A modifie l’usage du champ spinbit pour marquer les paquets QUIC à comptabiliser par le dispositif.
De plus, selon une alternative, sur le serveur, l’activation de l’extension QFLOW_A créé dans le serveur une table de flux utilisée pour implémenter le procédé de « gestion de flux » pour les paquets émis par le serveur.
Le constructeur du véhicule développe typiquement le procédé en OEM (en anglais Original Equipment Manufacturer) dans la tablette du tableau de bord afin que l’OS (en anglais Operating System), le navigateur Web ou les applications regroupent les messages QUIC des flux à comptabiliser dans des paquets QUIC marqués afin que dispositif, par exemple géré par un opérateur mobile les identifie et les comptabilise dans le cas où le traitement consiste à comptabiliser les messages des flux concernés. Le procédé QFLOW_A est décrit en mode « gestion de flux » : le critère de regroupement des messages dans des paquets marqués est l’identifiant de l'application qui a généré les messages dans des paquets marqués. Il est généralisable a d’autres modes de regroupement : par exemple, un autre critère de regroupement des messages peut être le regroupement des messages de contrôles de QUIC afin de compter pouvoir facturer uniquement les messages de données « utiles » (c’est-à-dire ne comprenant les données de contrôle de type DNS par exemple) au client final. D’autres traitements peuvent consister à contrôler la signalisation à des fins de sécurité ou de router plus rapidement les messages de contrôle dans un dispositif tel qu’un proxy. Un usage typique du procédé est le stockage de la signalisation pour effectuer une inspection ultérieure des messages stockés et transmis dans des paquets QUIC.
Le procédé est applicable à un mode sans marquage visible de l’extérieur du paquet. Un usage typique de ce mode est l’accélération de la signalisation dans les dispositifs de type « reverse proxy » où le routage de la signalisation vers une fonction d’inspection de type DPI (télémétrie, analyse de problèmes, sécurité...).
Le procédé de discrimination peut inclure différents modes pouvant être combinés tels que par exemple :
• Le mode QFLOW_A : Seulement les messages émis par le client TCU (équipement terminal) sont ajoutés à un paquet QUIC qui est marqué, donc seulement les données émises sont comptabilisés comme du trafic facturé par le constructeur.
• Le mode QFLOW_B : Une extension QUIC indique dans le paramètre de transport nommé « spinbit » que le paquet doit être comptabilisé. C’est suffisant pour comptabiliser le volume payé par le constructeur (qui ne doit pas être facturé au propriétaire de la voiture).
• QFLOW_C : Une extension QUIC indique dans un paramètre de transport tel que le spinbit et les 2 bits RR du protocole QUIC sont utilisés pour décrire l’identifiant d’une application. Ainsi, 3 bits permettent de distinguer 8 applications différentes (par exemple waze, gmap, ...) ou un autre critère de regroupement (identifiant du terminal, critère de QoS...).
Les étapes du procédé dans ce mode de réalisation proposé dans la [Fig 5] sont les suivantes : • Etape A : création de la connexion QUIC entre le module TCU (équipement terminal) et le serveur (serveur de données) sans activation explicite de l’extension QFLOW_A: le serveur en déduit ainsi que le spinbit du protocole QUIC est utilisé pour le mode QFLOW_A;
• Etapes B0 (et E0): Le module TCU reçoit des messages de l’application App Serv 3 d’un terminal. Le module TCU sait (par exemple grâce à une table d’applications à facturer) que ces messages sont à comptabiliser. Le module TCU reçoit donc des données qui sont à comptabiliser par le dispositif. Il créé un paquet QUIC qui regroupera les données à comptabiliser par le dispositif. Il peut structurer ces données par application dans le cas où le paquet QUIC comprend des données de plusieurs applications distinctes.
• Etape B: Le module TCU (et plus précisément la pile QUIC du module) reçoit des données (messages) à comptabiliser et à ajouter dans un paquet de gestion de flux (Stream) QUIC. La pile QUIC peut inclure le message reçu ou seulement une partie du message, tel que les adresses source et destination, le type de protocole.
• Etape CO : Le module TCU reçoit des messages relatifs à l’application App Serv 4 qui ne sont pas à comptabiliser par le dispositif. Un message QUIC non marqué (Norm QUIC) est créé et acheminera ces messages vers le serveur, destinataire de ces données.
• Etape C (et étape E): Le stack QUIC reçoit des données (ou messages) et les traitent pour les inclure dans le paquet QUIC créé lors de l’étape CO. Il émet le paquet QUIC « non marqué » à destination du serveur.
• Etape D : Le serveur reçoit des paquets QUIC « non marqués », c’est-à-dire avec une valeur SpinBit à 0. Il est à noter que le dispositif n’applique aucun traitement à ces paquets dits non marqués.
• Etape E: Un autre terminal émet des messages relatifs à l’application App Serv 3. Ces messages sont à comptabiliser comme indiqué à l’étape BO. Lorsque le paquet QUIC marqué comprend un volume de messages suffisant et/ou après un certain délai après la création d’un paquet Stream, le module TCI émet le paquet QUIC Stream à destination du serveur.
• Etape Ebis Le dispositif identifie le paquet QUIC Stream à G aide du bit Spinbit marqué à 1 et applique le traitement. Dans le cas présent, le dispositif le comptabilise et ajoute le volume de données correspondant à l’application App Serv 3 grâce à l’information transmise dans le paquet Stream, c’est-à-dire l’attribut relatif à l’application App serv 3.
• Etape F : La pile QUIC du serveur reçoit un paquet QUIC Stream et elle traite les messages du paquet.
• Etape G : Le dispositif achemine des paquets QUIC émis par le serveur à destination des terminaux attachés au module TCU ou spécifiquement au module TCU mais n’applique pas de traitement car il s’agit du mode QFLOW_A. Dans le mode QFLOW_B, les paquets QUIC émis par le serveur dont traités conformément au traitement appliqué aux paquets émis par le module TCU.
Dans le mode QFLOW_B, l’étape B ci-dessus est modifiée pour que le module TCU indique au serveur d’activer le mode QFLOW_B informant ainsi que le bit Spinbit est utilisé pour identifier le transport de messages à comptabiliser dans les paquets QUIC. Les étapes F et G ci-dessus sont en outre modifiées de la façon suivante :
• Etape F: Quand le serveur reçoit un paquet QUIC avec le spinbit à 1, il extrait les messages QUIC (dans ce mode de réalisation, les messages sont eux même des paquets QUIC) du paquet et mémorise une liste d’ identifiants associés aux messages dans une table des flux. Ensuite il traite chaque frame : o Sauvegarde des identifiants ; o Traitement de chaque paquet QUIC Stream ; o Réponses à chaque paquet QUIC Stream; o Ajout des messages de réponses (ou des attributs relatifs aux messages de réponse) aux messages reçus dans un paquet QUIC Stream;
• Etape G: Envoi du paquet QUIC Stream à destination du module TCU (en indiquant l’adresse des terminaux ayant généré les messages App Serv 3)
• Etape Gbis : Le Dispositif identifie le paquet QUIC Stream reçu du serveur et applique le traitement de comptabilisation des messages à partir des messages ou des attributs présents dans le message QUIC.
Le mode QFLOW_C se distingue des deux modes ci-dessus par une identification différente des paquets Stream. Le traitement appliqué peut se distinguer selon l’identification du paquet Stream reçu. Par exemple, le traitement peut être appliqué en fonction de l’application, en fonction de l’entité en charge du paiement des messages, en fonction du terminal émettant les messages ou bien une combinaison de ces critères:
Selon un exemple, dans ce mode QFLOW_C, le comptage est effectué en fonction de l’entité en charge du paiement des messages. Les attributs des messages sont regroupés dans des paquets QUIC utilisés pour facturer une entité particulière.
Usage des 3 bits spinbit et RR pour distinguer plusieurs mode de comptage Les bits correspondent à une entité de facturation des messages :
{[name : com.car.android.app, payeur: Entreprise A, Id : 010],
[name : com.netflix.android.app, payeur: Entreprise B, Id : 011],
[name : com.poki.android.app, payeur: Utilisateur C, Id : 110],
[name : com.sponsordata.android.app, payeur: Gestionnaire TCU, Id : 101]. Selon un autre exemple, le comptage est géré par catégorie d’applications. Dans cet exemple, les 3 bits spinbit et RR de l’entête QUIC indiquent la catégorie du paquet, c’est-à-dire un ensemble d’applications dont les messages sont à regrouper et à marquer pour ensuite qu’ils soient traités par le dispositif. Ci-dessous un exemple est proposé :
{[name : com.car.android.app, id: 100],
[name : com.netflix.android.app, id: 101],
[name : com.poki.android.app, id: 110],
[name : com.sponsordata.android.app, id: 111],
En relation avec la [Fig. 5], on présente une mise en œuvre du procédé de comptage d’un paquet selon un mode de réalisation de l’invention.
Les entités 10, 20, 30, 40, 50, 60 et 100 sont équivalentes aux entités ayant les mêmes intitulés dans les [Fig 1], [Fig 2] et [Fig 3].
Lors d’une étape 400, l’équipement terminal 30 s’attache et se connecte à l’équipement d’accès 40. Il est considéré qu’une session chiffrée est établie entre l’équipement terminal 30 et le serveur 20 de données. Cela signifie que les paquets de données échangés entre l’équipement terminal 30 et le serveur 20 de données sont chiffrés à l’aide d’une clé de chiffrement, par exemple une clé de chiffrement privée, et le serveur de données déchiffre les paquets reçus à l’aide d’une clé de déchiffrement, par exemple une clé publique, correspondant à la clé de chiffrement. De façon correspondante, les paquets transmis par le serveur 20 de données à destination de l’équipement terminal 30 sont chiffrés puis déchiffrés. Lors d’une étape 401, le terminal 60 transmet des paquets relatifs à une application App4 à l’équipement terminal 30 pour que celui-ci les transmette lors d’une étape 402 au serveur 20 de données avec lequel le terminal a établi une session. Selon un exemple, l’application App4 est une application d’accès web. Comme indiqué ci-dessus, les paquets transmis lors de l’étape 402 sont chiffrés à l’aide d’une clé de sécurité. Les paquets émis comprennent en outre une donnée de détermination informant le serveur 20 de données sur la clé de sécurité effectivement utilisée pour le chiffrement des paquets. Selon un exemple, la donnée de détermination correspond à des valeurs de un ou plusieurs éléments binaires de l’en-tête des paquets tels que par exemple un élément binaire de phase tel que défini par exemple dans les protocoles TLS et QUIC permettant d’indiquer au serveur de données un changement de clé, la nouvelle clé étant calculée à partir d’un algorithme et de la clé précédemment utilisée pour l’échange de paquets. Ainsi, les paquets sont successivement échangés avec des clés différentes, le changement de clé étant indiqué par un changement de phase. La donnée de détermination peut donc correspondre au bit de changement de phase voire à un bit de changement de phase et de bits supplémentaires pour permettre un enrichissement de l’information relative à la clé utilisée par l’équipement terminal pour l’émission des paquets vers le serveur 20 de données. Lors d’une étape 403, l’équipement terminal 30 émet des paquets relatifs à une application App6 à destination du serveur 20 de données. Selon un exemple, l’application App6 est un application de sécurité permettant de déterminer le positionnement du véhicule 10 lors de son déplacement et de pouvoir organiser des secours en cas de problème tel qu’une panne du véhicule ou un accident.
Il est considéré dans la suite du mode de réalisation que le comptage des paquets relatifs à une application App5, de streaming vidéo, doit être opéré par l’équipement terminal 30 de telle façon à ce que les données relatives au service de streaming vidéo utilisé par le terminal 60 soit effectivement facturé à l’utilisateur dudit service et non pas au propriétaire du véhicule 10 par exemple. Cette activation peut être statique, c’est-à-dire qu’une liste d’applications pour lesquelles le comptage doit être opéré est maintenue par l’équipement terminal 30. Cette activation peut également dynamique par exemple suite à la réception d’une requête transmise par une plateforme d’administration des applications ou de l’équipement terminal 30. Selon une alternative, lors d’une étape 404, l’équipement terminal émet à destination du dispositif 50 un message d’activation d’un procédé de capture de paquets permettant au dispositif de se positionner en écoute pour identifier des paquets de coopération transmis par l’équipement terminal 30, de telle façon à ce que le comptage des paquets puisse être opéré. Lors de cette étape 404, selon un exemple, l’équipement terminal peut en outre indiquer un identifiant de connexion utilisé qui sera ajouté au paquet de coopération et que le dispositif pourra effectivement identifier. Ainsi parmi tous les paquets que le dispositif 50 achemine, il pourra identifier les paquets de coopération. Il est à noter que cet identifiant de connexion peut être transmis de façon spécifique au dispositif 50 si par exemple aucun message d’activation n’est transmis. Le message d’activation peut, selon une autre alternative, également comprendre la clé de déchiffrement qui devra être utilisée par le dispositif 50 pour déchiffrer le paquet de coopération, possiblement conformément à l’identifiant de connexion compris dans le message. Ce message d’activation pourra lui-même être chiffré à l’aide d’une clé initialement fournie au dispositif 50 dans un message non représenté sur la [Fig 5]. Selon une autre alternative, lors d’une étape 405, l’équipement terminal émet à destination du serveur 20 de données un message d’activation du procédé de capture mis en œuvre par le dispositif 50. Ce message a pour but d’informer d’une part le serveur 20 de données que des clés initialement utilisées pour le chiffrement de paquets entre l’équipement terminal 30 et le serveur 20 de données pourront être utilisées à d’autres fins, pour le chiffrement de paquets de coopération. Ce message d’activation a également pour objet d’indiquer au serveur 20 de données de mettre en œuvre le procédé de comptage de telle façon que les paquets échangés dans une session bidirectionnelle entre l’équipement terminal 30 et le serveur 20 de données soient comptés pour par exemple être ensuite facturés au propriétaire du terminal 60.
Lors d’une étape 406, le terminal 60 émet une requête d’accès à un service de streaming vidéo au serveur 20 de données par l’intermédiaire de l’équipement terminal 20 assurant la connexion du terminal 60 au réseau 100.
Lors d’une étape 407, l’équipement terminal 30 initialise un compteur pour les paquets reçus du terminal 60 et relatifs à l’application App5. L’équipement terminal incrémente le compteur avec le nombre de paquets reçus du terminal 60. Il est à noter que le compteur peut comprendre le nombre de paquet ou bien encore le volume de données correspondant aux paquets reçus. Selon un exemple, le compteur utilise les Mbits comme unité du compteur. Selon un exemple, l’équipement terminal 30 initialise un compteur par terminal et incrémente le compteur pour les paquets émis par le terminal correspondant ou bien utilise un compteur pour l’application App5 indépendamment du terminal émettant les paquets. Selon un autre exemple, le compteur est incrémenté en fonction des paquets reçus d’un terminal pour un ensemble d’applications. Ainsi tous les paquets reçus du terminal 60 pourront être comptabilisés. Selon cet exemple, les paquets relatifs à l’application App4 et App5 sont comptés par l’équipement terminal 30.
Lors des étapes 408 et 409, le terminal 60 émet de nouveaux paquets relatifs à l’application App5 et l’équipement terminal 30 incrémente le compteur initialisé lors de l’étape 407.
Lors d’une étape 410, l’équipement terminal 30 ajoute le compteur incrémenté dans un paquet de coopération. Cet ajout peut se produire après une durée écoulée suite à l’initialisation du compteur, une fois que le compteur atteint un certain volume de données ou de paquets ou bien suite à la réception d’un message d’un serveur de gestion. L’équipement terminal 30 détermine en outre une donnée de détermination à ajouter au paquet de coopération. Selon un exemple, cette donnée de détermination correspond à une clé de chiffrement précédemment utilisée par l’équipement terminal 30 pour émettre des données vers le serveur 20 de données. Par exemple, la donnée de détermination peut être la donnée de détermination utilisée pour l’envoi des paquets lors des étapes 402 et/ou 403, notamment si cette donnée n’est plus utilisée pour l’envoi des paquets lors des étapes 406 et 409 par exemple. Selon une alternative, le paquet de coopération comprend un identifiant de connexion, tel que possiblement indiqué dans le message d’activation lors de l’étape 405. Selon un autre exemple, l’identifiant de connexion comprend des éléments binaires d’un protocole, notamment d’un protocole sécurisé de multiplexage de données. Cet identifiant de connexion peut, selon un exemple, comprendre les bits Spin-Bit et Reserved Bits du protocole QUIC ou des bits équivalents des protocoles HTTP2 ou HTTP3. L’identifiant de connexion peut, selon une autre alternative, comprendre la donnée de détermination du paquet. Selon cet exemple, le dispositif identifie le paquet de coopération à partir de la donnée de détermination comme indiqué par la suite.
Lors d’une étape 411, l’équipement terminal transmet le paquet de coopération à destination du serveur 20 de données par l’intermédiaire du dispositif 50. Le paquet de coopération comprend la donnée de détermination de la clé de chiffrement utilisée pour le chiffrement du paquet de coopération ainsi que le compteur incrémenté et possiblement un identifiant de connexion utilisé par le dispositif 50 pour identifier le paquet de coopération parmi l’ensemble des paquets reçus.
Le dispositif 50, s’il a reçu le message d’activation lors de l’étape 404 ou bien par défaut dès lors qu’il reçoit des paquets, met en œuvre une analyse des paquets reçus en provenance de l’équipement terminal 30. Cette analyse peut porter sur la comparaison de valeurs d’ identifiants de connexion et/ou de donnée de détermination des paquets reçus.
Lors d’une étape 412, le dispositif 50 reçoit le paquet de coopération et l’identifie à l’aide de l’identifiant de connexion, si celui-ci est présent dans le paquet, et/ou de la donnée de détermination de la clé de chiffrement utilisée. Dans ce dernier cas, sachant que les paquets reçus précédemment ne comprennent plus cette donnée de détermination, la réception d’un paquet comprenant une donnée de détermination distincte des paquets à acheminer dans un intervalle de temps donné indique au dispositif 50 qu’il s’agit d’un paquet de coopération. Selon un exemple, lorsque le dispositif 50 ne reçoit plus pendant un intervalle de temps de paquets avec une valeur vO comme donnée de détermination et qu’il commence à recevoir des paquets ayant une valeur vl, il peut initialiser un timer et s’il reçoit de nouveau un paquet avec une valeur vO comme donnée de détermination après un certain délai après l’initialisation du timer, il est probable que le paquet soit un paquet d’information. Dans le cas où cette donnée de détermination correspond à une clé de chiffrement nouvellement utilisée pour l’échange de paquets entre l’équipement terminal 30 et le serveur 20 de données, le dispositif 50 ne pourra déchiffrer ce paquet qui aura été faussement identifié comme un paquet de coopération puisqu’il ne détient pas la clé permettant de déchiffrer un tel paquet. La donnée de détermination du paquet d’information reçu, se distinguant des données de détermination des paquets de données reçus avant et/ou après la réception du paquet d’information, la détection de ce paquet d’information peut être effectuée à l’aide de cette donnée de détermination. La clé de chiffrement/déchiffrement associée à la donnée de détermination du paquet d’information pouvait, selon un exemple, être utilisée lors d’une session précédente entre l’équipement terminal 30 et le serveur de données. Selon un autre exemple, un contexte de session peut être maintenu entre l’équipement terminal 30 (ou un terminal lui étant connecté) et le serveur 20 de données et lorsqu’une nouvelle connexion est établie, le contexte de session est rétabli par exemple par rutilisation de cookies et il est possible de réutiliser une clé correspondant à une connexion précédente d’une même session dont le contexte est maintenu. Selon encore un autre exemple, la clé de chiffrement associée à la donnée de détermination était utilisée lors des échanges d’initialisation de session (en anglais Handshake) entre l’équipement terminal 30 et le serveur 20 de données. Dans le cas où l’identification s’appuie également ou uniquement sur l’identifiant de connexion, il convient alors pour le dispositif 50 de comparer la valeur de l’identifiant de connexion avec une ou plusieurs valeurs d’ identifiants correspondant à des paquets d’information.
Selon une alternative, notamment dans le cas où le dispositif 50 n’a pas reçu préalablement la clé correspondant à la donnée de détermination du paquet d’information, l’équipement terminal transmet lors d’une étape 413 une clé permettant de déchiffrer le paquet d’information reçu. Cette alternative permet d’éviter les erreurs et le déchiffrement de paquets qui ne sont pas des paquets d’information mais dont la donnée de détermination correspond à une clé effectivement utilisée pour le chiffrement/déchiffrement des données.
Selon un exemple, lors d’une étape 414, le dispositif transmet le compteur à destination d’un équipement 80 de facturation assurant la conversion du compteur en informations de facturation qui seront transmises à l’utilisateur du terminal 60, le compteur pouvant comprendre des informations sur l’application App5, le terminal ayant émis les paquets voire des informations d’horodatage des paquets relatifs à l’application App5. Selon une alternative, lors d’une étape 415, le paquet de coopération est retiré de l’ensemble des paquets à émettre vers le serveur 20 de données. Sachant que les informations présentes dans le paquet d’information sont destinées à être traitées par le dispositif, le serveur 20 de données n’a pas de raison de recevoir ce paquet qui contient en outre une donnée de détermination normalement plus utilisée pour le déchiffrement des paquets reçus en provenance de l’équipement terminal 30.
Selon un exemple, lors d’une étape 416, le serveur 20 de données met en œuvre le procédé de comptage tel que mis en œuvre par l’équipement terminal 30 et est apte à compter les paquets relatifs à l’application App5, à initialiser un compteur de ces paquets et à l’ajouter à un paquet d’information transmis à l’équipement terminal pour qu’il soit communiqué au dispositif 50 suite à son identification par une donnée de détermination, possiblement différente de la donnée utilisée par l’équipement terminal 30 et/ou d’un identifiant de connexion possiblement également différent de l’identifiant de connexion utilisé pour les paquets d’information émis par l’équipement terminal 30. A ce propos, des échanges entre le serveur 20 de données et le dispositif 50 ont pu se produire préalablement conformément à l’étape 404 décrite ci-dessus. Lors d’une étape 417, le serveur 20 de données transmet via le dispositif 50, l’équipement d’accès 40 et l’équipement terminal 30 des paquets relatifs à l’application App5, pour transmettre le contenu visio requis par le terminal 60 lors de l’étape 408. Lors d’une étape 416, le dispositif 50analysant les paquets reçus en provenance du serveur 20 de données identifie un paquet d’information à l’aide des informations ci-dessus décrites, le stocke possiblement s’il ne possède pas encore la clé permettant de le déchiffrer et d’en extraire le compteur pour le transmettre à l’équipement 80 de facturation lors d’une étape 419.
Le procédé de comptage mis en œuvre par l’équipement terminal 30 et possiblement par le serveur 20 de données permet ainsi au dispositif 50, en collaboration avec l’équipement 80 de facturation, de pouvoir facturer les paquets et donc les données de l’application App5. L’utilisation de tels procédés permet ainsi de compter les données relatives à chaque application et de réutiliser des clés de chiffrement/déchiffrement qui ne sont plus utilisées pour la transmission des paquets comprenant les données utiles des applications, c’est-à-dire requises pour l’accès aux contenus audio, visio, texte des différentes applications.
En relation avec la [Fig 6], on présente une mise en œuvre du procédé de comptage selon un autre mode de réalisation de l’invention.
Le procédé de comptage et le procédé de capture correspondant peuvent être mis en œuvre conformément à plusieurs modes intitulés RFLOW_A et RFFOW_B.
Fe mode RFFOW_A est un mode unidirectionnel qui ne nécessite pas de modification dans le serveur parce que le dispositif retire les paquets de coopération après réception d'un signal du terminal, ou après l’écoulement d’un délai ou bien encore quand la réception d’un volume de données est atteinte. Fe mode RFFOW_A définit ainsi un paquet de coopération dans une extension du protocole QUIC qui permet l'échange de donnée avec le dispositif (type d’application, compteurs). Fe paquet de coopération est chiffré avec une clé dite 1-RTT utilisée lors de la phase 0 (initialisation de la session) du protocole QUIC. F’équipement terminal envoie la clé 1-RTT de la phase 0 de QUIC au moment qu'il souhaite durant ou après la fin de la connexion. Le dispositif enregistre tout ou partie des messages échangés entre l’équipement terminal et le serveur de données, afin d'identifier et de décoder les paquets de coopération après la réception de la clé de coopération permettant de déchiffrer les paquets de coopération enregistrés.
Le mode RFLOW_B se distingue du mode RFLOW_A RFLOW_B de la façon suivante. En plus de RFLOW_A, le mode bidirectionnel RFLOW_B active l’extension (le procédé de comptage) coté serveur par l'envoi d'un Transport Parameter de QUIC COOP_MODE par exemple au moment de l’établissement de la session entre l’équipement terminal et le serveur de données. Ainsi le serveur ne mettra pas fin à la connexion sur une erreur quand il recevra des messages 1-RTT après la phase de transition. En effet, s’il n’active pas le procédé de comptage, il pourrait considérer que la réception de paquets chiffrés avec une clé qui n’est normalement plus utilisée est une erreur. De plus le serveur pourra également émettre et recevoir des paquets de coopération.
La [Fig 6] décrit un mode de réalisation relatif au mode RFLOW_A.
Un UA (équipement terminal) établit une session avec un serveur (SRV) de données permettant l’acheminement de messages (ou paquets) via un dispositif (GW) par exemple géré par un opérateur d’un réseau de communication.
Etape 0 : Etape (0) Le terminal UA et le dispositif GW s’échangent des clés de chiffrement ENC_KEY_UA et de déchiffrement DEC_KEY_UA
Différents types de clés de chiffrement/déchiffrement peuvent être utilisés, par exemple:
• Une clé dite externe « external PSK » telle que définie dans le document https://tools.ietf.org/html/draft-ietf-tls-tls 13-cert- with-extern-psk-07 est fournie par fournie par le dispositif GW à l’UA
• Une clé eSNI de l’enregistrement DNS eSNI du FQDN du GW tel que définie dans le document https://tools.ietf.org/html/draft- ietf-tls-esni-05
Etape A : Le dispositif active le procédé de capture des paquets reçus de l’équipement terminal UA. Il est à noter que cette étape peut être effectuée suite à la réception d’un message d’activation de la capture par l’UA. Etape B : Messages de « Handshake » échangés entre l’UA et le SRV. Les messages utilisent des clés identifiées par une donnée de détermination correspondant à une phase 0. Cette clé est la future clé de coopération. Elle appelée par la suite clé de phase 0 initiale ou encore clé de phase de 0 de reconnexion même s’il peut s'agir de tout type de clé comme décrit dans l'étape 0.
Etape C : Des paquets de données relatifs à des applications, par exemple émis par des terminaux connectés à l’UA et non représentés sur la [Fig 6] sont échangés entre l’UA et le SRV. A ce moment, les paquets échangés peuvent comprendre des données de détermination correspondant à la phase en cours (0 dans l'exemple) ou à une nouvelle phase (1 dans l'exemple). Les paquets de données peuvent en effet être chiffrés avec une nouvelle clé de chiffrement.
Etape D : GW active l'extension RFLOW du procédé de capture après un délai de n ms sans paquet comprenant de donnée de détermination correspondant à la phase supposée active (0 dans l'exemple), ou après n paquets consécutifs comprenant une donnée de détermination correspondant à la nouvelle phase (1 dans l'exemple), qui ne devrait plus être utilisée pour l’échange des paquets entre l’UA et le SRV suite au changement de clé de chiffrement. A partir de ce moment, les paquets de la phase précédente (dont la donnée de détermination correspond à la phase 0) sont considérés comme des paquets de coopération et sont capturés, et retirés du flux de paquets échangés entre l’UA et le SRV par GW.
Selon un exemple, GW utilise le bit de marquage standard des paquets de phase inversée de QUIC comme donnée de détermination.
Par généralisation, par la suite la phase (donnée de détermination) sera à nouveau inversée et repassera en phase 0. GW suspendra alors l'extension RFLOW dès la détection d'un paquet de coopération qu'elle ne parvient pas à déchiffrer. Ce paquet sera émis vers le serveur SRV et non stocké par GW. Ensuite elle activera l'extension RFLOW après un délai de n ms sans paquet de phase précédente à 1 ou après n paquets consécutifs comprenant une donnée de détermination correspondant à la nouvelle phase (0 dans l'exemple). Ces paquets de la phase précédente (dit de coopération) sont capturés et retirés du flux par GW.
Etape E: Echange de paquets de données non marqués ayant une donnée de détermination correspondant à une phase à 1 Etape F : Comptage des messages (qui peuvent être des paquets ou des données de type différents), et ajout du compteur dans un paquet de coopération. Mise à 0 de la phase (donnée de détermination) du paquet de coopération. Envoi du paquet de coopération à destination du GW.
Etape G : Capture du paquet de coopération comprenant le compteur par identification de la phase à 0 utilisée comme donnée de détermination. Il est à noter que la clé de déchiffrement associée à la phase 0 initiale peut être envoyée par l’UA à la GW, alternativement ou en complément à l’envoi lors de l’étape 0.
Si le mode RFLOW_B est mis en œuvre. Suite aux messages Handshake échangés ou au moment où les messages Handshake sont échangés, un message d’activation de l’extension (du procédé de comptage) est transmis par l’UA au SRV.
En outre, dans ce mode RFLOW_B, la GW ne retire pas les paquets de coopération de l’ensemble des paquets acheminés par la GW entre l’UA et le SRV. Les paquets de coopération ayant une donnée de détermination correspondant à un paquet de coopération (phase 0) sont donc reçus par le SRV. Conformément aux sessions établies entre l’UA et le SRV, le serveur SRV émet des données vers l’UA, en réponse ou non aux paquets de données reçus de l’UA. Le SRV met en œuvre le procédé de comptage et la GW capture également les paquets de coopération transmis par le SRV à destination de l’UA en sélectionnant les paquets de coopération en fonction de la valeur de la donnée de détermination présente dans les paquets reçus également du serveur SRV. Dans ce mode RFLOW_B, l’UA recevra également les paquets de coopération.
Il est à noter que, selon les techniques antérieures, dans les protocoles QUIC et TLS 1.3, la reconnexion de la session est réalisée en utilisant la clé utilisée lors de la connexion précédente. Selon ce mode, le procédé de comptage et de capture correspondant recycle la clé de 0-RTT pour marquer les paquets de coopération à identifier par la GW.
Lorsqu’il s’agit d’une nouvelle session, c’est-à-dire qu’aucune session n’a été établie précédemment, une mise en œuvre du procédé telle que décrite ci-dessous peut être déployée.
Lorsque les équipements UA et SRV établissent une première connexion (ie l’extention pre_shared_key n’a pas été activée), une fois le handshake terminé et le master_secret obtenus, l’UA et le SRV dérivent le cooperation_secret par l’opération : cooperation_secret = QHKDF-Expand(master_secret, “coop s”, hash.length)
Ce secret est ensuite fourni à GW qui pourra (comme l’UA et le SRV) calculer la clé et le vecteur d’initialisation (iv - initialisation vector) par les opérations suivantes: key= QHKDF-Expand(cooperation_secret, "key", key_length) iv= QHKDF-Expand(cooperation_secret, "iv", iv_length)
En outre, il est à noter que les modes RFLOW_A et RFLOW_B peuvent être combinés afin d'augmenter les niveaux de coopération en créant plusieurs modes d’identification des paquets de coopération par GW:
• un bit S spinbit identifie les paquets de coopération et les bits RR (RI, R2) distinguent plusieurs modes de coopération: o dans le mode RFLOW_A, S à 1 indique que le paquet est un paquet de coopération (usage de clé DEC_KEY_UA pour le déchiffrer) o Options avancées : l’usage des bits RI et R2 distinguent 4 types de paquets de coopération :
Read: 00 pour indiquer un paquet QUIC comportant une zone lisible par GW ;
Delete: 01 pour indiquer un paquet QUIC lisible par la gateway et devant être retiré par GW ;
Update: 10 pour indiquer un paquet QUIC modifiable en clair par GW (pas de chiffrement) ;
Modif: 11 pour indiquer un paquet QUIC end-to-end ouvert à la coopération en mode écriture;
En relation avec la [Fig. 7], on présente un exemple de structure d'un dispositif 500 de discrimination selon un mode de réalisation de l’invention.
Le dispositif 500 de discrimination met en œuvre le procédé de discrimination, dont différents modes de réalisation viennent d'être décrits. Le dispositif de discrimination peut être mis en œuvre mis en œuvre dans un dispositif d’un réseau de communication tel qu’un équipement terminal, un équipement d’accès d’un réseau local, tel qu’une passerelle domestique, un terminal ou un équipement de type routeur.
Par exemple, le dispositif 500 comprend une unité de traitement 530, équipée par exemple d'un microprocesseur mR, et pilotée par un programme d'ordinateur 510, stocké dans une mémoire 520 et mettant en œuvre le procédé de discrimination selon l'invention. A l’initialisation, les instructions de code du programme d’ordinateur 510 sont par exemple chargées dans une mémoire RAM, avant d’être exécutées par le processeur de l’unité de traitement 530.
Un tel dispositif 500 comprend :
- un module de marquage 502, apte à
- ajouter un attribut relatif au premier message dans un paquet d’information, ledit paquet regroupant des attributs auxquels un traitement est appliqué,
- appliquer un marquage du paquet d’information comprenant l’attribut ajouté,
- un émetteur 503, apte à émettre le paquet d’information comprenant le marquage appliqué à destination d’un serveur de données.
En relation avec la [Fig. 8], on présente un exemple de structure d'un dispositif de traitement selon un mode de réalisation de l’invention.
Le dispositif 600 de traitement met en œuvre le procédé de traitement, dont différents modes de réalisation viennent d'être décrits. Le dispositif 600 de traitement peut être mis en œuvre dans un dispositif d’un réseau de communication tel qu’un routeur, un pare-feu, un équipement d’inspection de flux (en anglais Deep Packet Inspection), ou bien encore un serveur de données.
Par exemple, le dispositif 600 comprend une unité de traitement 630, équipée par exemple d'un microprocesseur mR, et pilotée par un programme d'ordinateur 610, stocké dans une mémoire 620 et mettant en œuvre le procédé de traitement selon l'invention. A l’initialisation, les instructions de code du programme d’ordinateur 610 sont par exemple chargées dans une mémoire RAM, avant d’être exécutées par le processeur de l’unité de traitement 630.
Un tel dispositif 600 comprend :
- un récepteur 601 apte à recevoir un paquet d’information d’un équipement terminal.
- un détecteur 602, apte à détecter un paquet d’information comprenant l’attribut ajouté par l’équipement terminal, en fonction d’un marquage appliqué au paquet d’information reçu,
- un module 603 de traitement, apte à traiter l’attribut compris dans le paquet d’information reçu.
En relation avec la [Fig. 9], on présente un exemple de structure d'un dispositif 700 de capture selon un mode de réalisation de l’invention.
Le dispositif 700 de capture met en œuvre le procédé de capture, dont différents modes de réalisation viennent d'être décrits. Le dispositif 700 de capture peut être mis en œuvre dans un dispositif d’un réseau de communication tel qu’un routeur, un pare-feu, un équipement d’inspection de flux (en anglais Deep Packet Inspection), ou bien encore un serveur de données.
Par exemple, le dispositif 700 comprend une unité de traitement 730, équipée par exemple d'un microprocesseur mR, et pilotée par un programme d'ordinateur 710, stocké dans une mémoire 720 et mettant en œuvre le procédé de capture selon l'invention. A l’initialisation, les instructions de code du programme d’ordinateur 710 sont par exemple chargées dans une mémoire RAM, avant d’être exécutées par le processeur de l’unité de traitement 730.
Un tel dispositif 700 comprend :
- un récepteur 704, apte à recevoir une pluralité de paquets d’un équipement terminal
- un analyseur 701, apte à analyser une pluralité de paquets émis par un équipement terminal et destinés au serveur,
- un module 702 d’identification, apte à identifier un paquet de coopération parmi la pluralité de paquets analysés, ledit paquet de coopération comprenant la donnée de détermination correspondant à une clé de sécurité utilisée pour le chiffrement de paquets émis par l’équipement terminal à destination du serveur de données préalablement à l’envoi par l’équipement terminal dudit paquet de coopération,
- un module 703 de déchiffrement, apte à déchiffrer le paquet de coopération reçu à l’aide d’une clé de sécurité correspondant à la donnée de détermination du paquet de coopération identifié.
En relation avec la [Fig. 10], on présente un exemple de structure d'un dispositif de 800 de comptage selon un mode de réalisation de l’invention.
Le dispositif 800 de comptage met en œuvre le procédé de comptage, dont différents modes de réalisation viennent d'être décrits. Le dispositif 800 de comptage peut être mis en œuvre dans un dispositif d’un réseau de communication tel qu’un équipement terminal ou un équipement d’accès d’un réseau local, tel qu’une passerelle domestique, ou un terminal ou un équipement de type routeur.
Par exemple, le dispositif 800 comprend une unité de traitement 830, équipée par exemple d'un microprocesseur mR, et pilotée par un programme d'ordinateur 810, stocké dans une mémoire 820 et mettant en œuvre le procédé de comptage selon l'invention. A l’initialisation, les instructions de code du programme d’ordinateur 810 sont par exemple chargées dans une mémoire RAM, avant d’être exécutées par le processeur de l’unité de traitement 830.
Un tel dispositif 800 comprend :
- un émetteur 802, - apte à émettre une pluralité de paquets comprenant chacun une donnée de détermination d’une clé de sécurité utilisée pour le chiffrement du paquet,
- apte à émettre un paquet de coopération comprenant le compteur ajouté à destination du serveur de données,
- un calculateur 801, apte à incrémenter un compteur des données relatives à l’application, notamment émises à destination du serveur de données, et apte à ajouter le compteur incrémenté dans un paquet de coopération comprenant la donnée de détermination correspondant à une clé de sécurité utilisée pour le chiffrement de paquets de la pluralité échangés entre l’équipement terminal et le serveur de données préalablement à l’envoi dudit paquet de coopération.

Claims

REVENDICATIONS
1. Procédé de discrimination d’un premier message concernant une première application parmi un ensemble de messages concernant une pluralité d’applications, émis par un équipement terminal à destination d’un serveur de données par l’intermédiaire d’un dispositif d’acheminement, apte à appliquer un traitement à un attribut relatif au premier message, ledit procédé étant mis en œuvre par l’équipement terminal et comprenant :
- ajout de l’attribut relatif au premier message dans un paquet d’information, ledit paquet regroupant des attributs auxquels le traitement est appliqué et comprenant un attribut correspondant à une application spécifique,
- application d’un marquage du paquet d’information comprenant l’attribut ajouté,
- émission du paquet d’information comprenant le marquage appliqué à destination du serveur de données.
2. Procédé de discrimination, selon la revendication 1, où l’équipement terminal émet la pluralité de messages à destination du serveur de données dans une session sécurisée entre l’équipement terminal et le serveur de données.
3. Procédé de discrimination, selon la revendication 1 ou la revendication 2, où le paquet d’information est un paquet d’un protocole sécurisé de multiplexage de flux.
4. Procédé de discrimination, selon la revendication 3, où le protocole sécurisé de multiplexage de flux est un protocole parmi les protocoles suivants : le protocole MPTCP, le protocole SCTP, le protocole QUIC, le protocole HTTP2, le protocole SPDY, le protocole HTTP3.
5. Procédé de discrimination, selon la revendication 3 ou la revendication 4, où le protocole sécurisé de multiplexage de flux est le protocole QUIC et l’application du marquage comprend la modification d’éléments binaires parmi un « spin bit » et/ou des « Reserved Bits ».
6. Procédé de discrimination selon l’une des revendications 1 à 5, où l’équipement terminal est un équipement d’accès d’un réseau local acheminant la pluralité de messages en provenance et à destination de terminaux du réseau local.
7. Procédé de discrimination, selon l’une des revendications 1 à 6, comprenant en outre, préalablement à l’ajout de l’attribut, une sélection dudit premier message en fonction d’un ou plusieurs critères de la liste:
- la première application est comprise dans une liste d’applications gérée par l’équipement terminal,
- le premier message est reçu d’un terminal dont un identifiant est compris dans une liste d’ identifiants gérée par l’équipement terminal,
- le premier message comprend une donnée relative à une qualité de service, ladite donnée étant comprise dans un ensemble de données gérées par le terminal.
8. Procédé de traitement d’un attribut relatif à un premier message concernant une première application, ledit premier message étant émis par un équipement terminal à destination d’un serveur de données, le procédé étant mis en œuvre par un dispositif acheminant le premier message et apte à appliquer un traitement à un attribut relatif au premier message, comprenant
- la détection d’un paquet d’information comprenant l’attribut ajouté par l’équipement terminal, en fonction d’un marquage appliqué au paquet d’information reçu,
- le traitement de l’attribut compris dans le paquet d’information reçu.
9. Procédé de traitement, selon la revendication 8, où le traitement comprend le comptage d’au moins une donnée relative à l’application à partir de l’attribut traité.
10. Procédé de traitement, selon la revendication 8 ou la revendication 9, comprenant en outre la réception et l’application d’un traitement relatif à un deuxième message concernant la première application, à partir d’un attribut compris dans un deuxième paquet d’information ayant un marquage appliqué, ledit deuxième paquet d’information étant reçu en provenance du serveur de données et à destination du terminal.
11. Dispositif de discrimination d’un premier message concernant une première application parmi un ensemble de messages concernant une pluralité d’application, émis par un équipement terminal à destination d’un serveur de données par l’intermédiaire d’un dispositif d’acheminement, apte à appliquer un traitement à un attribut relatif au premier message, ledit dispositif comprenant:
- un module de marquage, apte à
- ajouter l’attribut relatif au premier message dans un paquet d’information, ledit paquet regroupant des attributs auxquels le traitement est appliqué et comprenant un attribut correspondant à une application spécifique,
- appliquer un marquage du paquet d’information comprenant l’attribut ajouté,
- un émetteur, apte à émettre le paquet d’information comprenant le marquage appliqué à destination du serveur de données.
12. Dispositif de traitement d’un attribut relatif à un premier message concernant une première application, ledit premier message étant émis par un équipement terminal à destination d’un serveur de données, apte à appliquer un traitement à un attribut relatif au premier message, comprenant - un détecteur, apte à détecter un paquet d’information comprenant l’attribut ajouté par l’équipement terminal, en fonction d’un marquage appliqué au paquet d’information reçu,
- un module de traitement, apte à traiter l’attribut compris dans le paquet d’information reçu.
13. Système de traitement d’un attribut relatif à un premier message concernant une première application, ledit premier message étant émis par un équipement terminal à destination d’un serveur de données, comprenant
- au moins un dispositif de discrimination, selon la revendication 11,
- au moins un dispositif de traitement, selon la revendication 12.
14. Programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé de discrimination selon l'une quelconque des revendications 1 à 7, lorsque le programme est exécuté par un processeur.
15. Programme d'ordinateur comportant des instructions pour la mise en œuvre du procédé de traitement selon l'une quelconque des revendications 8 à 10, lorsque le programme est exécuté par un processeur.
EP21734430.8A 2020-06-04 2021-06-01 Procede de discrimination d'un message entre un terminal et un serveur de donnees Pending EP4162658A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR2005865A FR3111251A1 (fr) 2020-06-04 2020-06-04 Procédé de discrimination d’un message entre un terminal et un serveur de données
PCT/FR2021/050993 WO2021245351A1 (fr) 2020-06-04 2021-06-01 Procede de discrimination d'un message entre un terminal et un serveur de donnees

Publications (1)

Publication Number Publication Date
EP4162658A1 true EP4162658A1 (fr) 2023-04-12

Family

ID=72885644

Family Applications (1)

Application Number Title Priority Date Filing Date
EP21734430.8A Pending EP4162658A1 (fr) 2020-06-04 2021-06-01 Procede de discrimination d'un message entre un terminal et un serveur de donnees

Country Status (5)

Country Link
US (1) US20230262004A1 (fr)
EP (1) EP4162658A1 (fr)
CN (1) CN115699700A (fr)
FR (1) FR3111251A1 (fr)
WO (1) WO2021245351A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3131157A1 (fr) * 2021-12-22 2023-06-23 Orange Procédé de traitement d’un paquet de données dans un réseau de communications, procédé de traitement d’une demande de changement de niveau de qualité de service d’une connexion, procédé de demande de changement de niveau de qualité de service d’une connexion, procédé de gestion d’une qualité de service, dispositifs, système et programmes d’ordinateur correspondants.

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6839684B1 (en) 1999-12-06 2005-01-04 Nokia Corporation Host-sponsored data transmission billing system and method
FR2841713B1 (fr) * 2002-06-28 2005-04-15 France Telecom Systeme d'acces a un reseau d'informations offrant des services personnalises
WO2016173635A1 (fr) * 2015-04-28 2016-11-03 Telefonaktiebolaget Lm Ericsson (Publ) Procédé et système pour gérer des communications dans un système comprenant une entité réceptrice, une entité émettrice et une entité réseau

Also Published As

Publication number Publication date
US20230262004A1 (en) 2023-08-17
CN115699700A (zh) 2023-02-03
FR3111251A1 (fr) 2021-12-10
WO2021245351A1 (fr) 2021-12-09

Similar Documents

Publication Publication Date Title
EP1909462B1 (fr) Procédé de mise à disposition cloisonnée d'un service électronique
EP1965559B1 (fr) Procédé de sécurisation d'un flux de données
EP2359546B1 (fr) Procede de configuration de parametres de gestion de paquets de donnees appartenant a un flux de donnees
FR3053197A1 (fr) Procede de communication udp via des chemins multiples entre deux terminaux
EP3676992B1 (fr) Procédé de taxation de données d'une application acheminées sur une tranche d'un réseau de communication
WO2020260813A1 (fr) Procédé de gestion d'une communication entre terminaux dans un réseau de communication, et dispositifs pour la mise en oeuvre du procédé
WO2021245351A1 (fr) Procede de discrimination d'un message entre un terminal et un serveur de donnees
EP3732849B1 (fr) Procédé et système d'identification de terminal d'utilisateur pour la réception de contenus multimédia protégés et fournis en continu
WO2020002793A1 (fr) Procédé de modification de messages par un équipement sur un chemin de communication établi entre deux nœuds
FR3028373A1 (fr) Delegation d'intermediation sur un echange de donnees chiffrees.
WO2006027495A1 (fr) Protection et controle de diffusion de contenus sur reseaux de telecommunications
WO2020260825A1 (fr) Procede de gestion d'une communication entre terminaux dans un reseau de communication, et dispositifs et systeme pour la mise en oeuvre du procede
EP4162663A1 (fr) Procédé de capture d'un paquet d'une session chiffrée
EP1737191B1 (fr) Procédé de création d'un terminal éclaté entre un terminal de base et des équipements connectés en serie
EP3811578A1 (fr) Procédé de découverte de fonctions intermédiaires et de sélection d'un chemin entre deux équipements de communication
FR3094590A1 (fr) Passerelle et procédé de différentiation de trafic émis par la passerelle, dispositif et procédé de gestion du trafic.
EP2372945A1 (fr) Procédé de transmission sécurisée de données entre un terminal numérique et une plateforme de services interactifs
EP1868349B1 (fr) Dispositif de mise en communication de réseaux locaux par un commutateur exclusif et systéme de mise en communication correspondant ainsi qu'un support d'informations et un programme d'ordinateur
FR3092954A1 (fr) Récupération de clé réseau, envoi de clé réseau, gestion de récupération de clé réseau, terminal, serveur de médiation et point d’accès les mettant en œuvre
EP2400726A1 (fr) Procédé d'identification d'un réseau local identifié par une adresse IP publique
WO2010133459A1 (fr) Procede de chiffrement de parties particulieres d' un document pour les utilisateurs privileges
FR2956272A1 (fr) Authentification par mot de passe a usage unique
FR3141020A1 (fr) Procédé de mise en œuvre d’un service d’une chaîne de services et dispositif électronique associé
FR3115644A1 (fr) Procédé et dispositif d’aiguillage d’une donnée applicative
EP3360293A1 (fr) Moyens de gestion d'accès à des données

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20221220

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
RAP3 Party data changed (applicant data changed or rights of an application transferred)

Owner name: ORANGE