Métodos y aparatos para cruzar un denominado ''cortafuegos'' virtual con el fin de transmitir y recibir datos.

Un método para enviar datos a través de los denominados 'cortafuegos' virtuales, VFWs, en donde los VFWs se establecen con un túnel de seguridad correspondiente, estableciéndose el túnel de seguridad con una zona de protección y el método para enviar datos a través de los VFWs comprende:

la realización de un filtrado de seguridad

(201) de datos en un primer VFW utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y una zona de protección de un túnel de seguridad del primer VFW y el envío de los datos después del filtrado de seguridad al túnel de seguridad del primer VFW; y

la encriptación (202), por el túnel de seguridad del primer VFW, de los datos que pasan a través del filtrado de seguridad; y el envío, por el túnel de seguridad del primer VFW, de los datos encriptados a un segundo VFW, en donde el segundo VFW está configurado para enviar los datos (203).

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/CN2009/075185.

Solicitante: HUAWEI TECHNOLOGIES CO., LTD..

Nacionalidad solicitante: China.

Dirección: Huawei Administration Building, Bantian, Longgang District Shenzhen, Guangdong 518129 CHINA.

Inventor/es: XU,YONG, LU,Xiaoping, ZHU,ZHIQIANG, ZHANG,RIHUA, HOU,GUIBIN, XIE,WENHUI, MA,BO, GAO,GUOLU, FU,CUIHUA.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/06 (caracterizadas por un protocolo)
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Redes de datos de conmutación (interconexión o... > H04L12/46 (Interconexión de redes)

PDF original: ES-2546136_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Métodos y aparatos para cruzar un denominado 'cortafuegos' virtual con el fin de transmitir y recibir datos

CAMPO DE LA INVENCIÓN

La presente invención se refiere al campo de las tecnologías de comunicaciones y más en particular, a métodos y aparatos para enviar y recibir datos a través de 'cortafuegos' virtuales (VFWs) .

ANTECEDENTES DE LA INVENCIÓN

Un denominado 'cortafuegos' es una combinación de una serie de componentes establecidos entre diferentes redes, tales como entre una red Intranet de confianza y una red pública de no-confianza, o entre zonas de seguridad de redes. Dicho 'cortafuegos' suele formular una política de seguridad basada en zonas de seguridad para supervisar, limitar o modificar datos a través del 'cortafuegos' y selecciona información interna, estructuras y situaciones operativas de una red hacia el exterior lo más posible, con el fin de proteger una red Intranet.

Recientemente, con la aparición y desarrollo de la tecnología de Red Privada Virtual (VPN) , la tecnología del Cortafuegos Virtual (VFW) apareció consecuentemente. Un VFW es una sub-entidad lógica derivada de un sistema cortafuegos principal y se presenta a un usuario como un cortafuegos independiente. Después de que se establezca un VFW, el sistema cortafuegos principal presentado por un usuario se denomina un cortafuegos raíz. El número del cortafuegos raíz es uno y los VFWs pueden crearse de forma dinámica en conformidad con las configuraciones y el número de los VFWs es al menos uno. Cuando los VFWs lógicos se establecen sobre la base de un cortafuegos, se satisfacen las demandas del sistema y al mismo tiempo, los rendimientos restantes en el sistema se utilizan para proporcionar servicios de arrendamiento para conseguir más altos rendimientos. Actualmente la tecnología de VPN se ha convertido en una tecnología básica de la tecnología de VFW. Cada VFW es un complejo de una instancia de VPN, una instancia de seguridad y una instancia de configuración y es capaz de proporcionar a un usuario de los VFWs un plano de reenvío de rutas privadas, servicios de seguridad y plano de gestión de configuración.

Con el desarrollo rápido de las tecnologías de seguridad de redes, cada vez más empresas, a gran escala, utilizan las redes Internet para establecer redes VPN utilizando la tecnología de seguridad de protocolo Internet (IPSec) . El protocolo IPSec proporciona datos IP con alta calidad, interoperables y un rendimiento de seguridad basado en la criptología. La encriptación y la autenticación origen de datos se realiza en la capa de IP entre partes de comunicaciones específicas para garantizar la confidencialidad, integridad y la autenticidad cuando se transmiten datos a través de las redes.

En la técnica anterior (según se ilustra, a modo de ejemplo, en el documento CN 1949741 A) , cuando se procesa un flujo de datos a través de diferentes cortafuegos, una zona de seguridad privada y una zona de seguridad virtual (VZONE) para transmitir el flujo de datos se establecen en VFW y el cortafuegos raíz, respectivamente. Se establece un puerto en cualquiera de las zonas de seguridad privadas que se establecen en los VFWs y el cortafuegos raíz respectivamente y se establecen políticas de seguridad entre las zonas de seguridad de los VFWs y el cortafuegos raíz, respectivamente. Cuando un flujo de datos se envía a través de cortafuegos, un extremo transmisor filtra el flujo de datos utilizando una política de seguridad entre una zona de seguridad origen de un cortafuegos del flujo de datos y una VZONE del cortafuegos y envía el flujo de datos filtrado a un extremo receptor. El extremo receptor filtra el flujo de datos utilizando una política de seguridad entre una zona de seguridad de destino de un cortafuegos en donde llega el flujo de datos y una zona VZONE del cortafuegos.

En la técnica anterior, cuando se procesa un flujo de datos a través del cortafuegos, cada uno de los cortafuegos necesita configurarse con una VZONE. Además de las políticas de seguridad configuradas entre las zonas de seguridad existentes de los cortafuegos, necesitan configurarse, respectivamente, las políticas de seguridad entre zonas de seguridad privadas y la VZONE en los cortafuegos. Con el incremento de VFWs, el número de VZONEs que necesitan configurarse aumenta también continuamente, necesitándose configurar cada vez más políticas de seguridad y por ello, la configuración se hace muy complicada. Además, en la técnica anterior, cuando los flujos de datos se reenvían a través de cortafuegos, necesita realizarse un filtrado de seguridad sobre los flujos de datos en el extremo transmisor y en el extremo receptor para realizar el reenvío de los flujos de datos, con lo que no solamente es complicado el proceso, sino que también resulta muy difícil gestionar las relaciones inter-zonales entre los cortafuegos.

SUMARIO DE LA INVENCIÓN

Las formas de realización de la presente invención dan a conocer un método para el envío y la recepción de datos a través de VFWs y el método puede simplificar la gestión de las relaciones inter-zonales cuando se reenvían datos a través de diferentes VFWs.

La presente invención da a conocer un método para enviar datos a través de VFWs. Los VFWs se establecen con un túnel de seguridad correspondiente y el túnel de seguridad se establece con una zona de protección. El método

para enviar datos a través de VFWs incluye las etapas siguientes. Un filtrado de seguridad se realiza sobre los datos en el primer cortafuegos virtual utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y una zona de protección de un túnel de seguridad del primer VFW. Los datos se envían al túnel de seguridad del primer VFW. El túnel de seguridad del primer VFW encripta los datos que pasan el filtrado de seguridad. Los datos encriptados se envían a un segundo VFW a través del túnel de seguridad del primer VFW. El segundo VFW está configurado para enviar los datos.

La presente invención da a conocer un método para recibir datos a través de VFWs. Los VFWs se establecen con un túnel de seguridad correspondiente y el túnel de seguridad se establece con una zona de protección. El método para recibir datos a través de VFWs incluye las etapas siguientes. Un primer VFW recibe los datos que han de desencriptarse, busca un túnel de seguridad para la desencriptación de los datos y envía los datos al túnel de seguridad para su desencriptación. El túnel de seguridad para la desencriptación realiza la desencriptación de los datos y modifica una zona de seguridad de un puerto de entrada de los datos desencriptados en la zona de protección del túnel de seguridad para su desencriptación. Un segundo VFW realiza un filtrado de seguridad sobre los datos utilizando una política de seguridad entre la zona de protección del túnel de seguridad para desencriptación y la zona de seguridad en donde llegan los datos.

La presente invención da a conocer, además, un aparato de envío, que incluye una primera unidad de procesamiento de seguridad, una unidad de encriptación y una unidad de envío. La primera unidad de procesamiento de seguridad se estable con zonas de seguridad, con el establecimiento de políticas de seguridad entre las zonas de seguridad, respectivamente. La unidad de encriptación se establece con una zona de protección.

La primera unidad de procesamiento de seguridad está configurada para realizar un filtrado de seguridad sobre los datos utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y la zona de protección de la unidad de encriptación y para enviar los datos después del filtrado de seguridad a la unidad de encriptación.

La unidad de encriptación está... [Seguir leyendo]

 


Reivindicaciones:

1. Un método para enviar datos a través de los denominados 'cortafuegos' virtuales, VFWs, en donde los VFWs se establecen con un túnel de seguridad correspondiente, estableciéndose el túnel de seguridad con una zona de protección y el método para enviar datos a través de los VFWs comprende:

la realización de un filtrado de seguridad (201) de datos en un primer VFW utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y una zona de protección de un túnel de seguridad del primer VFW y el envío de los datos después del filtrado de seguridad al túnel de seguridad del primer VFW; y la encriptación (202) , por el túnel de seguridad del primer VFW, de los datos que pasan a través del filtrado de seguridad; y el envío, por el túnel de seguridad del primer VFW, de los datos encriptados a un segundo VFW, en donde el segundo VFW está configurado para enviar los datos (203) .

2. El método de envío según la reivindicación 1, en donde la zona de protección del túnel de seguridad es una zona de seguridad en un 'cortafuegos' protegido por el túnel de seguridad.

3. El método de envío según la reivindicación 1, en donde un método para enviar los datos encriptados al segundo VFW por el túnel de seguridad comprende: el etiquetado de los datos con una etiqueta del segundo VFW.

4. El método de envío según la reivindicación 1, en donde un método para enviar los datos encriptados al segundo VFW por el túnel de seguridad comprende, además: el marcado del segundo VFW en una lista de reenvío de los datos.

5. Un método para la recepción de datos a través de los denominados 'cortafuegos' virtuales, VFWs, en donde los VFWs se establecen con un túnel de seguridad correspondiente, estableciéndose el túnel de seguridad con una zona de protección y el método para la recepción de datos a través de los VFWs comprende:

la recepción (301) , por un primer VFW, de los datos que han de desencriptarse, la búsqueda de un túnel de seguridad para la desencriptación de los datos y el envío de los datos al túnel de seguridad para la desencriptación;

la desencriptación (302) , por el túnel de seguridad para desencriptación de los datos, y la modificación de una zona de seguridad de un puerto de entrada de los datos desencriptados en una zona de protección del túnel de seguridad para la desencriptación; y la realización, por un segundo VFW, del filtrado de seguridad (303) sobre los datos utilizando una política de seguridad entre la zona de protección del túnel de seguridad para la desencriptación y la zona de seguridad en donde llegan los datos.

6. El método de recepción según la reivindicación 5, en donde la zona de protección del túnel de seguridad es una zona de seguridad en un denominado 'cortafuegos' protegido por el túnel de seguridad.

7. El método de recepción según la reivindicación 5, en donde un método para la búsqueda del túnel de seguridad para la desencriptación de los datos comprende: la búsqueda de un IP de destino de los datos, una Interfaz Periférica Serie, SPI y un tipo de protocolo y la búsqueda del túnel de seguridad para la desencriptación en donde se requiere que entren los datos en función del IP de destino, de la SPI y del tipo de protocolo.

8. El método de recepción según la reivindicación 5, en donde un método para modificar la zona de seguridad del puerto de entrada de los datos desencriptados comprende: el etiquetado de los datos con una etiqueta de la zona de protección del túnel de seguridad para desencriptación.

9. El método de recepción según la reivindicación 5, en donde un método para modificar una zona de seguridad origen de los datos desencriptados comprende además: el marcado en una lista de reenvío de los datos debido a que la zona de seguridad a la que pertenece el puerto de entrada de los datos es la zona de protección del túnel de seguridad para la desencriptación.

10. Un aparato de envío, que comprende una primera unidad de procesamiento de seguridad (401) , una unidad de encriptación (402) y una unidad de envío (403) , en donde la primera unidad de procesamiento de seguridad se establece con zonas de seguridad, estableciéndose políticas de seguridad entre las zonas de seguridad respectivamente y la unidad de encriptación se establece con una zona de protección, en donde

la primera unidad de procesamiento de seguridad está configurada para realizar el filtrado de seguridad sobre los datos utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y la zona de protección de la unidad de encriptación y para enviar los datos después del filtrado de seguridad a la unidad de encriptación;

la unidad de encriptación está configurada para encriptar los datos procedentes de la primera unidad de procesamiento de seguridad y para enviar los datos encriptados a la unidad de envío; y la unidad de envío está configurada para enviar los datos encriptados por la unidad de encriptación. 5

11. El aparato de envío según la reivindicación 10, en donde la zona de protección de la unidad de encriptación es la zona de seguridad de la primera unidad de procesamiento de seguridad.

12. El aparato de envío según la reivindicación 10, en donde la unidad de encriptación comprende un módulo de 10 encriptación (4021) y un módulo de etiquetado (4022) ;

el módulo de encriptación está configurado para encriptar los datos procedentes de la primera unidad de procesamiento de seguridad; y el módulo de etiquetado está configurado para etiquetar los datos encriptados por el módulo de encriptación con una etiqueta de la unidad de envío y para enviar los datos encriptados a la unidad de envío; o el módulo de etiquetado está configurado para marcar la unidad de envío de los datos encriptados en una lista de reenvío de los datos y para enviar los datos encriptados a la unidad de envío. 20

13. Un aparato de recepción que comprende una unidad de recepción (501) , una unidad de desencriptación (502) y una segunda unidad de procesamiento de seguridad (503) , en donde la segunda unidad de procesamiento de seguridad se establece con zonas de seguridad y se establecen políticas de seguridad entre las zonas de seguridad, estando la unidad de desencriptación establecida con una zona de protección, en donde la unidad de recepción está configurada para recibir datos que han de desencriptarse, para buscar la unidad de desencriptación de los datos y para enviar los datos a la unidad de desencriptación;

la unidad de desencriptación está configurada para desencriptar los datos que han de desencriptarse procedentes 30 de la unidad de recepción y para modificar una zona de seguridad de un puerto de entrada de los datos en la zona de protección de la unidad de desencriptación; y la segunda unidad de procesamiento de seguridad está configurada para realizar un filtrado de seguridad sobre los datos utilizando una política de seguridad entre la zona de protección de la unidad de desencriptación y la zona de 35 seguridad en donde llegan los datos.

14. El aparato de recepción según la reivindicación 13, en donde la zona de protección de la unidad de encriptación es la zona de seguridad de la segunda unidad de procesamiento de seguridad.

15. El aparato de recepción según la reivindicación 13, en donde la unidad de desencriptación comprende un módulo de desencriptación (5021) y un módulo de modificación (5022) , en donde el módulo de desencriptación está configurado para desencriptar los datos que han de desencriptarse recibidos por la unidad de recepción; y 45 el módulo de modificación está configurado para modificar la zona de seguridad a la que pertenece el puerto de entrada de los datos desencriptados por el módulo de desencriptación en la zona de protección de la unidad de desencriptación.