Un método para poner en práctica una autenticación de dominio y una autenticación de privilegio de acceso a red,

que comprende: la recepción, por un dispositivo de control de seguimiento, de una petición de autenticación de dominio desde un terminal de usuario (2); el envío, por el dispositivo de control de seguimiento, de la petición de autenticación de dominio a un controlador de dominio (3); la recepción, por el dispositivo de control de seguimiento, de un resultado de autenticación de dominio desde el controlador de dominio, en donde una autenticación de dominio, en el terminal de usuario, se realiza en función de la petición de autenticación de dominio (4) y caracterizado porque: la determinación, por el dispositivo de control de seguimiento, de si la autenticación de dominio, en el terminal de usuario, es positiva, o no, para obtener un privilegio de acceso válido del dominio en función del resultado de autenticación de dominio; si el terminal de usuario tiene éxito operativo para obtener el privilegio de acceso válido del dominio, la obtención de un privilegio de acceso a red correspondiente al terminal de usuario y la autorización al terminal de usuario para acceder a red; en caso contrario, la prohibición al terminal de usuario de acceder a red (5).

CAMPO DE LA INVENCIÓN

La presente invención se refiere a tecnologías de acceso a red en el campo de la comunicación y de la informática, en particular, a un método y un dispositivo para poner en práctica una autenticación de dominio y una autenticación de privilegio de acceso a red.

ANTECEDENTES DE LA INVENCIÓN

La mayor parte de las redes de empresas existentes y las redes de área local relacionadas utilizan un sistema de dominio. Por ejemplo, numerosas redes de empresa emplean el Controlador de Dominio Primario de Windows de Microsoft Company. Para dispositivos de red, de una red de empresa, se podrían necesitar proporcionar algunos controles de servicios, que incluyen que un usuario introduzca diferentes nombres y contraseñas del usuario para obtener diferentes privilegios de acceso a red, en donde los nombres y contraseñas del usuario necesitan introducirse por el propio usuario. Puesto que un controlador de dominio se utiliza en la red de empresa, el usuario ha de transmitir la autenticación de dominio cuando desee acceder a algunos recursos de redes internos. De este modo, el usuario necesita introducir, de nuevo, un nombre y contraseña de usuario correspondientes.

Por lo tanto, Microsoft Company establece una solución de autenticación simple, de una sola vez, en la que el nombre y la contraseña del usuario se introducen en el sistema de Windows solamente una vez. El ordenador se registra inicialmente en la red según la información de identidad de dominio del usuario y luego se registra en el dominio. De este modo, el usuario puede obtener una identidad válida y un privilegio de acceso de la red y del dominio, simultáneamente, introduciendo el nombre y la contraseña del usuario solamente una vez. Un modo de conexión en red (networking) típico se representa en la Figura 1 y su flujo de autenticación se representa en la Figura 2. Los procesos primarios son como sigue:

1. Se realiza un procesamiento de pre-autenticación, que se refiere a varias preparaciones antes de una autenticación, tales como obtener una dirección IP, realizar una negociación de capa de enlace, etc.

2. Un sistema de petición de autenticación envía una petición de autenticación que contiene la información de identidad del usuario a un dispositivo de control de autenticación. La información de identidad del usuario puede ser el nombre y la contraseña del usuario o una tarjeta inteligente, tal como una tarjeta SIM con la identidad del usuario. En la solución de Microsoft, la información de identidad de dominio, tal como nombre de usuario del dominio, cuenta, etc. se puede utilizar también como información de identidad del usuario para una autenticación de red.

3. Después de que el dispositivo de control de autenticación obtiene la información de identidad del usuario, una petición de autenticación se envía a un servidor de autenticación. El servidor de autenticación es una entidad lógica, que suele ser independiente del dispositivo de control de autenticación, pero puede ser también una parte del dispositivo de control de autenticación.

4. El servidor de autenticación obtiene directamente la información de identidad del usuario almacenada desde un controlador de dominio o desde un sistema de almacenamiento correspondiente, tal como un Directorio Activo, etc. el motivo es que la red y el dominio utilizan la misma información de identidad del usuario.

5. El servidor de autenticación compara la información de identidad del usuario contenida en la petición de autenticación con la información de identidad del usuario almacenada. Si la identidad del usuario se determina que es válida, se reenvía un resultado de éxito de la autenticación. Si se determina que la identidad del usuario no es válida, se reenvía un resultado de fallo de la autenticación.

6. El dispositivo de control de autenticación reenvía la información del resultado del éxito o fallo de la autenticación al sistema de petición de autenticación. Si la autenticación es un éxito operativo, indica que el sistema de petición de autenticación obtiene un privilegio de acceso a red válido y el dispositivo de control de autenticación puede realizar una autorización, contabilización y control de acceso, etc. en el usuario. Si falla la autenticación, indica que el usuario no obtiene un privilegio de acceso a red válido y el dispositivo de control de autenticación no concederá un correspondiente privilegio de acceso válido para al usuario.

7. Si la autenticación es un éxito operativo, un cliente de Windows envía automáticamente una petición de autenticación de dominio al controlador de dominio.

8. El controlador de dominio compara la información de identidad del usuario soportada en la petición de autenticación de dominio con la información de identidad del usuario almacenada en el controlador de

dominio o en un correspondiente sistema de almacenamiento, tal como Directorio Activo, etc. Si se determina que la identidad del usuario es válida, se reenvía un resultado de éxito operativo de autenticación. Si se determina que la identidad del usuario no es válida, se reenvía un resultado de fallo de la autenticación. A continuación, se reenvía la información del resultado de éxito, o fallo, de la autenticación de dominio al cliente de Windows.

El flujo anterior es un flujo esquemático para el proceso de autenticación. En los protocolos prácticos, es probable que los procesos de petición y de respuesta presenten una pluralidad de procesos.

En los protocolos de autenticación prácticos, en la solución proporcionada por Microsoft Company, se pueden utilizar dos métodos de autenticación, PPPoE y 802.1 x, entre el sistema de petición de autenticación y el dispositivo de control de autenticación. El protocolo de Servicio de Autenticación Remota Telefónica de Usuario (RADIUS) se utiliza entre el dispositivo de control de autenticación y el servidor de autenticación.

Aunque la información de identidad del usuario necesita introducirse solamente una vez cuando la solución anterior se utiliza para la autenticación, debe añadirse un servidor de autenticación RADIUS y el dispositivo de control de autenticación ha de proporcionar una autenticación punto a punto (PPP) con MS-CHAP (Protocolo de Autenticación por Desafío Mutuo de Microsoft) o una autenticación tipo 802.1x. Además, el método existente tiene requisitos estrictos sobre el dispositivo relacionado tal como un terminal de usuario, dispositivo de red y servidor de autenticación etc. Por ejemplo, actualmente, sólo se puede utilizar el servidor de autenticación proporcionado por Microsoft Company y unos pocos servidores de autenticación que pueden acceder a un Directorio Activo (AD, que es una clase de base de datos proporcionada por Microsoft Company para almacenar información tal como información del usuario, información del dominio, etc.). Sin embargo, no se puede utilizar numerosos servidores de autenticación existentes en la red.

El documento D1 (US20040168090) describe un sistema y método para delegar un proceso de autenticación de usuario, para una aplicación conectada en red, a un proxy de autenticación. Una aplicación, conectada en red, puede pedir a un usuario que proporcione información de autenticación para poder acceder a la aplicación. A la recepción de esta información de autenticación desde el usuario, el lado del cliente de la aplicación, conectada en red, envía la información al lado del servidor de la aplicación conectada en red. A continuación, el lado del servidor de la aplicación puede determinar un agente de autenticación apropiado, asociado con el usuario, para delegarle el proceso de autenticación. Por ejemplo, para cada usuario de aplicación, el lado del servidor de la aplicación puede mantener información asociada con el usuario, tal como el empleador del usuario. A continuación, la aplicación puede poner en correspondencia esta información del empleador con un agente de autenticación que opera en el dominio de la red del empleador y el proceso de autenticación se puede delegar, entonces, a este agente de autenticación.

SUMARIO DE LA INVENCIÓN

La invención da a conocer un método y un dispositivo para poner en práctica una autenticación de dominio y una autenticación de privilegio de acceso a red para resolver la limitación en aplicaciones prácticas debido a requisitos estrictos en el terminal de usuario, el dispositivo de red y el servidor de autenticación utilizando el método de autenticación existente.

Para resolver la limitación anterior, la invención da a conocer... [Seguir leyendo]

1. Un método para poner en práctica una autenticación de dominio y una autenticación de privilegio de acceso a red, que comprende:

la recepción, por un dispositivo de control de seguimiento, de una petición de autenticación de dominio desde un terminal de usuario (2);

el envío, por el dispositivo de control de seguimiento, de la petición de autenticación de dominio a un controlador de dominio (3);

la recepción, por el dispositivo de control de seguimiento, de un resultado de autenticación de dominio desde el controlador de dominio, en donde una autenticación de dominio, en el terminal de usuario, se realiza en función de la petición de autenticación de dominio (4) y caracterizado porque:

la determinación, por el dispositivo de control de seguimiento, de si la autenticación de dominio, en el terminal de usuario, es positiva, o no, para obtener un privilegio de acceso válido del dominio en función del resultado de autenticación de dominio; si el terminal de usuario tiene éxito operativo para obtener el privilegio de acceso válido del dominio, la obtención de un privilegio de acceso a red correspondiente al terminal de usuario y la autorización al terminal de usuario para acceder a red; en caso contrario, la prohibición al terminal de usuario de acceder a red (5).

2. El método según la reivindicación 1, que comprende, además: el envío, por el dispositivo de control de seguimiento, del resultado de autenticación de dominio al terminal de usuario (6).

3. El método según la reivindicación 1 o 2, en donde el dispositivo de control de seguimiento sigue y analiza todos los mensajes de autenticación de dominio entre el terminal de usuario y el controlador de autenticación de dominio durante la autenticación de dominio.

4. El método según la reivindicación 1, en donde el dispositivo de control de seguimiento obtiene directamente el privilegio de acceso a red correspondiente al terminal de usuario desde el propio terminal.

5. El método según la reivindicación 1, en donde el dispositivo de control de seguimiento obtiene el privilegio de acceso a red correspondiente al terminal de usuario desde otro dispositivo de red.

6. El método según la reivindicación 5, en donde la obtención por el dispositivo de control de seguimiento del privilegio de acceso a red correspondiente al terminal de usuario desde otro dispositivo de red, comprende además:

la recepción, por el dispositivo de control de seguimiento, del privilegio de acceso a red que está preconfigurado para el terminal de usuario correspondiente desde el otro dispositivo de red, después de que el otro dispositivo de red reciba una petición desde el dispositivo de control de seguimiento o

la recepción, por el dispositivo de control de seguimiento, del privilegio de acceso a red que se asigna dinámicamente al terminal de usuario, después de que el otro dispositivo de red reciba la petición desde el dispositivo de control de seguimiento.

7. El método según la reivindicación 1, en donde cuando el dispositivo de control de seguimiento determina que se necesita una contabilización en el terminal de usuario, se da instrucciones a un servidor de contabilización designado para iniciar la contabilización después de determinar que la autenticación de dominio en el terminal de usuario es positiva.

8. El método según la reivindicación 7, en donde cuando el dispositivo de control de seguimiento constata que una sesión de usuario se termina por un protocolo de autenticación de dominio, que ha terminado un límite de tiempo de autenticación de dominio en el terminal de usuario, que el terminal de usuario envía una nueva petición o que el usuario está desconectado fuera de línea, da instrucciones al servidor de contabilización para interrumpir su operación.

9. Un dispositivo de control de seguimiento, que comprende: un módulo de gestión de dispositivo (401) para gestionar cada uno de los módulos en el dispositivo; un módulo de gestión de ruta (402) para gestionar una ruta de mensajes; un módulo de gestión de usuarios (403) para gestionar informaciones y privilegios de usuarios y un módulo de reenvío de mensajes (404) para enviar un mensaje desde un puerto de entrada del dispositivo a un puerto de salida, que comprende además:

un módulo de análisis sintáctico de mensajes (405) para analizar un mensaje de autenticación de dominio enviado por el módulo de reenvío de mensajes y guardar la información del usuario en el módulo de gestión de usuarios y caracterizado porque:

un módulo de procesamiento de mensajes para configurar un privilegio de acceso a red para el usuario en función de un mensaje de autenticación de dominio positivo, lo que significa que el usuario ha tenido éxito operativo en obtener un privilegio de acceso válido del dominio, analizado por el módulo de análisis sintáctico de mensajes o para prohibir al usuario el acceso a red en función de un mensaje de autenticación de dominio negativo, lo que significa que el usuario no ha obtenido el privilegio de acceso válido del dominio, analizado por el módulo de análisis sintáctico de mensajes.

10. El dispositivo de control de seguimiento según la reivindicación 9, en donde el módulo de procesamiento de mensajes está construido en el módulo de gestión de usuarios (403).

11. Un sistema para poner en práctica una autenticación de dominio y una autenticación de privilegio de acceso a red, que comprende un terminal de usuario (301), un controlador de dominio (302) y un dispositivo de control de seguimiento (303), en donde:

el terminal de usuario (301) envía una petición de autenticación de dominio al controlador de dominio (302);

el controlador de dominio (302) realiza una autenticación de dominio en el terminal de usuario (301) en función de la petición de autenticación de dominio y reenvía un resultado de autenticación de dominio al dispositivo de control de seguimiento (303) y caracterizado porque:

el dispositivo de control de seguimiento (303) está destinado para determinar si la autenticación de dominio en el terminal de usuario (301) es positiva, o no, para obtener un privilegio de acceso válido del dominio en función del resultado de autenticación de dominio; si el terminal de usuario (301) tiene éxito operativo para obtener el privilegio de acceso válido del dominio, para obtener un privilegio de acceso a red correspondiente al terminal de usuario (301) y para autorizar al terminal de usuario (301) el acceso a red y en caso contrario, prohibir al terminal de usuario (301) el acceso a red.