FR2981179A1 - Procede pour acceder a un systeme d'information dispose derriere une passerelle informatique - Google Patents

Procede pour acceder a un systeme d'information dispose derriere une passerelle informatique Download PDF

Info

Publication number
FR2981179A1
FR2981179A1 FR1103042A FR1103042A FR2981179A1 FR 2981179 A1 FR2981179 A1 FR 2981179A1 FR 1103042 A FR1103042 A FR 1103042A FR 1103042 A FR1103042 A FR 1103042A FR 2981179 A1 FR2981179 A1 FR 2981179A1
Authority
FR
France
Prior art keywords
gateway
terminal
information system
server
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1103042A
Other languages
English (en)
Other versions
FR2981179B1 (fr
Inventor
Jean Francois Tesseraud
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Airbus DS SAS
Original Assignee
Cassidian SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cassidian SAS filed Critical Cassidian SAS
Priority to FR1103042A priority Critical patent/FR2981179B1/fr
Priority to PCT/FR2012/000403 priority patent/WO2013057391A1/fr
Publication of FR2981179A1 publication Critical patent/FR2981179A1/fr
Application granted granted Critical
Publication of FR2981179B1 publication Critical patent/FR2981179B1/fr
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

L'invention concerne un procédé pour accéder à un système d'information disposé derrière une passerelle informatique, depuis un terminal et via un réseau de communication de type Internet. Selon l'invention : - on ouvre un fichier exécutable depuis le terminal de façon à générer une application cliente qui ouvre un lecteur html, établit une connexion sécurisée avec une application serveur installée dans la passerelle et calcule une signature unique d'identification du terminal, - l'application serveur génère et affiche une page web sur le lecteur html, cette page web requérant un code pin ; une fois un code pin saisi, on transmet ce code pin et la signature vers la passerelle, - la passerelle se connecte à un serveur d'authentification forte qui génère le cas échéant un mot de passe à usage unique (OTP) après réception du code pin et de la signature, - ce mot de passe à usage unique et la signature permettent l'accès du terminal au système d'information via la passerelle.

Description

- 1 - "Procédé pour accéder à un système d'information disposé derrière une passerelle informatique." La présente invention concerne un procédé pour accéder à un système d'information disposé derrière une passerelle informatique, depuis un terminal et via un réseau de communication de type Internet. Actuellement, la plupart des entreprises comportent un système d'information auquel les collaborateurs ont accès pour travailler. Lorsqu'un utilisateur est en déplacement à l'extérieur de l'entreprise, il est nécessaire d'assurer un accès complètement sécurisé au système d'information. De nombreuses solutions existent pour accéder à distance à des ressources d'une entreprise. La présente invention a pour but de permettre la connexion à un système d'information quel que soit le terminal utilisé. Un autre but de l'invention est de garantir une connexion particulièrement sécurisée imperméable à toute fuite de données et à toute attaque du système d'information. On atteint au moins l'un des objectifs précités avec un procédé pour 20 accéder à un système d'information disposé derrière une passerelle informatique, depuis un terminal et via un réseau de communication de type Internet. Selon l'invention, on réalise les étapes suivantes : - on ouvre un fichier exécutable depuis le terminal de façon à générer une application cliente qui ouvre un lecteur html, établit une connexion 25 sécurisée avec une application serveur installée dans la passerelle et calcule une signature unique d'identification du terminal, - l'application serveur, dit serveur pour bureau virtuel, génère et affiche une page web sur le lecteur html, cette page web requérant un code pin ; une fois un code pin saisi, on transmet ce code pin et la signature 30 vers la passerelle, - la passerelle se connecte à un serveur d'authentification forte qui génère le cas échéant un mot de passe à usage unique (OTP, pour « One Time Password ») après réception du code pin et de la signature, - 2 - ce mot de passe à usage unique est ensuite envoyé vers la passerelle qui retourne ce même mot de passe accompagné de la signature vers le serveur d'authentification pour ouverture d'une session, le serveur d'authentification autorise ensuite l'accès du terminal au système d'information via la passerelle. Avec le procédé selon l'invention, on établit une connexion sécurisée et authentifiée. On distingue une première identification lorsque le serveur d'authentification reçoit le code pin et la signature. Une seconde identification intervient lorsque le serveur d'authentification reçoit le mot de passe et la signature. Selon un mode de mise en oeuvre de l'invention, une fois l'accès autorisé, la communication entre le terminal et la passerelle se fait par déport d'affichage dans un tunnel sécurisé. Le déport d'affichage évite le transfert de données, notamment malveillant qui pourraient transiter depuis le terminal utilisateur vers le système d'information. Selon l'invention, le lecteur html est un lecteur spécifique généré à partir de l'exécutable. De ce fait, on n'utilise pas le navigateur du terminal mais un lecteur html léger contenu dans le fichier exécutable. Ce lecteur html est uniquement utilisé durant les opérations de connexion et non pour l'accès au système d'information une fois la connexion établie. Selon une caractéristique avantageuse de l'invention, l'application serveur, dite serveur pour bureau virtuel, est configurée pour exécuter plusieurs sessions, chacune dans un environnement virtuel isolé. Ainsi, différentes sessions d'un même utilisateur ou de plusieurs utilisateurs sont cloisonnées les unes des autres. Avec des sessions ainsi isolées, on préserve l'intégrité des données et applications du système d'information. Par serveur pour bureau virtuel, on entend un serveur permettant d'accéder à un bureau virtuel, mais également à d'autres applications comme par exemple des applications WEB ou applications publiées. Avantageusement, une fois l'accès autorisé, la communication entre la passerelle et le système d'information peut se faire au moyen d'un navigateur installé sur la passerelle. En particulier, l'application serveur, dite serveur pour bureau virtuel, génère et dispose sur le terminal au moins un raccourci, - 3 - chaque raccourci permettant d'accéder à un navigateur donné installé sur la passerelle. Le serveur pour bureau virtuel peut comprendre plusieurs navigateurs pour accéder au système d'information. Chaque navigateur peut être configuré pour accéder à un ensemble d'éléments spécifiques du système d'information. On définit ainsi plusieurs navigateurs, chacun dédié à accéder à un type d'applications du système d'information ; ces applications comprenant notamment la navigation Web, des applications publiées et un bureau du système d'information. Les navigateurs sont exécutés dans la passerelle et non localement dans le terminal utilisateur. Cela garantie l'intégrité du terminal utilisateur contre tout acte malveillant depuis Internet par exemple. Le serveur pour bureau virtuel permet notamment à un terminal utilisateur d'accéder à des applications web, Citrix® ou TSE du système d'information. Selon un mode de mise en oeuvre avantageux de l'invention, la signature est un identifiant élaboré à partir des caractéristiques matérielles et logicielles du terminal. Dans le procédé selon l'invention, on utilise de préférence une signature basée sur le terminal à la place d'un jeton cryptographique (carte à puce, clé USB de sécurité, jeton de sécurité) car ce dernier implique une mise en oeuvre lourde.
Selon encore un mode de mise en oeuvre avantageux de l'invention, le fichier exécutable est disposé dans un moyen de stockage portable connecté au terminal. Ce moyen de stockage peut être une clé USB (standard), un téléphone évolué (« smartphone » en anglais). On peut ainsi utiliser un terminal quelconque pour se connecter de façon sécurisée à un système d'information. Ce terminal peut être un ordinateur d'un cybercafé jamais connecté au système d'information. Bien entendu, les différentes caractéristiques, formes et variantes de réalisation de l'invention peuvent être associées les unes avec les autres 30 selon diverses combinaisons dans la mesure où elles ne sont pas incompatibles ou exclusives les unes des autres. D'autres avantages et caractéristiques de l'invention apparaîtront à l'examen de la description détaillée d'un mode de mise en oeuvre nullement 35 limitatif, et des dessins annexés, sur lesquels : - 4 - - La figure 1 est une illustration schématique simplifiée d'un système d'accès à des systèmes d'information selon l'invention, - La figure 2 est une illustration schématique simplifiée d'une passerelle informatique d'accès sécurisé selon l'invention, - La figure 3 est une illustration schématique simplifiée d'un processus d'authentification selon l'art antérieur, - La figure 4 est une illustration schématique simplifiée d'un processus d'authentification selon l'invention, - La figure 5 est une illustration schématique simplifiée d'un boîtier d'accès sécurisé intégrant un système d'information. Sur les figures 1 à 5, les différents éléments communs aux diverses variantes ou formes de réalisation portent les mêmes références. Sur la figure 1 on voit un schéma simplifié d'un système d'accès à des systèmes d'information selon l'invention. On distingue un système d'information 1 d'une entreprise. Ce système d'information est représenté par des serveurs physiques ou virtuels comprenant toutes les composantes d'un système d'information classiques notamment une publication d'applications, des moyens de stockage, des moyens de gestions centralisées des adresses IP, un gestionnaire d'impression et une application d'administration du système d'information de l'entreprise, des applications métiers, (liste non exclusive et non exhaustive). Ce système d'information est intégré dans un réseau local 2 qui peut être un réseau local avec ou sans fil ou un réseau étendu. Des terminaux utilisateurs 3 peuvent accéder au système d'information 1 via le réseau local. La passerelle selon l'invention a pour objectif de développer les usages suivants : mobilité individuelle, - mobilité d'équipe, travail collaboratif, - télétravail, et - travail sédentaire. Par ailleurs, le système selon l'invention permet de répartir un système d'information et de mettre en place une publication d'applications en mode « SaaS » pour « Software as a Service », application en tant que service permettant l'utilisation d'une application sans l'installer en local. - 5 - Pour ce faire, on utilise une nouvelle passerelle d'accès sécurisé 4 reliée d'une part au système d'information 1, et d'une autre part à Internet (5). La passerelle d'accès sécurisé 4 a pour objet de permettre l'accès au système d'information 1 à partir de terminaux 6 à 9 de différents types. Ces terminaux peuvent être connus du système d'information 1 car appartenant par exemple au réseau local 2, mais ils peuvent avantageusement être tout autre terminal utilisateur. D'autres terminaux 10 et un second réseau local 11 constituent un site déporté sans système d'information propre. La passerelle 4 permet de proposer à ce site tous les accès réseaux et les moyens de connexion disponibles sur le site local 2, mais au travers d'une liaison Internet ou WAN (accès Internet direct, accès distant, accès invité, ségrégation des réseaux clients ....) La répartition du système d'information est obtenue en intégrant tout ou partie du système d'information dans un boîtier infrastructure 12 qui sera décrit plus en détail ci-dessous. Plusieurs boîtiers infrastructure peuvent être connectés en un groupe ou « cluster » 13 comprenant tout ou partie du système d'information. Les terminaux utilisateurs 6 à 9 se connectant au système d'information 1 peuvent également accéder, via la passerelle 4, à un serveur de publication d'applications en mode « SaaS » 14 pour bénéficier d'un certains nombres d'applications sans les télécharger localement sur le terminal utilisateur. Ces terminaux 6 à 9 peuvent également accéder via la passerelle 4 à un serveur de stockage 15. On prévoit un module gestion centralisée de services 16 et un module de supervision centralisée 17 de la sécurité des échanges dans le système.
Sur la figure 2, on voit un peu plus en détail le contenu de la passerelle d'accès sécurisé 4 selon l'invention. Il s'agit d'un caisson contenant un concentrateur 25 qui est connecté à une architecture de réseaux locaux, représentée simplement ici par le réseau local 2. Ce concentrateur permet 30 l'accès aux terminaux utilisateurs reliés au réseau local 2. Il s'agit généralement des terminaux de l'entreprise. Il permet également de gérer les droits d'accès à des services définis. Le pare-feu 26 permet de laisser passer des communications autorisées provenant du réseau local 2 via le concentrateur 25 ou provenant des terminaux distants 6 à 9 (sur la figure 1) 35 via Internet 5, vers une unité de traitement 27 et/ou vers le système - 6 - d'information 1. Le pare-feu permet également de contrôler les communications à destination d'Internet, (navigation standard avec filtrage d'URL, antivirus et sonde anti intrusion) ainsi que l'établissement des tunnels IPSEC à destination des différents sites ou administration. En particulier, les communications provenant d'Internet sont dirigées vers l'unité de traitement 27 pour établissement d'une communication sécurisée et pour une authentification forte des terminaux et utilisateurs. En fonction du terminal distant 6 à 9, la communication est dirigée vers un serveur pour bureau virtuel 28, un serveur pour nomade 29 ou un serveur pour voix 30. Chacun des serveurs virtuels 28 à 30 interagit étroitement avec un serveur d'authentification 31. A titre d'exemple non limitatif, le serveur pour bureau virtuel peut être obtenu à partir du produit Virtual Browser® de Common It, du produit Login People ® qui est un serveur d'authentification, ainsi que d'une interface développée pour permettre l'interaction entre le produit Virtual Browser® et le produit Login People®. Un produit Virtual Browser est notamment décrit dans le document WO 2010136317. Le serveur pour nomade peut être de façon également non limitative implémenté au moyen du produit Nomadio® de la société Ibelem en tant que composeur 29A, associé au produit IPDIVA® en tant qu'application d'accès à distance 29B, ces produits étant adaptés pour collaborer avec le Login People® comme serveur d'authentification forte. Ces serveurs virtuels sont avantageusement disposés dans une zone démilitarisée pour protéger le système d'information contre toute intrusion malveillante.
Lorsqu'un utilisateur est au sein du réseau local 2, il peut se connecter grâce à son terminal au concentrateur 25 pour identification. Ce dernier identifie l'utilisateur ainsi que le ou les réseaux pour lesquels il a un droit d'accès. Lorsque cet utilisateur est à l'extérieur du réseau local 2, s'il utilise un terminal non connu, c'est-à-dire non répertorié dans le réseau local, tel que par exemple la machine d'un cyber café ou un ordinateur personnel, ce sont les serveurs pour bureau virtuel et d'authentification qui vont intervenir. Lorsque cet utilisateur est à l'extérieur du réseau local 2, s'il utilise un terminal connu, c'est le concentrateur 25 qui intervient pour l'identification du 35 terminal. - 7- La mise en oeuvre du serveur pour bureau virtuel répond à la problématique de se connecter au système d'information quelque soit le terminal utilisé et de garantir que cette connexion ne permet pas la fuite de données ni l'attaque du système d'information. Ce mode permet un travail collaboratif (accès à l'espace partagé et accès au système d'information personnel de l'utilisateur tout en garantissant qu'aucun transfert ne peut être effectué d'un espace à l'autre). Comme mentionné précédemment, le serveur pour bureau virtuel peut 10 être mis en oeuvre au moyen du produit Virtual Browser® en mode connecté permettant l'accès à des applications en mode web à partir d'un navigateur virtuel installé sur une zone démilitarisée (DMZ) du pare-feu. L'accès à ce navigateur virtuel se fait au moyen d'exécutables stockés soit sur un terminal (PDA, Smartphone) soit sur clé de type USB (clé standard), disques externes 15 ou autres. Le serveur d'authentification peut être mis en oeuvre avec le produit LOGIN PEOPLE® permettant d'effectuer une authentification forte sans utilisation de « token » cryptographique ou de mécanisme cryptographique spécifique. Cette solution s'appuie sur des paramètres spécifiques d'un 20 terminal afin de rendre son identification unique et non falsifiable. En mode bureau virtuel, le serveur pour bureau virtuel et le serveur d'authentification sont interopérables. En pratique, le processus d'accès en mode bureau virtuel peut être tel que décrit ci-après. 25 L'utilisateur lance un exécutable bureau virtuel stocké soit sur le terminal soit sur une clé USB. Cet exécutable ne nécessite aucune installation ni de privilège particulier. La communication entre le terminal et la passerelle est chiffrée, et authentifiée dans le cas d'utilisation de certificat. 30 Le chiffrement est effectué via OPENSSL. Une fois la communication établie, l'utilisateur a accès au serveur pour bureau virtuel et aux différents services qui lui sont autorisés en fonction de son profil. Le choix d'un service ouvre automatiquement une session spécifique sur le système d'information concerné. Par défaut, il n'y a aucun - 8 - transfert d'information entre le client et le serveur pour bureau virtuel. On peut envisager un échange de données en fonction du contexte. En ce qui concerne l'implémentation du serveur d'authentification à partir du produit Login People®, l'authentification du terminal se fait au moyen de plusieurs paramètres intrinsèques au terminal. Cette authentification est effectuée au moyen d'un module d'extension ou « plugin » installé dans un navigateur (ActiveX/Applet Java ou composants spécifiques en fonction des navigateurs).
Sur la figure 3, on voit un processus d'authentification selon l'art antérieur dans lequel des terminaux utilisateurs 40 veulent accéder à un système d'information 39 à travers un serveur d'authentification 37 (ID_BOX) et une passerelle VPNSSL 38. La connexion s'effectue en général au travers d'une page web. A l'étape 32, l'utilisateur saisit un code PIN et envoie ce code pin et la signature du terminal utilisé pour la connexion (depuis son Smartphone, sa clé USB, son terminal, ...). Le serveur d'authentification vérifie le code pin et la signature et renvoie à l'utilisateur à l'étape 33 un mot de passe à valeur unique (OTP). Un client VPNSSL (non représenté) installé sur le terminal récupère l'OTP et renvoie à l'étape 34 l'identifiant du terminal à la passerelle VPNSSL 38. Cette dernière renvoie, à l'étape 35 pour vérification, l'OTP vers la passerelle d'authentification, en général selon le protocole RADIUS. La communication est ainsi authentifiée et chiffrée. La passerelle VPNSSL 38 autorise l'accès au système d'information à l'étape 36. Sur la figure 4, ce processus d'authentification est modifié en combinaison avec le processus d'accès sécurisé par le serveur pour bureau virtuel. Le processus combiné est indépendant du terminal (zéro adhérence) et fonctionne sur l'ensemble des terminaux. Il permet l'authentification de l'utilisateur et du terminal de manière unique et avant l'accès au système d'information. La communication peut être établie en filaire ou en radio (WiFi, 3G,...). Une authentification unique (SSO, « single sign on ») au niveau du système d'information est également possible. En pratique, la mise en oeuvre peut se faire, sans que cela ne soit limitatif aux produits mentionnés, grâce au développement d'une ou plusieurs - 9 - interfaces permettant de faire dialoguer des produits Virtual Browser® et Login People®. D'autres développement et/ou produits peuvent être envisagés afin d'implémenter les fonctions définies selon l'invention. Les interfaces rendent les deux produits interopérables. En particulier, dans le cas conventionnel, la génération de la signature issue de Login people® nécessite la mise en oeuvre d'un composant logiciel intégré dans le navigateur sur le poste client. Or Virtual Browser® utilise un navigateur installé en central, donc pas sur le poste client. Avec l'interfaçage entre Virtual Browser () et Login People®, on récupère l'empreinte de signature sans installer de composant logiciel sur le poste client. Sur la figure 4, le terminal 40 qui doit être identifié est celui ayant accès à un fichier exécutable adapté à initier une connexion avec le serveur de bureau virtuel (Virtual Browser®). Ce fichier exécutable est stocké dans le terminal 40 ou dans tout moyen de stockage comme une clé USB. Le terminal 40 est un appareil capable de se connecter à Internet, il peut s'agir d'un Smartphone ou d'un PC (tout OS confondu). Aucune installation n'est nécessaire sur le terminal. - Lorsque l'utilisateur ouvre le fichier exécutable, un module client Virtual Browser® modifié s'exécute et se connecte à l'étape 41 au serveur Virtual Browser® modifié (serveur pour bureau virtuel) 28. Par Virtual Browser® modifié, on entend une application de type Virtual Browser® associée à une interface (une application dédiée) permettant l'échange de données entre l'application Virtual Browser® et une autre application telle que par exemple l'application Login People®. La communication est sécurisée par SSL mais non authentifiée. - A l'étape 42, le serveur de bureau virtuel 28 demande un identifiant ou signature unique du terminal. Une page web spécifique s'ouvre. On calcule la signature du terminal par l'exécution d'un programme local au client et intégré dans le module client Virtual Browser® modifié. Un code pin est demandé à l'utilisateur. L'utilisateur saisit le code pin. - Aux étapes 43 et 44, le code pin et la signature sont transmis pour authentification au serveur d'authentification 31 via le serveur de bureau virtuel. - 10 - - Le serveur d'authentification génère à l'étape 45 un mot de passe unique dit OTP (pour « One Time Password ») et le transmet au serveur de bureau virtuel. - A l'étape 46 le serveur de bureau virtuel valide et renvoie le mot de passe ainsi que la signature vers le serveur d'authentification 31 pour demander une ouverture de session. On récupère éventuellement des groupes utilisateurs auprès d'un serveur LDAP (non représenté). - A l'étape 47, le serveur d'authentification autorise l'ouverture d'une session pour le bureau virtuel en fonction des droits de l'utilisateur. - A l'étape 48, le terminal 40 accède au système d'information, en particulier à des applications web, bureau et applications publiées. Lorsque l'utilisateur utilise son terminal habituel de l'entreprise, ce terminal contient un module client apte à communiquer avec un module 15 serveur selon un mode client-serveur avec échanges de données. Le processus de connexion peut être le suivant : L'utilisateur initie une connexion en activant un assistant de connexion. Cet assistant de connexion est par exemple un module client apte à communiquer avec un module serveur formant le composeur 29A, l'ensemble 20 client-serveur peut être par exemple obtenu à partir du produit Nomadio®. L'assistant de connexion installé sur le terminal utilisateur détecte et propose tous les moyens de communication possible du terminal : 3G, WiFi,... L'utilisateur choisit un mode de communication. L'assistant peut indiquer un mode préférentiel en fonction de paramètres divers comme par exemple le 25 lieu de connexion, la qualité, le moment de la connexion... L'assistant de connexion pointe le pare-feu 26 qui dirige la connexion vers le composeur 29. Ce dernier lance un processus d'authentification forte en s'interfaçant avec le serveur d'authentification 31. Ce dernier récupère un identifiant unique du terminal. Cet identifiant a été élaboré à partir des caractéristiques logicielles 30 et matérielles permettant d'identifier simplement et rapidement chaque terminal. Lorsque l'authentification est terminée et acceptée, on lance l'application d'accès à distance 29B, comme par exemple le produit IPDIVA® de façon à mettre en place un tunnel VPN SSL entre une application cliente dans le terminal utilisateur et la partie serveur de l'application d'accès à 35 distance contenu dans l'unité de traitement 27. Le terminal utilisateur est - 11 - ensuite connecté à une passerelle logicielle dans le système d'information pour permettre au terminal utilisateur d'accéder aux différents éléments du système d'information avec échange de données. Le serveur d'authentification utilise un identifiant du terminal, cet identifiant étant un identifiant léger, contrairement aux systèmes de certificat ou de jeton conventionnellement utilisés, qui sont des identifiants lourds en termes de tailles et de manipulation. Sur la figure 5, on voit une passerelle d'accès sécurisé 4 intégrée dans un boîtier infrastructure 50 comprenant un système d'information. Il s'agit d'un boîtier qui, en plus de l'ensemble des composants de la passerelle 4 des figures 1 et 2, comprend en outre : - un pare-feu 51 relié avec le pare-feu 26 (figure 2) présent dans la passerelle 4 pour permettre et surveiller la communication entre la passerelle 4 et les autres éléments du boîtier infrastructure ; - un système d'information intégré 52 comprenant notamment une publication d'applications, un serveur web associé à un relais http, un serveur de dossiers et d'impression, des moyens de gestion centralisée d'adresses IP (DNS, DHCP, AD), et une application d'administration pour gérer la publication d'applications ; - un serveur 53 de stockage en réseau NAS (« Network Attached Storage » en anglais) pour gérer des espaces disques ; - un commutateur 54 pour gérer la communication entre les différents éléments du boîtier infrastructure, il permet également de mettre en cascade plusieurs boîtiers infrastructure du même type ; - une unité de traitement ou carte électronique 55 pour administrer les autres éléments du boîtier infrastructure ; et - une autre unité de traitement ou carte électronique 56 pour gérer l'alimentation du boîtier infrastructure, en particulier l'arrêt et le démarrage séquentiel des éléments du boîtier infrastructure ; par exemple une séquence de démarrage peut être la suivante : le commutateur 54, l'unité de traitement 55, un serveur 53 de stockage en réseau NAS, le système d'information intégré 52, et la passerelle 4 d'accès sécurisé ; l'arrêt se faisant dans le sens inverse. - 1 2 - La mise en cascade des boîtiers infrastructures permet notamment de réaliser un système redondant. Les différents services sont ainsi toujours disponibles en cas de défaillance de l'un des boîtiers infrastructures.
D'une façon générale et en complément notamment de ce qui précède et conformément aux figures 1 à 4, le système selon l'invention peut être défini sous forme de kits pouvant être mis en oeuvre pour chaque famille d'équipements à prendre en compte. Le système selon l'invention comprend notamment les familles suivantes : - Famille d'équipements client (distant ou local) : o Pour le kit nomade : kit d'accès nomade permettant à un poste de l'entreprise d'accéder aux ressources de l'entreprise, au boîtier infrastructure intégrant un système d'information, au serveur SaaS et au serveur Store. Le kit comprend le composeur (« dialer » en anglais), la sécurisation de la communication et l'authentification forte. o Pour le kit bureau virtuel : solution permettant à un utilisateur d'accéder aux ressources de l'entreprise, au boîtier infrastructure intégrant un système d'information, au serveur SaaS et au serveur Store. Il permet également de stocker et utiliser des données stockées dans un espace sécurisé. o Pour le kit voix mobile (Smartphone) : solution identique au serveur pour bureau virtuel et/ou au serveur pour nomade mais dédié au monde des Smartphones. - Famille d'équipements infrastructure o Le boîtier infrastructure intégrant un système d'information : système d'information complet, intégré (réseau - applications publiées - stockage) évolutif (empilage ou mise en réseau) offrant des services de voix données images, intégrant des services de sécurité (sécurité des communications (voix et données), sécurité des accès Internet, sécurité des données (chiffrement et solution DLP (« Data Loss Prevention » pour prévention de perte de données) / Sauvegarde / - 13 - Synchronisation), haute disponibilité), pouvant être facilement déployé. o La passerelle d'accès sécurisé : Passerelle d'accès mutualisés, permettant aux solutions clients d'accéder à un système d'information client. Passerelle d'accès permettant à un site distant de s'intégrer dans l'architecture du système selon l'invention sans déploiement spécifique sur le site distant tout en gardant les fonctionnalités offertes dans le boîtier infrastructure intégrant un système d'information (multi VLAN accès invité, accès LAN to LAN) - Famille service o Serveur SaaS : Portail d'accès à des applications en mode service (publication d'applications et exécution distante) et compatible avec les solutions de la famille client. Le serveur SaaS est mutualisable entre plusieurs sociétés tout en garantissant un cloisonnement des communications et des données et des accès. Il est compatible avec des solutions d'authentification fortes. o Serveur Store : Bibliothèque d'applications virtualisées pouvant être: - utilisée par le serveur SaaS (à partir des solutions d'infrastructure et clientes) - téléchargée et utilisée par les produits de la famille client - utilisée sur un poste client sans installation spécifique - Famille Management o Le serveur gestion centralisée de services : console de management centralisé permettant l'administration complète du système. Administration des clients, infrastructures, et services. La gestion comprend le management des services et la configuration / le déploiement des différentes solutions. o Le serveur de supervision centralisée de la sécurité des échanges dans le système (remontée d'alarmes, corrélation, gestion des logs, vulnérabilité). Ce serveur assure également le management de la sécurité (configuration des pare-feu, des liens - 14 - inter systèmes, politique de sécurité et conformité, patch management....) On va maintenant détailler ci-après, certains principes mis en oeuvre au niveau matériel et applicatif : Le système selon l'invention est une solution cohérente mais adaptable car conçue en mode brique. L'architecture technique du système selon l'invention repose sur des briques assurant les différentes fonctions d'un système d'information allant de la communication (architecture réseau) à la mise à disposition d'application en mode SAAS ou local (virtualisation d'application, publication d'application) en intégrant des mécanismes d'authentification forte et un stockage/sauvegarde de données sécurisées soit dans l'infrastructure centrale soit sur un support distant (nomade, bureau virtuel, Smartphone). Architecture des communications : Toutes les communications entre les différents éléments du système sont sécurisées (chiffrement et authentification).
Cette architecture de communication entre les différents éléments est assurée par plusieurs tunnels IPSEC ( pour « Internet Protocol Security ») et/ou SSL (pour « Secure Socket Layer ») en fonction des éléments à connecter. Toutes les communications sont gérées à partir du serveur de gestion centralisée de services. Une architecture selon l'invention peut être construite soit sur le réseau Internet soit sur un réseau privé, soit les deux. Le débit minimal dépend des services demandés. Les architectures réseaux locaux, implémentées dans la passerelle et dans le boîtier infrastructure permettent la mise à disposition de plusieurs réseaux pour différents usages répartis en trois classes: - Accès au système d'information local: permet à un utilisateur d'accéder à partir d'un poste quelconque au SI local - 15 - - Accès invité: permet à une personne d'accéder à Internet (en mode invité) en assurant un contrôle des communications et une sauvegarde des données de connexion - Accès LAN to LAN. Offre à un groupe d'utilisateurs une extension de son réseau d'entreprise sans utiliser les accès distants. Chaque classe de réseau peut être subdivisée en plusieurs classes isolées les unes des autres. Les architectures de réseaux s'appuient sur des technologies de VLAN et s'appuie sur des architectures WiFi ou filaire ou les deux rendant ainsi un déploiement rapide et aisé. Toutes les communications clients / infrastructure sont chiffrées et authentifiées par différents mécanismes en fonction de la typologie des réseaux.
Virtualisation système: Les différents serveurs du système fonctionnent sur des équipements spécifiques, intégrés sur mesure mais de base commune. Les systèmes de base fonctionnant sur les différents équipements s'appuient sur des technologies de virtualisation d'OS, permettant une évolution simple et une interopérabilité des éléments entre eux (dans une famille donnée). On peut utiliser la solution logicielle de virtualisation VMWare qui propose des fonctionnalités de haute disponibilité et de partage de charge. Système d'information: Le système d'information peut être par exemple un système Microsoft (Active Directory / File / Print...) avec une architecture dans le boîtier infrastructure capable de dialoguer avec l'architecture du serveur SaaS (mise en place de solution d'approbation de droits entre deux architectures Windows disjointes : fédération des identités) Authentification forte: Plusieurs mécanismes d'authentification forte peuvent être utilisés: - Authentification forte à base de certificat (logiciel ou hardware) - Authentification forte sans certificat (par exemple empreinte de terminal) - 1 6 - L'enrôlement des utilisateurs ou la création des certificats peuvent être soit externe au système soit intégré dans l'architecture. L'authentification forte couplée à de l'identification unique (SSO) permet à un utilisateur donné 5 d'accéder aux données et aux réseaux en n'utilisant qu'une séquence d'authentification. Des mécanismes de fédération d'identité permettent à un utilisateur d'accéder à des systèmes répartis ne disposant pas de cohérence de bases utilisateurs sans rejouer les mécanismes d'authentification Les certificats implémentés peuvent également servir au chiffrement des 10 données. Stockage: Le boîtier infrastructure intégrant le système d'information offre des capacités de stockage par utilisateur, qui peuvent évoluer et être réparties 15 sur plusieurs boîtiers. Des mécanismes de synchronisation permettent d'assurer la haute disponibilité des données en cas de dysfonctionnement de l'une des infrastructures. Les données peuvent être également sauvegardées/synchronisées sur des serveurs spécifiques tout en garantissant le même niveau de sécurité (confidentialité/intégrité) de la 20 donnée initiale. L'architecture de stockage permet également de synchroniser dans les deux sens des données stockées sur un poste local (nomade et Smartphone) ou sur une clé (bureau virtuel) en gardant les mêmes niveaux de sécurité. Dans ce cas, la synchronisation de données nécessite que le terminal soit 25 connecté à une architecture du système (partiel ou complète). Solution Voix : Le système offre une solution de voix sécurisée par défaut (chiffrement de la voix) permettant soit de reboucler sur un IPBX (PABX sur IP) 30 d'entreprise soit d'avoir son propre accès aux réseaux commutés (ceci vaut pour le boîtier infrastructure uniquement). Les infrastructures voix sont compatibles avec le boîtier infrastructure et la passerelle et fonctionnent sur tous les clients du système ainsi que sur des téléphones standards (TOIP pour « Telephony over Internet Protocol »). 35 - 1 7 - Protection des données : Des briques spécifiques permettent d'assurer la protection des données stockées dans les différents produits du système. La protection des données comprend la protection de la donnée elle-même (confidentialité / intégrité) ainsi que l'audit / contrôle de l'utilisation de celle-ci. Publication d'application : Le serveur SaaS et le boîtier infrastructure proposent des solutions de publication d'applications permettant à un utilisateur d'accéder à une application sans installation sur le poste distant. Cette solution est compatible avec tous les clients du système et quel que soit l'endroit où se trouve l'application. Les mécanismes de virtualisation d'applications sont identiques pour le boîtier infrastructure et le serveur SaaS.
Virtualisation du terminal : Cette solution couplée à la publication d'application permet à un utilisateur d'accéder au système d'information à partir d'un terminal quelconque ou à partir d'un terminal spécifique mais appartenant à un autre système d'information. La solution garantit par défaut qu'aucune donnée ne pourra être stockée sur le poste client. Il s'agit d'une configuration par défaut qui peut être modifiée en fonction du groupe auquel appartient le poste client (politique adaptative en fonction du contexte). La politique d'utilisation peut être liée au mécanisme d'authentification forte.
Application virtualisée Il s'agit d'une solution permettant de virtualiser des applications afin de les faire fonctionner localement (sur le poste d'un utilisateur) sans avoir à installer ces applications. Les applications sont accessibles en téléchargement à partir par exemple du serveur Store.
Sécurité: Tous les éléments de la gamme bénéficient du même niveau de sécurité. On assure ainsi une cohérence du niveau de sécurité. Ce niveau est défini en fonction des risques connus et des exigences des utilisateurs. La sécurité est globale. Dans le cas où cette dernière s'applique à un système - 18 - d'information existant, elle peut soit être indépendante de ce dernier avec une spécification du niveau de sécurité pour les interfaces, soit intégrée avec des mécanismes de sécurité de l'utilisateur. La sécurité englobe: - La sécurité des systèmes et applications (gestion de patch, mise à jour, contrôle de conformité, gestion des outils de contrôles, ...) - La sécurité des données (chiffrement, sauvegarde, contrôle des accès...) - La gestion des utilisateurs et droits associés.
Administration/ supervision Cette solution couvre la supervision et l'administration des différents éléments du système: - Provisionnement des comptes utilisateurs - Démarrage arrêt de service - Ajout de service supplémentaire - Surveillance des systèmes - Mise en production.
Modularité de la gamme La passerelle peut être intégrée dans le boîtier infrastructure ou être utilisée de façon indépendante. Bien sûr, l'invention n'est pas limitée aux exemples qui viennent d'être 25 décrits et de nombreux aménagements peuvent être apportés à ces exemples sans sortir du cadre de l'invention.

Claims (9)

  1. REVENDICATIONS1. Procédé pour accéder à un système d'information disposé derrière une passerelle informatique, depuis un terminal et via un réseau de communication de type Internet, caractérisé en ce qu'on réalise les étapes suivantes : on ouvre un fichier exécutable depuis le terminal de façon à générer une application cliente qui ouvre un lecteur html, établit une connexion sécurisée avec une application serveur installée dans la passerelle et calcule une signature unique d'identification du terminal, l'application serveur génère et affiche une page web sur le lecteur html, cette page web requérant un code pin ; une fois un code pin saisi, on transmet ce code pin et la signature vers la passerelle, la passerelle se connecte à un serveur d'authentification forte qui génère le cas échéant un mot de passe à usage unique (OTP) après réception du code pin et de la signature, ce mot de passe à usage unique est ensuite envoyé vers la passerelle qui retourne ce même mot de passe accompagné de la signature vers le serveur d'authentification pour ouverture d'une session, le serveur d'authentification autorise ensuite l'accès du terminal au système d'information via la passerelle.
  2. 2. Procédé selon la revendication 1, caractérisé en ce qu'une fois l'accès autorisé, la communication entre le terminal et la passerelle se fait par déport d'affichage dans un tunnel sécurisé.
  3. 3. Procédé selon la revendication 1 ou 2, caractérisé en ce qu'une fois l'accès autorisé, la communication entre la passerelle et le système d'information se fait au moyen d'un navigateur installé sur la passerelle.
  4. 4. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'une fois l'accès autorisé vers le système d'information, l'application serveur génère et dispose sur le terminal au moins un raccourci, chaque raccourci permettant d'accéder à un navigateur donné installé sur la passerelle.- 20 -
  5. 5. Procédé selon la revendication 4, caractérisé en ce que chaque navigateur dans la passerelle est dédié à accéder à un type d'applications du système d'information, ces applications comprenant la navigation Web, des applications publiées ou un bureau du système d'information.
  6. 6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le lecteur html est un lecteur spécifique généré à partir de l'exécutable.
  7. 7. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que la signature est un identifiant élaboré à partir des caractéristiques matérielles et logicielles du terminal.
  8. 8. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le fichier exécutable est disposé dans un moyen de stockage portable connecté au terminal.
  9. 9. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'application serveur est configurée pour exécuter plusieurs sessions, chacune dans un environnement virtuel isolé.
FR1103042A 2011-10-06 2011-10-06 Procede pour acceder a un systeme d'information dispose derriere une passerelle informatique Active FR2981179B1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR1103042A FR2981179B1 (fr) 2011-10-06 2011-10-06 Procede pour acceder a un systeme d'information dispose derriere une passerelle informatique
PCT/FR2012/000403 WO2013057391A1 (fr) 2011-10-06 2012-10-08 Procédé pour accéder à un système d'information disposé derrière une passerelle informatique

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1103042A FR2981179B1 (fr) 2011-10-06 2011-10-06 Procede pour acceder a un systeme d'information dispose derriere une passerelle informatique

Publications (2)

Publication Number Publication Date
FR2981179A1 true FR2981179A1 (fr) 2013-04-12
FR2981179B1 FR2981179B1 (fr) 2014-02-14

Family

ID=47263399

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1103042A Active FR2981179B1 (fr) 2011-10-06 2011-10-06 Procede pour acceder a un systeme d'information dispose derriere une passerelle informatique

Country Status (2)

Country Link
FR (1) FR2981179B1 (fr)
WO (1) WO2013057391A1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007060016A2 (fr) * 2005-11-28 2007-05-31 Koninklijke Kpn N.V. Jeton auto approvisionne
WO2010136317A1 (fr) * 2009-05-27 2010-12-02 Commonit Procédé de navigation sur le réseau internet, support d'enregistrement, serveur d'accès et poste d'utilisateur pour la mise en oeuvre de ce procédé

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007060016A2 (fr) * 2005-11-28 2007-05-31 Koninklijke Kpn N.V. Jeton auto approvisionne
WO2010136317A1 (fr) * 2009-05-27 2010-12-02 Commonit Procédé de navigation sur le réseau internet, support d'enregistrement, serveur d'accès et poste d'utilisateur pour la mise en oeuvre de ce procédé

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
F5 NETWORKS: "Firepass SSL VPN DATASHEET", WWW.F5.COM, 25 June 2010 (2010-06-25), XP055028324, Retrieved from the Internet <URL:http://www.f5.com/pdf/products/firepass-ds.pdf> [retrieved on 20120529] *
LOGINPEOPLE: "CASE STUDY Strong authentication integration to secure a company's SSL VPN and Webmail accesses in a heterogeneous technical environment.", 1 June 2011 (2011-06-01), XP055027768, Retrieved from the Internet <URL:http://www.infosec.co.uk/ExhibitorLibrary/547/LoginPeople_CaseStudy_VPNSSL_OWA_EN_22.pdf> [retrieved on 20120522] *
NILS GRUSCHKA ET AL: "Browser as a Service (BaaS): Security and Performance Enhancements for the Rich Web", 17TH GI/ITG CONFERENCE ON COMMUNICATION IN DISTRIBUTED SYSTEMS (KIVS'11), 11 March 2011 (2011-03-11), XP055023357, Retrieved from the Internet <URL:http://drops.dagstuhl.de/opus/volltexte/2011/2975/pdf/22.pdf> [retrieved on 20120329], DOI: 10.4230/OASIcs.KiVS.2011.208 *

Also Published As

Publication number Publication date
FR2981179B1 (fr) 2014-02-14
WO2013057391A1 (fr) 2013-04-25

Similar Documents

Publication Publication Date Title
CN109558721B (zh) 客户端应用程序的安全单点登录和条件访问的方法和***
EP3008872B1 (fr) Procédé d&#39;authentification d&#39;un terminal par une passerelle d&#39;un réseau interne protégé par une entité de sécurisation des accès
CN105308923B (zh) 对具有多操作模式的应用的数据管理
EP2359302B1 (fr) Equipement de securite
CN107690793A (zh) 用于移动平台的微vpn隧穿
CN108028845A (zh) 使用导出凭证注册企业移动装置管理服务
CN105379223A (zh) 用于移动应用管理的对移动应用的身份的验证
FR2872983A1 (fr) Systeme de pare-feu protegeant une communaute d&#39;appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
EP2112624A1 (fr) Procédé pour gérer des equipements cryptographiques avec une administration unifiée
CN113614719A (zh) 基于具有不同认证凭证的认证令牌提供会话访问的计算***和方法
US20170111269A1 (en) Secure, anonymous networking
WO2009136080A2 (fr) Systeme et procede de securisation d&#39;un ordinateur comportant un micronoyau
FR2981178A1 (fr) Passerelle d&#39;acces securise a un systeme d&#39;information
EP3549330B1 (fr) Procédé et système pour réaliser une operation sensible au cours d&#39;une session de communication
WO2013050674A1 (fr) Boîtier informatique d&#39;accès sécurisé à un système d&#39;information
FR2981179A1 (fr) Procede pour acceder a un systeme d&#39;information dispose derriere une passerelle informatique
EP2912598B1 (fr) Procédé de téléchargement d&#39;au moins un composant logiciel dans un appareil informatique, produit programme d&#39;ordinateur, appareil informatique et système informatique associés
EP3353986A1 (fr) Procede de connexion securise, depuis un equipement informatique client, a une ressource informatique
EP3265948B1 (fr) Transfert sécurisé d&#39;information d&#39;authentification
WO2023247459A1 (fr) Procédé de suspension d&#39;un jeton de certification permettant d&#39;authentifier l&#39;établissement d&#39;une connexion entre deux équipements de communication, dispositifs et programmes d&#39;ordinateur correspondants
Yeluri et al. Network security in the cloud
EP4362391A1 (fr) Procédé de gestion d&#39;accès d&#39;un utilisateur à au moins une application, programme d&#39;ordinateur et système associés
EP4210277A1 (fr) Procédé de création d&#39;un canal de communication entre une application locale et une application saas, et procédé et système de communication entre lesdites applications
EP4340313A1 (fr) Machine virtuelle de confiance avec autorisation exceptionnelle d&#39; accès à des ressources interdites
FR3031211A1 (fr) Infrastructure d&#39;authentification de telephones ip d&#39;un systeme toip proprietaire par un systeme eap-tls ouvert

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 5

PLFP Fee payment

Year of fee payment: 6

PLFP Fee payment

Year of fee payment: 7

PLFP Fee payment

Year of fee payment: 8

PLFP Fee payment

Year of fee payment: 9

PLFP Fee payment

Year of fee payment: 10

PLFP Fee payment

Year of fee payment: 11

PLFP Fee payment

Year of fee payment: 12

PLFP Fee payment

Year of fee payment: 13