MANTENIMIENTO DE CONVERSIÓN DE DIRECCIONES PARA DATOS DE COMUNICACIÓN.

Mantenimiento de conversión de direcciones para datos de comunicación. La invención se refiere en general al campo de las comunicaciones seguras entre ordenadores en redes de transmisión de datos basadas en conmutación de paquetes. Más concretamente, el invento se refiere al campo del establecimiento y mantenimiento de conexiones de comunicaciones seguras a través de una Conversión o Transformación de direcciones de red o conversión de protocolo. El Grupo de Trabajo de Ingeniería de Internet (IETF) ha normalizado el conjunto de programas de protocolo IPSEC (Internet Protocol Security); las normas se conocen bien a través de los Request For Comments o documentos RFC números RFC2401, RFC2402, RFC2406, RFC2407, RFC2408 y RFC2409 que se mencionan en la lista de referencias anexa. Los protocolos IPSEC proporcionan seguridad al Protocolo de Internet o IP especificado en sí mismo en el documento RFC791. IPSEC realiza la autenticación y encriptación a nivel de paquete generando una nueva cabecera IP que añade delante del paquete una Cabecera de Autenticación (AH) o una cabecera de Carga (Payload) de Seguridad de Encapsulación (ESP). El paquete original se autentica criptográficamente y puede ser encriptado opcionalmente. El método usado para autenticar y encriptar opcionalmente un paquete se identifica mediante un valor de índice de parámetros de seguridad (SPI) almacenado en las cabeceras AH y ESP. El documento RFC número RFC2401 especifica un modo de transporte y un modo de entunelación (tunnelling) para paquetes; el presente invento puede aplicarse con independencia de cuál de estos modos sea el utilizado. En los últimos años, cada vez más vendedores y proveedores de servicios de Internet han empezado a desarrollar la conversión de direcciones de red (NAT). Se encuentran referencias a NAT al menos en el documento RFC número RFC1631, así como en los documentos que están identificados en la lista de referencias anexa como Srisuresh98Terminology, SrisureshEgevang98, Srisuresh98Scurity, HoldregeSrisuresh99, TYS99, Rekhter99, LoBorella99 y BorellaLo99. Hay dos formas fundamentales de conversión de direcciones, ilustradas de forma esquemática en Figs. 1a y 1b: el anfitrión NAT 101 y el puerto NAT 151. El anfitrión NAT 101 sólo convierte las direcciones IP en un paquete entrante 102 de modo que un paquete saliente 103 tiene una dirección IP distinta. El puerto NAT también toca los números puerto de TCP y de UDP (Protocolo de Control de Tráfico; Protocolo de Datagrama de Usuario) en un paquete entrante 152, multiplexando varias direcciones IP a una sola dirección IP en un paquete saliente 153 y desmultiplexando correspondientemente una sola dirección IP en diversas direcciones IP para paquetes que viajan en el sentido contrario (no mostrado). Los puertos NAT son especialmente habituales en los entornos domésticos y de pequeñas oficinas. En las Figs. 1a y 1b se muestra, solamente con fines de claridad gráfica, la separación física de las conexiones de entrada y salida para dispositivos de NAT; en la práctica hay muchas formas posibles de conectar físicamente una NAT. La conversión de direcciones tiene lugar más frecuentemente en el borde de una red local (es decir, conversión entre múltiples direcciones locales privadas por un lado y unas pocas direcciones públicas encaminables globalmente en el otro). La mayoría de las veces se utiliza un puerto NAT y hay una sola dirección encaminable globalmente. En la Fig. 1b se ilustra de forma esquemática un red local 154. Este tipo de disposiciones se están haciendo extremadamente comunes en los mercados domésticos y pequeñas oficinas. Algunos proveedores de servicios de Internet han empezado también a dar a sus clientes direcciones privadas y a realizar la conversión de direcciones de red de dichas direcciones en sus redes básicas. En general, la conversión de direcciones de red se ha analizado ampliamente y en profundidad, por ejemplo en el grupo de trabajo de NAT dentro del Grupo de Trabajo de Ingeniería de Internet. Los principios operativos de un dispositivo de NAT son ampliamente conocidos, y existen muchas implementaciones de múltiples vendedores disponibles en el mercado, incluidas varias implementaciones con códigos fuentes de acceso gratis. La operación típica de una NAT se puede describir de modo que pone en correspondencia direcciones IP y combinaciones de puertos con diferentes direcciones IP y combinaciones de puertos. La puesta en correspondencia se mantendrá constante durante la duración de una conexión de red, pero puede cambiar (despacio) con el tiempo. En la práctica, la funcionalidad de NAT se integra con frecuencia en un cortafuego o un encaminador. La Fig. 1c ilustra un ejemplo práctico del caso de una comunicación de red en la que un nodo transmisor 181 está ubicado en una primera red de área local (también conocida como la primera red privada) 182, que tiene un puerto NAT 183 para conectarse a una red general 184 de transmisión de datos basada en conmutación de paquetes de amplia área, como la Internet. Esta última consta de un gran número de nodos interconectados de forma arbitraria. Un nodo receptor 185 está situado en una segunda red de área local 186 que está a su vez acoplada a una red de área-ancha a través de una NAT 187. Las denominaciones nodo transmisor y nodo receptor son algo engañosas, dado que se necesita una comunicación bidireccional para establecer servicios de seguridad de la red. El nodo transmisor es el que inicia la comunicación. También se utilizan los términos Iniciador y Respondedor para el nodo transmisor y el nodo receptor, respectivamente. El propósito de la Fig. 1c es enfatizar el hecho de que los nodos de comunicación no se percatan ni del número ni de la naturaleza de los dispositivos intermedios a través de los cuales se comunican ni de la naturaleza de las transformaciones que tienen lugar. Además de las NAT, hay otro tipo de dispositivos en la red de Internet que pueden modificar legalmente paquetes durante su transmisión. Un ejemplo típico es un convertidor de protocolo, cuya principal función es convertir el paquete en un protocolo diferente sin perturbar la operación normal. Su uso 2   conlleva problemas muy similares al caso de la NAT. Un ejemplo bastante sencillo pero importante es la conversión entre IPv4 e IPv6, que son diferentes versiones del Protocolo de Internet. Los mencionados convertidores serán extremadamente importantes y comunes en un futuro próximo. Un paquete puede sufrir numerosas conversiones de este tipo a lo largo de su recorrido, y es posible que los puntos finales de las comunicaciones utilicen de hecho un protocolo diferente. Lo mismo que NAT, la conversión de protocolo tiene lugar habitualmente en encaminadores y cortafuegos. En la comunidad IPSEC se sabe bien que el protocolo IPSEC no funciona adecuadamente en las conversiones de direcciones de red. Este problema se ha analizado en al menos los documentos referidos como HoldregeSrisuresh99 y Rekhter99. En la solicitud de patente finlandesa número 974665 y la correspondiente solicitud PCT número FI98/701032 se ha presentado un determinado método para realizar conversión de direcciones IPSEC y un método de autenticación de paquetes que es sensible a las conversiones de direcciones y conversiones de protocolo en ruta del paquete. En dichas solicitudes se ha presentado adicionalmente un dispositivo de red transmisora y un dispositivo de red receptora que son capaces de utilizar las ventajas del método mencionado anteriormente. Sin embargo, en dichas solicitudes de patentes previas permanecen sin resolverse algunos de los problemas relativos al suministro de servicios de seguridad en red sobre conversión de direcciones de red. La patente US-A-5 793 763 proporciona un sistema y un método para convertir direcciones locales IP a una única dirección IP global de acuerdo con el bien conocido principio de las redes NAT. Los paquetes que llegan de la red Internet se apantallan mediante un algoritmo de seguridad adaptable. El proyecto de Internet del Grupo de Trabajo de Redes Terminología de Referencia para Prestaciones de Cortafuegos (`Bench-marking Terminology for Firewall Performance) de Mayo de 1999 por D. Newman, XPO150161991SSN, sección 3.10 Mantenimiento de Conexión describe el uso de mantenero en activación datos para mantener una conexión a través de un cortafuego en algunas implementaciones de TCP y otros protocolos de conexión orientada durante el período en el que no se han intercambiado datos de usuario. Es un objetivo de la presente invención presentar un método y un aparato para proporcionar servicios de seguridad de red a una red sobre conversión de direcciones de red de forma fiable y ventajosa. El método de acuerdo con la invención está definido en las reivindicaciones independientes 1 y 2 y los dispositivos acordes con la invención... [Seguir leyendo]

1. Procedimiento para mantener la comunicación de datagramas en un sistema de comunicación en el que la conversión de dirección es proporcionada por un conversor (305) de dirección de red para comunicación de datagramas entre un primer dispositivo y un segundo dispositivo, caracterizado por mantener una conversión de dirección de red determinada para comunicación de datagramas entre el primer dispositivo y el segundo dispositivo enviando (306) desde el primer dispositivo o el segundo dispositivo por lo menos un paquete de mantenimiento en activo antes de la finalización del intervalo de retardo de la conversión de dirección de red determinada. 2. Procedimiento para proporcionar conversiones de direcciones por un conversor (305) de dirección de red, que comprende determinar una conversión de dirección para comunicación de datagramas entre un primer dispositivo y un segundo dispositivo; caracterizado por recibir al menos un paquete de conservación en activo desde el primer dispositivo y/o el segundo dispositivo antes de la finalización del intervalo de retardo de la conversión de dirección determinada para la comunicación de datagramas; y en respuesta a la recepción de al menos un paquete de mantenimiento en activo, mantener la conversión de dirección de red determinada para la comunicación de datagramas entre el primer dispositivo y el segundo dispositivo. 3. Un procedimiento según la reivindicación 1 ó 2, en el que al menos un paquete de mantenimiento en activo comprende una cabecera que es igual a las cabeceras de los datagramas. 4. Un procedimiento según cualquier reivindicación precedente, en el que al menos un paquete de mantenimiento en activo contiene un indicador que lo identifica como un paquete de mantenimiento en activo. 5. Un procedimiento según cualquier reivindicación precedente, en el que un paquete es interpretado como un paquete de mantenimiento en activo si no contiene ninguna carga neta significativa. 6. Un procedimiento según la reivindicación 1 o cualquier reivindicación dependiente de la reivindicación 1, que comprende la determinación de un período de tiempo más corto para la finalización del intervalo de retardo, y basado en la determinación, enviando al menos el paquete de mantenimiento en activo lo bastante frecuentemente para mantener la conversión de dirección determinada en el conversor (305) de dirección de red. 7. Un procedimiento según la reivindicación 1 o las reivindicaciones dependientes de la reivindicación 1, que comprende tener en cuenta la posibilidad de pérdida de paquete para determinar la frecuencia de envío de al menos el paquete de mantenimiento en activo. 8. Un dispositivo (500) para comunicación de datagramas en un sistema de comunicación en el que el la conversión de dirección es proporcionada por un conversor (305) de dirección de red para comunicación de datagramas entre el dispositivo y un segundo dispositivo, caracterizado por medios (504 o 505) para mantener una conversión de dirección de red determinada para la comunicación de datagramas entre el dispositivo y el segundo dispositivo provocando el envío de al menos un paquete de mantenimiento en activo antes de la finalización del intervalo de retardo de la conversión de direcciones de red determinada. 9. Un dispositivo para conversiones de direcciones de red (305), que comprende medios para determinar una conversión de dirección para comunicación de datagramas entre un primer dispositivo y un segundo dispositivo; caracterizado por medios para mantener la conversión de dirección de red determinada para la comunicación de datagramas entre el primer dispositivo y el segundo dispositivo en respuesta a la recepción de al menos un paquete de mantenimiento en activo desde el primer dispositivo y/o el segundo dispositivo antes de la finalización del intervalo de retardo de la conversión de dirección determinada para la comunicación de datagramas. 10. Un dispositivo según la reivindicación 8 ó 9, en el que al menos un paquete de mantenimiento en activo comprende una cabecera que es igual a las cabeceras de los datagramas. 11. Un dispositivo según cualquiera de las reivindicaciones 8 a 10, en el que al menos un paquete de mantenimiento en activo contiene un identificador que lo identifica como un paquete de mantenimiento en activo. 12. Un dispositivo según cualquiera de las reivindicaciones 8 a 11, en el que el dispositivo está configurado para interpretar un paquete como un paquete de mantenimiento en activo si el paquete no contiene ninguna carga neta significativa. 13. Un dispositivo (500) según la reivindicación 8 o cualquier reivindicación dependiente de la reivindicación 8, en el que los medios para mantenimiento están configurados para provocar el envío de al menos un paquete de mantenimiento en activo lo bastante frecuentemente para mantener la conversión de dirección determinada. 14. Un dispositivo (500) según la reivindicación 8 o cualquier reivindicación dependiente de la reivindicación 8, en el que los medios para mantenimiento están configurados para tener en cuenta la posibilidad de la pérdida de un paquete en la determinación de la frecuencia de envío. 12   15. Un programa de ordenador que comprende medios de código de programa adaptados para realizar cualquiera de las etapas de cualquiera de las reivindicaciones 1 a 7 cuando el programa se ejecutado en un procesador. 13   14     16   17