Procedimiento de optimización de la transferencia de flujos de datos protegidos por una red autónoma.

Procedimiento de optimización de la transferencia de flujo de datos protegidos por una red autónoma (30) entre una pluralidad de usuarios Pi Productores de informaciones y una pluralidad de usuarios Cj Consumidores de informaciones que incluyen,

cada uno, al menos un cliente (40) y/o al menos un servidor (4), procedimiento en el que dicha red autónoma incluye al menos un elemento central (44) encargado de distribuir consignas de optimización de dicha transferencia, al menos un módulo de observación (46) encargado de medir las características de los flujos a transferir, y al menos un módulo de optimización (48) encargado de aplicar dichas consignas de optimización tomando en consideración las mediciones obtenidas por el módulo de observación (46), y en el que los clientes (40) y los servidores (4) están configurados para intercambiar parámetros de autentificación mutua y parámetros de protección de los flujos intercambiados entre los usuarios Pi Productores de informaciones y los usuarios Cj Consumidores de informaciones, y para aplicar tras esta negociación un control de la integridad de los flujos transferidos y una protección de la confidencialidad según dichos parámetros de protección y según dichos parámetros de autentificación, procedimiento caracterizado porque incluye las siguientes etapas:

para cada sesión protegida entre un usuario Pi Productor de informaciones y un usuario Cj Consumidor de informaciones:

a) detectar mediante un módulo de optimización (48) situado geográficamente lo más cerca posible de un servidor (4) la inicialización de una sesión protegida entre un cliente (40) y un servidor (4),

b) temporizar la negociación entre el cliente (40) y el servidor (4) al nivel de dicho módulo de optimización (48),

c) establecer durante dicha temporización un canal de control protegido entre dicho módulo de optimización (48) y un agente autónomo (42) asociado al cliente (40),

d) intercambiar entre dicho módulo de optimización (48) y dicho agente autónomo (42), mediante dicho canal de control protegido, parámetros de seguridad no remanentes,

e) aplicar entre el agente autónomo (42) y el módulo de optimización (48) un procedimiento de protección inicializado por dichos parámetros de seguridad no remanentes, de manera que durante un intercambio de flujo entre el usuario Pi Productor de informaciones y el usuario Cj Consumidor de informaciones, el módulo de optimización que dispone de los parámetros de seguridad no remanentes aparezca como el cliente para el servidor durante dicha sesión.

Procedimiento de optimización de la transferencia de flujos de datos protegidos por una red autónoma

Ámbito técnico

La invención se sitúa en el ámbito de las telecomunicaciones y se refiere más concretamente a un procedimiento de optimización de la transferencia de flujos de datos protegidos por una red autónoma entre una pluralidad de usuarios Pi Productores de informaciones y una pluralidad de usuarios Cj Consumidores de informaciones que incluyen, cada uno, al menos un cliente y/o al menos un servidor, incluyendo dicha red autónoma al menos un elemento central encargado de distribuir consignas de optimización de la transferencia de flujos de datos, al menos un módulo de observación encargado de medir las características de los flujos a transferir, y al menos un módulo de optimización encargado de aplicar las consignas de optimización de la transferencia distribuidas por el elemento central tomando en consideración las medidas obtenidas por el módulo de observación, con los clientes y los servidores configurados para intercambiar parámetros de autentificación mutua y parámetros de protección de los flujos intercambiados entre los usuarios Pi Productores de informaciones y los usuarios Cj Consumidores de informaciones y para aplicar un control de la integridad de los intercambios y una protección de la confidencialidad según dichos parámetros de protección y según dichos parámetros de autentificación.

La invención se refiere asimismo a un dispositivo destinado a aplicar el procedimiento según la invención.

La invención se refiere también a un programa de ordenador memorizado en un soporte, que incluye instrucciones para aplicar el procedimiento según la invención cuando es ejecutado por un ordenador.

Estado de la técnica anterior

Con las últimas evoluciones de las redes de telecomunicaciones, los servidores ya no se sitúan en perímetros bien identificados de la Empresa o del grupo de usuarios, sino que están repartidos alrededor de una red extensa WAN (por Wide area network) . Por ello, los dispositivos de seguridad que garantizan la autentificación de las funciones que participan en los intercambios de flujos de información, la integridad de estos flujos y la confidencialidad de estos flujos ya no pueden basarse únicamente en principios de protección de perímetro. La usurpación de identidad que es una de las principales amenazas de esta digitalización, permite llevar a cabo acciones fraudulentas o acceder a derechos de manera indebida. Una de las técnicas de usurpación de identidad más extendida es la suplantación de identidad (phishing) , que consiste en hacer creer a un consumidor o a un productor de informaciones que se dirige a una tercera persona de confianza.

Por consiguiente, es indispensable garantizar la integridad de los flujos de informaciones intercambiados y la autenticidad de los participantes en estos intercambios.

Otro problema técnico inherente a las redes WAN procede del hecho de que sus características distorsionan notablemente los flujos y provocan una gran pérdida de calidad de Experiencia de las aplicaciones en red.

Por consiguiente es necesario introducir en la cadena de confianza dispositivos de optimización de los flujos sin exponerse por ello a las amenazas de usurpación.

IPsec (Internet Protocol Security) , definido por la IETF, es un conjunto de protocolos que utiliza algoritmos que permiten el transporte de datos protegidos en una red IP. Según estos protocolos, antes de que una transmisión IPsec pueda realizarse, deben implementarse unos mecanismos de autentificación de los dos extremos de un túnel protegido. Estos mecanismos se enmarcan en una arquitectura de seguridad muy estática adaptada a las infraestructuras básicas para realizar el enmascaramiento de flujos con un elevado grado de confidencialidad. Esto requiere una planificación de asociaciones de seguridad y un cableado lógico por encima de una red abierta en modo paquete. Los dispositivos de optimización se colocan entonces corriente arriba de este cableado lógico y forman parte integrante de la zona de confianza en la que las aplicaciones se despliegan. Una coordinación de estos dispositivos, bien mediante reglas, bien mediante mecanismos autónomos, sigue siendo posible en esta zona. Esta 55 coordinación permite poner en común capacidades de optimización como, por ejemplo, diccionarios de información redundantes. Esta puesta en común aumenta considerablemente la eficacia de estos dispositivos.

Sin embargo, la flexibilidad, el nomadismo, la continuidad del servicio en el caso de averías o de crisis conducen a relajar el cableado lógico por encima de la red. Paralelamente, la creciente amenaza de elementos corrompidos en el seno de la red protegida requiere un control de acceso más apurado. Esto conduce a la generalización de protocolos en modo Cliente-Servidor, creando dinámicamente túneles protegidos generalmente reducidos al transporte de un flujo aplicativo. De este modo, el protocolo TLS (por Transport Layer Security) de protección de los intercambios en Internet, anteriormente denominado Secure Sockets Layer (SSL) , y sus extensiones como DTLS dedicado al datagrama UDP, se basan en los certificados digitales que permiten la autentificación del servidor e 65 incluso la autentificación compleja del cliente. Los dispositivos de optimización se reducen entonces a funciones integradas en las aplicaciones y se vuelve difícil coordinar las múltiples aplicaciones y los múltiples Usuarios que

solicitan la red WAN. Se pierde entonces la eficacia alcanzada con los dispositivos de optimización diseminados en la red WAN o en estos accesos.

El protocolo TLS ha sido ampliamente adoptado en los dispositivos de optimización aplicativa colocados en los perímetros de los centros de procesamiento de datos (Data Center en inglés) . Este éxito ha requerido una búsqueda de soluciones para acelerar los procesamientos criptográficos (SSL offload) . Se han introducido dispositivos separados de los servidores y se han dedicado a los procesamientos SSL. Su centralización y co-localización con los servidores de aplicación ha hecho posible una simple duplicación de los certificados digitales en la base de la autentificación. Estos certificados están firmados por una Autoridad de Certificación que otorga la validez de la asociación de la clave pública-identidad del servidor. Se han adoptado ampliamente procedimientos como los diseñados por los laboratorios RSA (PKCS Public Key Cr y ptographic Standards) . De manera general, antes de emitir una solicitud de certificación a la Autoridad de Certificación, se produce un par de clave pública-clave privada y protección de la clave privada. La administración común de los servidores y de los dispositivos de optimización permite para un mismo certificado firmado tener varios equipos en los que se instala la clave privada asociada. Una primera generación de dispositivos de optimización aplicativa ha heredado estos principios, ya que utilizaba principios de optimización en un punto.

Sin embargo, la eficacia máxima de una optimización solo se alcanza desplegando dispositivos en los dos extremos de un túnel protegido.

El documento US 2007/0074282 "Distributed SSL processing" describe un procedimiento para terminar una sesión SSL al nivel de un primer dispositivo de optimización colocado lo más cerca posible del cliente, al tiempo que se deja un administrador de certificado SSL al nivel del centro de procesamiento de datos. Estos dispositivos de optimización forman parte de una infraestructura protegida en la que los flujos optimizados pueden ser intercambiados sin temor a una desviación.

Sin embargo, este procedimiento se inscribe en una arquitectura en la que los dispositivos de optimización forman parte del cableado lógico de la Empresa y ya no es favorable a los nuevos retos de flexibilidad, nomadismo, continuidad de servicio, amenazas crecientes de elementos corrompidos corriente arriba de la red WAN y esquemas de múltiples partes que mezclan responsabilidades de operadores de telecomunicación, proveedores de servicios y organizaciones de las empresas.

La figura 1 ilustra esquemáticamente una arquitectura cliente-servidor que aplica un procedimiento de protección de la técnica anterior.

Esta arquitectura incluye un centro de procesamiento de datos 2 que alberga varios servidores de aplicaciones 4, un primer módulo de aceleración de procesamientos 6, y un módulo de protección de los intercambios 8. El centro de procesamiento de datos 2 está conectado mediante una red WAN 9 a un local remoto 10 que incluye varios clientes 12 y un segundo módulo de aceleración de los procesamientos 14.

El primer módulo de aceleración... [Seguir leyendo]

1. Procedimiento de optimización de la transferencia de flujo de datos protegidos por una red autónoma (30) entre una pluralidad de usuarios Pi Productores de informaciones y una pluralidad de usuarios Cj Consumidores de informaciones que incluyen, cada uno, al menos un cliente (40) y/o al menos un servidor (4) , procedimiento en el que dicha red autónoma incluye al menos un elemento central (44) encargado de distribuir consignas de optimización de dicha transferencia, al menos un módulo de observación (46) encargado de medir las características de los flujos a transferir, y al menos un módulo de optimización (48) encargado de aplicar dichas consignas de optimización tomando en consideración las mediciones obtenidas por el módulo de observación (46) , y en el que los clientes (40) y los servidores (4) están configurados para intercambiar parámetros de autentificación mutua y parámetros de protección de los flujos intercambiados entre los usuarios Pi Productores de informaciones y los usuarios Cj Consumidores de informaciones, y para aplicar tras esta negociación un control de la integridad de los flujos transferidos y una protección de la confidencialidad según dichos parámetros de protección y según dichos parámetros de autentificación, procedimiento caracterizado porque incluye las siguientes etapas:

para cada sesión protegida entre un usuario Pi Productor de informaciones y un usuario Cj Consumidor de informaciones:

a) detectar mediante un módulo de optimización (48) situado geográficamente lo más cerca posible de un servidor (4) la inicialización de una sesión protegida entre un cliente (40) y un servidor (4) , b) temporizar la negociación entre el cliente (40) y el servidor (4) al nivel de dicho módulo de optimización (48) , c) establecer durante dicha temporización un canal de control protegido entre dicho módulo de optimización (48) y 25 un agente autónomo (42) asociado al cliente (40) , d) intercambiar entre dicho módulo de optimización (48) y dicho agente autónomo (42) , mediante dicho canal de control protegido, parámetros de seguridad no remanentes, e) aplicar entre el agente autónomo (42) y el módulo de optimización (48) un procedimiento de protección inicializado por dichos parámetros de seguridad no remanentes, de manera que durante un intercambio de flujo entre el usuario Pi Productor de informaciones y el usuario Cj Consumidor de informaciones, el módulo de optimización que dispone de los parámetros de seguridad no remanentes aparezca como el cliente para el servidor durante dicha sesión.

2. Procedimiento según la reivindicación 1 en el que la transferencia del agente autónomo (42) hacia el módulo de optimización (48) de los parámetros de protección y de los parámetros de autentificación negociados entre el cliente (40) y el servidor (4) es sometida a una autorización de un módulo de coordinación (50) destinado a aplicar consignas dictadas por el elemento central (44) destinado a autorizar o a prohibir dicha transferencia.

3. Procedimiento según la reivindicación 1 en el que la transferencia del agente autónomo (42) hacia el módulo de optimización (48) de los parámetros de protección y de los parámetros de autentificación negociados entre el cliente (40) y el servidor (4) es sometido a por lo menos una regla previamente definida por el administrador del cliente (40) .

4. Procedimiento según la reivindicación 3 en el que dicha regla consiste, bien en no optimizar ciertos flujos 45 particulares, bien en consignar la sesión protegida objeto de una optimización en un diario, o en notificar una alerta al usuario del cliente (40) indicándole que la sesión protegida que utiliza es objeto de una optimización.

5. Procedimiento según la reivindicación 2 en el que dicho módulo de coordinación (50) organiza, además, una transferencia de las funciones de optimización entre dos módulos de optimización (48) distintos durante un cambio de ruta de los flujos protegidos.

6. Procedimiento según la reivindicación 1 en el que el cliente (4) se comunica directamente con el núcleo de la red autónoma por un canal de control dedicado.

7. Procedimiento según la reivindicación 1 en el que los flujos de datos protegidos intercambiados entre un usuario Pi Productor de informaciones y un usuario Cj Consumidor de informaciones se generan mediante aplicaciones de comunicación multimedia como la telefonía, videotelefonía, videoconferencia, o aplicaciones de distribución multimedia como el vídeo a la carta, difusiones, sindicaciones de contenido, o aplicaciones de consulta como los directorios, servicios interactivos, o también aplicaciones para compartir información como los intercambios Peer-to-Peer, las bases de datos compartidas, o aplicaciones informáticas cuyos elementos se ejecutan en máquinas remotas y se sincronizan para intercambiar información a través de la red autónoma.

8. Procedimiento según la reivindicación 1 en el que la autentificación mutua entre el cliente (40) y el servidor (4) está basada en el procedimiento Internet Key Exchange (IKE) cuando los flujos están protegidos por los protocolos 65 IPsec, o en el procedimiento de intercambio de certificados digitales cuando los flujos están protegidos por los protocolos del tipo Secure Sockets Layer (SSL) o Transport Layer Security (TLS) .

9. Procedimiento según la reivindicación 8 en el que el cliente (40) es un mandatario que actúa por cuenta de un conjunto de Clientes.

10. Dispositivo de optimización de la transferencia de flujos de datos protegidos intercambiados mediante una red autónoma (30) entre una pluralidad de usuarios Pi Productores de informaciones y una pluralidad de usuarios Cj Consumidores de informaciones que incluyen, cada uno, al menos un cliente (40) y/o al menos un servidor (4) configurados para negociar parámetros de autentificación mutua y parámetros de protección de los flujos intercambiados entre los usuarios Pi Productores de informaciones y los usuarios Cj Consumidores de informaciones, y para aplicar, tras esta negociación, un control de la integridad de los intercambios y una protección de la confidencialidad según dichos parámetros de protección de los flujos, incluyendo dicha red autónoma (30) al menos un elemento central (44) encargado de distribuir consignas de optimización de dicha transferencia, al menos un módulo de observación (46) encargado de medir las características de los flujos a optimizar, y al menos un módulo de optimización (48) , encargados de aplicar dichas consignas de optimización tomando en consideración las mediciones obtenidas por el módulo de observación (46) , dispositivo caracterizado porque dicho módulo de optimización (48) incluye medios para detectar la inicialización de una sesión protegida entre el cliente (40) y el servidor (4) , medios para temporizar la negociación entre el cliente (40) y el servidor (4) , medios para establecer durante dicha temporización un canal de control protegido con un agente autónomo (42) integrado en el cliente (40) para intercambiar entre dicho módulo de optimización (48) y dicho agente autónomo (42) parámetros de seguridad no remanentes, medios para aplicar entre el agente autónomo (42) y el módulo de optimización (48) un procedimiento de protección que utiliza dichos parámetros de seguridad no remanentes, de manera que durante un intercambio de flujos entre el usuario Pi Productor de informaciones y el usuario Cj Consumidor de informaciones, el módulo de optimización (48) que dispone de los parámetros de seguridad no remanentes aparezca como el cliente para el servidor durante dicha sesión.

11. Programa de ordenador memorizado en un soporte que incluye instrucciones para aplicar el procedimiento según la reivindicación 1 cuando es ejecutado por un ordenador.