APPARATUS AND METHOD FOR MANAGING ACCESS TO ONE OR MORE NETWORK RESOURCES

• Main Authors: KALOFONOS, DIMITRIS, REYNOLDS, FRANKLIN
• Format: Patent
• Language: English; French
• Published: 30.04.2009
• Subjects: ELECTRIC COMMUNICATION TECHNIQUE; ELECTRICITY; TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHICCOMMUNICATION

An apparatus is provided that includes a processor configured to receive a captured traffic unit (CTU) intended for a network service, the CTU being one into which incoming traffic has been assembled based on a filter describing which incoming traffic to capture and how to assemble the respective incoming traffic into the CTU. The processor is also configured to determine whether to allow the CTU to pass to one or more applications configured to implement the respective network service based on a passlet including permissions to a particular user. The processor is further configured to instruct a firewall to allow the CTU to pass to the respective one or more applications or to reject the CTU based on the determination. In this regard, the processor is configured to perform the above functions under control of a security framework implemented in middleware between a user-level domain and a system-level domain. L'invention concerne un appareil qui comprend un processeur configuré pour recevoir une unité de trafic capturé (CTU) destinée à un service de réseau, la CTU étant une unité dans laquelle du trafic entrant a été assemblé sur la base d'un filtre décrivant quel trafic entrant capturer et comment assembler le trafic entrant respectif dans la CTU. Le processeur est aussi configuré pour déterminer s'il faut autoriser ou non la CTU à passer vers une ou plusieurs applications configurées pour mettre en oevre le service de réseau respectif sur la base d'un passe logiciel (= passlet =) incluant des permissions à un utilisateur particulier. Le processeur est en outre configuré pour ordonner à un pare-feu d'autoriser la CTU à passer vers la ou les applications respectives ou de rejeter la CTU sur la base de la détermination. A cet égard, le processeur est configuré pour exécuter les fonctions précédentes sous la commande d'un cadre d'application de sécurité mis en oevre en intergiciel entre un domaine de niveau utilisateur et un domaine de niveau système.