Procedimiento y dispositivos para la securización de la conexión de un terminal a una red informática.

Procedimiento de securización de la conexión de un terminal (1) a una red (2) de comunicación,

en particular de tipo informático, en el que dicho terminal (1) se conecta a dicha red (2) a través de por lo menos una interfaz de comunicación (3, 4) de manera que emita y reciba por lo menos un flujo de datos, que comprende unas etapas de:

- creación de una pasarela virtual (6) de control de dicho flujo de datos que comprende una máquina virtual implementada en dicho terminal (1),

- creación de una interfaz virtual (30, 40) a nivel de dicha pasarela (6) por duplicación de dicha interfaz de comunicación (3, 4),

- control de dicho flujo de datos a nivel de dicha pasarela (6) y encaminamiento del flujo de datos controlado hacia dicho terminal (1),

- configuración de dicha interfaz de comunicación (3, 4) para convertirla en indisponible con respecto a dicha red (2), de manera que dicho flujo de datos sea redirigido hacia dicha interfaz virtual (30, 40),

caracterizado por que comprende además una etapa de asignación a la interfaz de comunicación (3, 4) de una dirección incompatible con dicha red (2), de tal manera que dicha interfaz de comunicación (3, 4) se convierte en indisponible con respecto a dicha red (2).

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/FR2010/052449.

Solicitante: Saad, Clément.

Nacionalidad solicitante: Francia.

Dirección: 1 Traverse de l'Artimon 34970 Lattes FRANCIA.

Inventor/es: SAAD,CLÉMENT.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • G06F21/55 FISICA.G06 CALCULO; CONTEO.G06F PROCESAMIENTO ELECTRICO DE DATOS DIGITALES (sistemas de computadores basados en modelos de cálculo específicos G06N). › G06F 21/00 Disposiciones de seguridad para la protección de computadores, sus componentes, programas o datos contra actividades no autorizadas. › La detección de intrusiones locales o la aplicación de contramedidas.
  • G06F9/455 G06F […] › G06F 9/00 Disposiciones para el control por programa, p. ej. unidades de control (control por programa para dispositivos periféricos G06F 13/10). › Emulación; Interpretación; Simulación delsoftware, p. ej. virtualización o emulación de motores de ejecución de aplicaciones o sistemas operativos.
  • H04L29/06 ELECTRICIDAD.H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS.H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.

PDF original: ES-2548178_T3.pdf

 

Fragmento de la descripción:

Procedimiento y dispositivos para la securización de la conexión de un terminal a una red informática.

Campo técnico La presente invención se sitúa en el campo de las comunicaciones y de la informática.

La invención se refiere más particularmente a la conexión de un terminal a una red de comunicación de tipo 10 informático y a la securización de los datos que transitan por una conexión del tipo mencionado.

La invención encontrará una aplicación particular, aunque en ningún caso limitativa, en la securización y la regulación de flujos de datos que entran o salen hacia o desde un terminal, tal como un ordenador, recíprocamente desde o hacia una red de comunicación, en particular informática, tal como internet, a través de una conexión con dicha red.

Estado de la técnica anterior Tal como es sabido, un terminal se conecta a una red informática a través de por lo menos una interfaz de comunicación. Por medio de esta interfaz, transitan flujos de datos entrantes desde dicha red hacia dicho terminal y salientes desde dicho terminal hacia dicha red.

Un inconveniente principal de los flujos de datos, en particular recibidos por dicho terminal, reside en los problemas de seguridad creados. En efecto, dichos datos recibidos pueden ser peligrosos, en particular los que comprenden un programa o datos maliciosos ("malware") por ejemplo, de manera no exhaustiva: un virus, un gusano informático, un troyano, una puerta trasera ("backdoor") , un programa espía, un bulo ("hoax") , correo basura, suplantación de identidad ("phishing") o similares. Por lo tanto, existe una necesidad absoluta de proteger dicho terminal contra la recepción de datos maliciosos del tipo mencionado a través de la securización de su conexión y del filtrado de los datos recibidos.

Por otro lado, la conexión con dicha red puede provocar defectos de seguridad o accesos a portales virtuales no deseados, por ejemplo, sitios de internet de orden personal a los cuales accede un usuario desde un terminal profesional. Se debe contemplar por lo tanto una restricción del acceso de dicho terminal hacia dicha red.

Para ello, existen muchas soluciones, en forma tangible o de software, generalmente dedicadas a uno u otro caso.

Una solución generalizada consiste en un cortafuegos o firewall que limita las intrusiones hacia dicho terminal bloqueando ciertos puertos de comunicación con dicha red y filtrando los flujos de datos. Un firewall puede ser un software, instalado en dicho terminal o un servidor que actúe como pasarela con dicha red, o tangible.

Otra solución, totalmente de software, consiste en aplicaciones denominadas "anti-virus". Se trata de aplicaciones instaladas en dicho terminal, o en un servidor que actúa como pasarela, y que permiten filtrar los datos una vez recibidos.

Dichas soluciones, aunque están adaptadas para terminales de tipo puesto fijo, generan problemas de puesta en práctica en el ámbito de los terminales móviles, de tipo ordenador portátil, susceptibles de conectarse desde diferentes emplazamientos geográficos. Por lo tanto, no se pueden contemplar las soluciones puestas en práctica por un servidor o un hardware anexo físico (tal como un cortafuegos o un encaminador) .

Una solución alternativa conocida consiste en unos dispositivos amovibles, aptos para conectarse a dicho terminal y que permiten configurar para cada terminal parámetros de conexión particulares y que integran programas anti-virus u otros.

Un ejemplo de un dispositivo amovible del tipo mencionado se describe por medio del documento WO 02/095543

referente a la securización, por cifrado, de los datos, en particular de los paquetes que forman dichos flujos. Aunque una solución de este tipo mejora la seguridad de la transferencia de los datos, no impide en modo alguno la transmisión, incluso cifrada, de programas o datos maliciosos.

En el documento WO 2007/069245 se describe otra solución referente a un dispositivo amovible provisto de medios 60 de conexión con un terminal y que actúa como pasarela de forma que filtra los flujos de datos procedentes de dicha red. Para ello, este intermediario integra unos programas ejecutados en dicho terminal desde el dispositivo, aunque también a nivel de hardware para desviar la conexión con dicha red con el fin de que la misma transite por dicho dispositivo amovible.

Un dispositivo de este tipo está limitado al nivel de hardware, en relación con dicho terminal. En efecto, adolece del inconveniente de ser específico de cada tipo de conexión, por cables o no, con dicha red. Además, es específico del sistema operativo que funciona en dicho terminal, dado que actúa en las capas del núcleo de dicho sistema.

Se conoce también el documento US 2006/112342 A1, que describe un procedimiento según el preámbulo de la reivindicación 1.

Exposición de la invención La invención tiene como objetivo paliar los inconvenientes del estado de la técnica al proponer una solución totalmente aplicativa, es decir que se puede implementar en una forma de software, que permite securizar la conexión de un terminal a una red de comunicación. En particular, la invención permite filtrar los flujos de datos por medio de aplicaciones dedicadas y configurar restricciones de acceso de un usuario a dicha red.

De forma ventajosa, el tratamiento de los flujos resulta posible a través de una reproducción virtual de las interfaces de conexión de dicho ordenador y convirtiendo éstas últimas en indisponibles. Para ello, la presente invención se refiere a un procedimiento de securización de la conexión de un terminal a una red de comunicación, en particular de tipo informático, en el que dicho terminal está conectado a dicha red a través de por lo menos una interfaz de comunicación de forma que emite y recibe por lo menos un flujo de datos, según la reivindicación 1.

El procedimiento según la invención puede comprender además unas etapas: -de atribución de una dirección física a la interfaz virtual idéntica a la dirección física de la interfaz de comunicación; -de atribución de una dirección MAC (Control de Acceso al Medio o Media Access Control en inglés) a la interfaz virtual, idéntica a la dirección MAC de la interfaz de comunicación; -de asignación a la interfaz de comunicación de una dirección IP incompatible con la red; -de creación de una interfaz nueva a nivel de dicho terminal apta para recibir el flujo controlado;

El procedimiento según la invención puede comprender además, en calidad de control del flujo de datos a nivel de la pasarela, por lo menos cualquiera de las siguientes etapas: protección, filtrado, tratamiento de dicho flujo de datos.

La pasarela virtual puede comprender una máquina virtual. Esta máquina virtual puede comprender un sistema operativo diferente al del terminal, o un sistema operativo idéntico o similar al del terminal.

Según otros aspectos, se propone: -un dispositivo de programa de ordenador que comprende instrucciones para ejecutar las etapas del procedimiento según la invención, siendo dicho programa de ordenador apto para ser ejecutado en el terminal; -un dispositivo de almacenamiento masivo que comprende un programa de ordenador, caracterizado por que es apto para conectarse al terminal de tal manera que se permite la ejecución de dicho programa de ordenador en dicho terminal; -un dispositivo de almacenamiento masivo que comprende cualquiera de los siguientes dispositivos: llave USB, tarjeta de memoria, disco duro, o cualquier otro soporte físico o virtual.

Según otros modos de realización, el procedimiento según la invención puede consistir en: -crear una pasarela virtual de control aplicativo de dicho flujo de datos; -crear una interfaz virtual a nivel de dicha pasarela por duplicación de dicha interfaz de comunicación; -convertir en indisponible dicha interfaz de comunicación con respecto a dicha red de manera que dicho flujo sea redirigido hacia dicha interfaz virtual; -controlar dicho flujo a nivel de dicha pasarela y a continuación encaminarlo (o transferirlo) , controlado, hacia dicho terminal.

Dicha duplicación puede consistir en la creación de un puente entre dicha interfaz de comunicación y dicha interfaz virtual nueva.

De forma ventajosa, dicho procedimiento puede consistir en convertir en indisponible dicha interfaz de comunicación modificando la interfaz con la red por asignación de una dirección incompatible con dicha red.

Además, el encaminamiento puede consistir en crear una interfaz nueva a nivel de dicho terminal con el fin de transmitirle dicho flujo controlado.

En particular, dicho control aplicativo puede consistir en un conjunto de módulos de protección,... [Seguir leyendo]

 

Reivindicaciones:

1. Procedimiento de securización de la conexión de un terminal (1) a una red (2) de comunicación, en particular de tipo informático, en el que dicho terminal (1) se conecta a dicha red (2) a través de por lo menos una interfaz de 5 comunicación (3, 4) de manera que emita y reciba por lo menos un flujo de datos, que comprende unas etapas de:

- creación de una pasarela virtual (6) de control de dicho flujo de datos que comprende una máquina virtual implementada en dicho terminal (1) , -creación de una interfaz virtual (30, 40) a nivel de dicha pasarela (6) por duplicación de dicha interfaz de comunicación (3, 4) , -control de dicho flujo de datos a nivel de dicha pasarela (6) y encaminamiento del flujo de datos controlado hacia dicho terminal (1) .

15. configuración de dicha interfaz de comunicación (3, 4) para convertirla en indisponible con respecto a dicha red (2) , de manera que dicho flujo de datos sea redirigido hacia dicha interfaz virtual (30, 40) , caracterizado por que comprende además una etapa de asignación a la interfaz de comunicación (3, 4) de una 20 dirección incompatible con dicha red (2) , de tal manera que dicha interfaz de comunicación (3, 4) se convierte en indisponible con respecto a dicha red (2) .

2. Procedimiento de securización según la reivindicación 1, caracterizado por que consiste en:

- crear una pasarela virtual (6) de control aplicativo de dicho flujo de datos, -crear una interfaz virtual (30, 40) a nivel de dicha pasarela (6) por duplicación de dicha interfaz de comunicación (3, 4) , -convertir en indisponible dicha interfaz de comunicación (3, 4) con respecto a dicha red (2) de manera que dicho flujo sea redirigido hacia dicha interfaz virtual (30, 40) , -controlar dicho flujo a nivel de dicha pasarela (6) y a continuación encaminarlo, (controlarlo) , hacia dicho terminal (1) . 35

3. Procedimiento de securización según una de las reivindicaciones 1 o 2, caracterizado por que dicha duplicación comprende además una etapa de creación de un puente entre dicha interfaz de comunicación (3, 4) y dicha interfaz virtual (30, 40) .

4. Procedimiento según cualquiera de las reivindicaciones anteriores, caracterizado por que comprende además una etapa de atribución de una dirección física a la interfaz virtual (30, 40) idéntica a la dirección física de la interfaz de comunicación (3, 4) .

5. Procedimiento según cualquiera de las reivindicaciones anteriores, caracterizado por que comprende además una 45 etapa de atribución de una dirección MAC a la interfaz virtual (30, 40) idéntica a la dirección MAC de la interfaz de comunicación (3, 4) .

6. Procedimiento según la reivindicación 6, caracterizado por que comprende además una etapa de asignación a la interfaz de comunicación (3, 4) de una dirección IP incompatible con la red (2) . 50

7. Procedimiento de securización según cualquiera de las reivindicaciones anteriores, caracterizado por que comprende además una etapa de creación de una nueva interfaz (8) a nivel de dicho terminal (1) apta para recibir el flujo controlado.

8. Procedimiento de securización según cualquiera de las reivindicaciones anteriores, caracterizado por que comprende además, en calidad de control del flujo de datos a nivel de la pasarela (6) , por lo menos cualquiera de las siguientes etapas: protección, filtrado, tratamiento de dicho flujo de datos.

9. Procedimiento de securización según cualquiera de las reivindicaciones anteriores, caracterizado por que la 60 pasarela virtual (6) comprende una máquina virtual.

10. Procedimiento de securización según la reivindicación 10, caracterizado por que la máquina virtual comprende un sistema operativo diferente del correspondiente del terminal (1) .

11. Dispositivo de programa de ordenador, caracterizado por que comprende instrucciones para ejecutar las etapas del procedimiento según cualquiera de las reivindicaciones anteriores, y por que es apto para ser ejecutado en el terminal (1) .

12. Dispositivo de almacenamiento masivo que comprende un programa de ordenador según la reivindicación 11, caracterizado por que es apto para conectarse al terminal (1) de tal manera que permita la ejecución de dicho programa de ordenador en dicho terminal (1) .

13. Dispositivo de almacenamiento masivo según la reivindicación 12, caracterizado por que comprende cualquiera 10 de los siguientes dispositivos: llave USB, tarjeta de memoria, disco duro.


 

Patentes similares o relacionadas:

Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento: recibir (S201), mediante un nodo de consenso, una solicitud […]

Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para la gestión de riesgos de información de aplicación en un dispositivo de red, comprendiendo el procedimiento: recibir información […]

Gestión de memoria intermedia recomendada de red de una aplicación de servicio en un dispositivo de radio, del 22 de Julio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un nodo de red en una red de comunicación por radio , comprendiendo el método: obtener (S1) una predicción del ancho […]

Método, servidor y sistema de inicio de sesión de confianza, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de inicio de sesión de confianza implementado por computadora aplicado a un sistema de inicio de sesión de confianza que comprende un primer sistema de aplicación […]

Método y aparato para configurar un identificador de dispositivo móvil, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método implementado por servidor para configurar un identificador de dispositivo móvil, que comprende: obtener una lista de aplicaciones, APP, […]

Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]

Método para atender solicitudes de acceso a información de ubicación, del 22 de Julio de 2020, de Nokia Technologies OY: Un aparato que comprende: al menos un procesador; y al menos una memoria que incluye un código de programa informático para uno o más programas, […]

Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios: acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]

Utilizamos cookies para mejorar nuestros servicios y mostrarle publicidad relevante. Si continua navegando, consideramos que acepta su uso. Puede obtener más información aquí. .