SISTEMA Y MÉTODO PARA PROPORCIONAR UNA AUTORIZACIÓN, AUTENTICACIÓN Y CONTABILIDAD DE RED DINÁMICAS.
Un método para el control de accesos a una red, que comprende:
la recepción en un dispositivo de pasarela (12) de una solicitud desde un ordenador de origen (14) para el acceso a una red de ordenadores (20); permitir, por medio del dispositivo de pasarela, al ordenador de origen (14) acceder a la red de ordenadores (20); recepción, en el dispositivo de pasarela (12), de un paquete transmitido desde un ordenador de origen (14); caracterizado porque el método comprende además: la determinación de una localización del ordenador de origen (14) mediante la comparación de los atributos asociados con el paquete con los datos extraídos desde una base de datos de perfiles de origen y la determinación de los derechos de acceso del ordenador de origen (14) en base al menos a la localización determinada del ordenador de origen, en la que los derechos de acceso definen los derechos del ordenador de origen (14) para acceder a un destino de red solicitado en la red de ordenadores (20), siendo determinados los derechos de acceso sin requerir etapas interactivas por parte de un usuario del ordenador
Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E09005810.
Solicitante: NOMADIX, INC..
Nacionalidad solicitante: Estados Unidos de América.
Dirección: 30851 Agoura Road, Suite 102 Agoura Hills CA 91301 ESTADOS UNIDOS DE AMERICA.
Inventor/es: SHORT, JOEL, E., GOLDSTEIN, JOSH, J., PAGAN, FLORENCE, C., I.
Fecha de Publicación: .
Fecha Solicitud PCT: 20 de Octubre de 2000.
Clasificación Internacional de Patentes:
- H04L12/14 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 12/00 Redes de datos de conmutación (interconexión o transferencia de información o de otras señales entre memorias, dispositivos de entrada/salida o unidades de tratamiento G06F 13/00). › Disposiciones para el cobro.
- H04L12/46V1
- H04L29/06 H04L […] › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
- H04L29/08A7
- H04L29/08N11
- H04L29/12A3H
Clasificación PCT:
- H04L12/00 H04L […] › Redes de datos de conmutación (interconexión o transferencia de información o de otras señales entre memorias, dispositivos de entrada/salida o unidades de tratamiento G06F 13/00).
Países PCT: Austria, Bélgica, Suiza, Alemania, Dinamarca, España, Francia, Reino Unido, Grecia, Italia, Liechtensein, Luxemburgo, Países Bajos, Suecia, Mónaco, Portugal, Irlanda, Finlandia, Chipre.
PDF original: ES-2364736_T3.pdf
Fragmento de la descripción:
La invención se refiere en general a sistemas y métodos para el control del acceso a la red y, más particularmente, a sistemas y métodos para establecer un acceso dinámico del usuario a la red.
Antecedentes de la invención
El acceso de usuarios a redes de ordenadores se ha basado tradicionalmente en un proceso de autenticación en dos etapas que o bien proporciona a un usuario un acceso a la red total o rechaza cualquier acceso del usuario en cualquier circunstancia. En la primera etapa del proceso, un usuario establece un enlace de comunicación con una red a través de una línea de teléfono, una conexión de red dedicada (por ejemplo, banda ancha, Línea de Señal Digital (DSL)) u otra similar. En la segunda etapa del proceso de autenticación, el usuario debe introducir información de identificación para obtener acceso a la red. Típicamente, la información de identificación de entrada incluye un nombre de usuario y palabra clave. Usando esta información, la red o el proveedor de servicio verifica que el usuario tiene derecho al acceso a la red mediante la determinación de si la información de identificación coincide con la información de abonado contenida en una tabla (o base de datos) de abonados que almacena información de identificación para todos los usuarios autorizados para acceder a la red. Cuando la información de entrada del usuario coincide con los datos de abonado en la tabla de abonados, se autoriza al usuario para acceder a cualquiera y a todos los servicios en la red. Por otro lado, si la información de identificación de entrada del usuario no coincide con los datos de abonado en la tabla, el usuario tendrá denegado el acceso a la red. Por ello, una vez que la identidad del usuario se compara con los datos almacenados dentro de una tabla de abonados, o bien se le da al usuario derecho para acceder a la red o se le niega el acceso totalmente. Adicionalmente, cuando se autoriza al usuario a acceder a la red, el usuario está autorizado típicamente para acceder a cualquier destino accesible a través de la red. Por lo tanto, la autenticación convencional de usuarios se basa en un enfoque de todo o nada en el acceso a la red.
En muchas aplicaciones convencionales de acceso a la red, tales como en aplicaciones convencionales de acceso a Internet, la base de datos (o tabla) de abonados no sólo almacena datos que corresponden a la identidad de los abonados autorizados para acceder a la red, sino que también almacena información que puede variar en base al abonado particular. Por ejemplo, la base de datos de abonados puede incluir perfiles de abonado que indiquen el tipo de acceso que un abonado debería recibir y otra información relacionada, tal como las tarifas debidas por el abonado para el acceso a la red. Aunque la información en la base de datos de abonados puede variar de un usuario a otro, se usa generalmente una información única en la base de datos para finalidades de facturación o mantenimiento de la red. Por ejemplo, las bases de datos de abonados convencionales incluyen típicamente datos tales como el coste que el abonado está pagando para el acceso la red y la cantidad de tiempo que el abonado ha accedido a la red. Así, cuando un abonado a un Proveedor de Servicios de Internet (ISP) ha comprado un acceso a Internet, una base de datos de perfiles de origen puede contener información que permita a un usuario ser autenticado y hace un seguimiento del acceso del usuario con finalidades de contabilidad, tal como mantener un registro del tiempo del usuario en la red.
Adicionalmente, en sistemas convencionales de acceso a la red, para que un usuario se conecte a servicios en línea (por ejemplo, la Internet), el usuario debe instalar un software del lado de cliente en el ordenador del usuario. Este software del lado cliente se proporciona típicamente por un administrador de la red o proveedor de acceso a la red, tal como un ISP con el que el usuario ha suscrito un acceso a Internet y permite al cliente configurar su ordenador para comunicarse con ese proveedor de acceso a la red. Continuando con el ejemplo ilustrativo de un usuario que accede a Internet a través de un ISP, el usuario debe instalar un software del ISP en el ordenador del cliente y posteriormente establecer una cuenta con el ISP para acceso a Internet. Típicamente, un usuario se abona a un ISP tal como America Online™, Earthlink™, Compuserve™ u otro similar, mediante la contratación directamente con el ISP para el acceso a Internet. Normalmente, el usuario paga por tal acceso a Internet en base a una tasa fija mensual. Independientemente de la localización del usuario, el usuario puede marcar un número de acceso proporcionado por el ISP y obtener un acceso a Internet. La conexión se consigue frecuentemente por medio de un módem telefónico convencional, cable módem, conexión DSL u otra similar.
Debido a que el acceso de usuarios a la red a través de métodos convencionales, tales como a través de los ISP, o bien tienen permitido o denegado el acceso a la red en un enfoque todo o nada, los usuarios no pueden ser autorizados dinámicamente a acceder a la red de modo que el acceso del usuario y la autorización para redes o sitios particulares se pueda personalizar. Lo que se necesita es un método y sistema que permita un acceso dinámico de los usuarios y que se pueda personalizar que pueda variar en base a cualquier número de variables asociadas con un usuario, tal como una localización del usuario, nombre de usuario o palabra clave, ordenador del usuario u otros atributos. Por ejemplo, sería ventajoso para algunos usuarios tener el acceso autorizado a todos los sitios de Internet, mientras que otros pueden tener denegado el acceso a sitios particulares. Además de autorizar el acceso del usuario a una red, sería ventajoso para una red, tal como un ISP o redes de empresa, permitir selectivamente a los usuarios un intervalo de autorización, de modo que el acceso del usuario no se base en un enfoque de todo o nada.
El documento US-A-5950195 describe un método para determinar los derechos de acceso en base a una lista de control de acceso y en el que se transmiten paquetes a través de un cortafuegos. Se filtran las condiciones iniciales y si es necesaria una autenticación, se presenta una petición de nombre de usuario y se usa el nombre del usuario para realizar una comprobación en la lista de control de acceso.
El documento EP-A-0909073 describe técnicas para implementar cortafuegos de redes de ordenadores. El cortafuegos recibe paquetes y aplica reglas que corresponden a cada paquete en base a las interfaces de entrada y salida de la red, las direcciones de origen y destino de la red y el tipo de servicio.
El documento EP-A-0762707 describe una comprobación/control para acceso a redes IP por medio de una red de telecomunicaciones. Un filtro permite un acceso inicial a un servidor de comprobación/control que a su vez tiene comandos de funciones de bloqueo para el acceso a la red IP.
Sumario de la invención
La presente invención incluye un método y un sistema para la implementación y cumplimiento de una Autenticación, Autorización y Contabilidad (AAA) de usuarios que acceden a la red por medio de un dispositivo de pasarela. De acuerdo con la presente invención, un usuario puede ser primero autenticado para determinar la identidad del usuario. La capacidad de autenticación del sistema y el método de la presente invención se pueden basar en un ID de usuario, ordenador, localización o uno o más atributos adicionales de identificación de un origen (por ejemplo, un usuario, ordenador o localización particular) que solicita acceso a la red. Una vez autenticado, la capacidad de autorización del sistema y método de la presente invención se personaliza en base a la identidad del origen, tal como orígenes que tengan diferentes derechos de acceso en base a su identidad y el contenido y/o destino solicitado. Por ejemplo, los derechos de acceso permiten a un primer origen acceder a una dirección de destino de Internet particular, mientras que rechazan el acceso de un segundo origen a esa misma dirección. Además, la capacidad de autorización del sistema y método de la presente invención se puede basar en otra información contenida en la transmisión de datos, tal como un puerto de destino, dirección de Internet, puerto TCP, red o direcciones de destinos similares. Más aún, la AAA de la presente invención se puede basar en el tipo de contenido
o protocolo que está siendo transmitido. Mediante la autenticación de los usuarios en esta forma, cada paquete se puede filtrar a través de un proceso de AAA selectivo, de modo que se... [Seguir leyendo]
Reivindicaciones:
1. Un método para el control de accesos a una red, que comprende:
la recepción en un dispositivo de pasarela (12) de una solicitud desde un ordenador de origen (14) para el acceso a una red de ordenadores (20); permitir, por medio del dispositivo de pasarela, al ordenador de origen (14) acceder a la red de ordenadores (20); recepción, en el dispositivo de pasarela (12), de un paquete transmitido desde un ordenador de origen (14); caracterizado porque el método comprende además: la determinación de una localización del ordenador de origen (14) mediante la comparación de los atributos asociados con el paquete con los datos extraídos desde una base de datos de perfiles de origen y la determinación de los derechos de acceso del ordenador de origen (14) en base al menos a la localización determinada del ordenador de origen, en la que los derechos de acceso definen los derechos del ordenador de origen (14) para acceder a un destino de red solicitado en la red de ordenadores (20), siendo determinados los derechos de acceso sin requerir etapas interactivas por parte de un usuario del ordenador.
2. El método de la reivindicación 1, en el que la localización es una habitación en un hotel.
3. El método de la reivindicación 1, en el que la determinación de una localización del ordenador de origen (14) comprende el acceso a un servicio de usuario de marcación para autenticación remota (RADIUS).
4. El método de la reivindicación 1, en el que la determinación de una localización del ordenador de origen (14) comprende el acceso a una base de datos del protocolo ligero de acceso a directorios (LDAP).
5. El método de la reivindicación 1, que comprende además la actualización de la base de datos de perfiles de origen cuando un nuevo origen accede a la red de ordenadores (20).
6. El método de la reivindicación 1, que comprende además el mantenimiento en la base de datos de perfiles de origen de un registro histórico del acceso del ordenador de origen (14) a la red de ordenadores (20).
7. El método de la reivindicación 1, que comprende además la redirección del ordenador de origen a una página de portal previamente a que se permita al ordenador de origen el acceso a la red solicitada.
8. Un sistema para el control del acceso a una red, que comprende:
medios para la recepción en un dispositivo de pasarela (12) de una solicitud desde un ordenador de origen
(14) para el acceso a una red de ordenadores (20); medios para permitir, por medio del dispositivo de pasarela, al ordenador de origen (14) acceder a la red de ordenadores (20); medios para la recepción, en el dispositivo de pasarela (12), de un paquete transmitido desde un ordenador de origen (14); caracterizado porque el sistema comprende además: medios para la determinación de una localización del ordenador de origen (14) mediante la comparación de los atributos asociados con el paquete con los datos extraídos desde una base de datos de perfiles de origen y medios para la determinación de los derechos de acceso del ordenador de origen (14) en base al menos a la localización determinada del ordenador de origen (14), en la que los derechos de acceso definen los derechos del ordenador de origen (14) para acceder a un destino de red solicitado en la red de ordenadores (20), siendo determinados los derechos de acceso sin requerir etapas interactivas por parte de un usuario del ordenador.
9. El sistema de la reivindicación 8, en el que la localización es una habitación en un hotel.
10. El sistema de la reivindicación 8, en el que los medios para determinación de una localización del ordenador de origen (14) comprenden medios para el acceso a un servicio de usuario de marcación para autenticación remota (RADIUS).
11. El sistema de la reivindicación 8, en el que los medios para determinación de una localización del ordenador de origen (14) comprenden medios para el acceso a una base de datos del protocolo ligero de acceso a directorios (LDAP).
12. El sistema de la reivindicación 8, que comprende además medios para la actualización de la base de datos de perfiles de origen cuando un nuevo origen accede a la red de ordenadores (20).
13. El sistema de la reivindicación 8, que comprende además medios para el mantenimiento en la base de datos de perfiles de origen de un registro histórico del acceso del ordenador de origen (14) a la red de ordenadores (20).
14. El sistema de la reivindicación 8, que comprende además medios para la redirección del ordenador de origen a una página de portal previamente a que se permita al ordenador de origen el acceso a la red solicitada.
Patentes similares o relacionadas:
Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento: recibir (S201), mediante un nodo de consenso, una solicitud […]
Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para la gestión de riesgos de información de aplicación en un dispositivo de red, comprendiendo el procedimiento: recibir información […]
Gestión de memoria intermedia recomendada de red de una aplicación de servicio en un dispositivo de radio, del 22 de Julio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un nodo de red en una red de comunicación por radio , comprendiendo el método: obtener (S1) una predicción del ancho […]
Método, servidor y sistema de inicio de sesión de confianza, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de inicio de sesión de confianza implementado por computadora aplicado a un sistema de inicio de sesión de confianza que comprende un primer sistema de aplicación […]
Método y aparato para configurar un identificador de dispositivo móvil, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método implementado por servidor para configurar un identificador de dispositivo móvil, que comprende: obtener una lista de aplicaciones, APP, […]
Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]
Método para atender solicitudes de acceso a información de ubicación, del 22 de Julio de 2020, de Nokia Technologies OY: Un aparato que comprende: al menos un procesador; y al menos una memoria que incluye un código de programa informático para uno o más programas, […]
Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios: acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]