Sistema informático (20, 200) para facilitar el acceso desde un equipo cliente (22),

a través de una red pública no segura, a un servidor de destino (28) en una red privada segura, que comprende: un sistema cortafuegos (32) entre dicha red no segura y dicha red privada segura; un servidor de autorización (46) en el lado de la citada red privada del citado sistema cortafuegos (32) para autentificar a un usuario (18) de dicho equipo cliente (22) en base a un identificador (ID) de usuario y una contraseña de dicho usuario de dicho equipo cliente (22); un servidor web (210, 44) en el lado de la citada red no segura de dicho sistema cortafuegos (32), configurado para enviar dicho ID de usuario al citado servidor de autorización y generar una cookie de autentificación cuando dicho servidor de autorización (46) autentifica a dicho usuario del citado equipo cliente (22) en base a dicho ID de usuario y a dicha contraseña; caracterizado por un servidor proxy (34) en el lado de la citada red no segura de dicho sistema cortafuegos (32); y una pasarela (38) en el lado de la citada red privada de dicho sistema cortafuegos (32); en el que el citado servidor proxy (34) está configurado además para enviar un mensaje desde dicho equipo cliente (22) a dicho servidor de destino (28) a través de la pasarela (38), cuando la citada cookie de autenticación es válida, y en el que la pasarela (38) incluye un servidor proxy de pasarela (40) configurado para: recibir desde el equipo cliente (22) una URL que comprende una parte base y un identificador, extraer dicho identificador, y generar una cookie de aplicación seleccionada, reconocer la cookie de aplicación seleccionada y adjuntar el identificador recuperado de dicha cookie de aplicación seleccionada a mensajes desde el citado equipo cliente, e identificar, en base al identificador adjunto, el servidor de destino y enrutar el mensaje hacia dicho servidor de destino en base al citado identificador adjunto

CAMPO DE LA TÉCNICA

La presente invención se refiere en general a sistemas y redes de comunicaciones, y, más concretamente, a una pasarela segura para facilitar el acceso desde un equipo cliente a través de una red pública no segura a uno de una pluralidad de servidores de destino en una red privada segura.

ANTECEDENTES DE LA INVENCIÓN

Son conocidas redes de computadoras que en general incluyen una gran variedad de dispositivos de computación, tales como equipos clientes y servidores, interconectados mediante varios medios de conexión. En particular, es normal para una institución, tal como una empresa, proporcionar este tipo de red. Dicha red puede incluir una multiplicidad de servidores que ejecutan un número correspondiente de programas de aplicación (“aplicaciones”). Los empleados de la empresa pueden usar una o más de estas aplicaciones para llevar a cabo el negocio de la empresa. Una red como ésta puede estar caracterizada como una red segura, privada, puesto que es accesible bajo condiciones de funcionamiento esperado normal sólo por parte de personas debidamente autorizadas.

Cada vez se ha convertido en más popular, y en muchos casos una necesidad del negocio, que los usuarios (“clientes”) accedan remotamente a la red privada. Mientras que el acceso remoto en algunos casos se consigue a través de líneas seguras dedicadas, cada vez se realiza más a través de la red global de comunicaciones conocida como Internet. Las redes de computadoras, en particular Internet, pueden ser vulnerables a violaciones de seguridad. En particular, Internet se considera de manera general como no segura, teniendo en cuenta su acceso generalizado y el uso por parte del público en general. Por consiguiente, un problema que se plantea es cómo permitir el acceso de los clientes de forma segura a los recursos disponibles en la red segura privada (por ejemplo, las aplicaciones) a través de una red pública generalmente no segura, tal como Internet.

Un primer enfoque general conocido en el estado de la técnica se basa en emplear varios esquemas de cifrado. Por ejemplo, un protocolo conocido como protocolo de Capa de Conexión Segura (SSL) protege la información transmitida a través de Internet no seguro utilizando cifrado. Otro esquema de autentificación conocido supone el uso de un llamado certificado digital, que también utiliza cifrado. Tal como se utiliza, el certificado digital puede adjuntarse a un mensaje electrónico para verificar al receptor que el emisor es quien dice ser. Un conocido y ampliamente aceptado estándar para certificados digitales es ITU X.509.

Mientras las técnicas descritas anteriormente son efectivas para lo que se pretende llevar a cabo, el facilitar acceso a una red segura privada a través de una red no segura tal como Internet requiere de una combinación completa de muchas funciones de seguridad. Por consiguiente, es conocido en el estado de la técnica facilitar de manera segura el acceso remoto mediante una arquitectura de pasarela (en inglés, gateway architecture). Una arquitectura de pasarela conocida incluye un cortafuegos (en inglés, firewall), un servidor web, un colector de información (en inglés, information collector - IC), un enrutador de mensajes de aplicación (en inglés, application message router - AMR), y un controlador de autorizaciones.

El cortafuegos se dispone entre la red segura privada y la red no segura pública. El servidor web y el colector de información están en el lado del cortafuegos de la red pública no segura. El servidor web se comunica con el colector de información utilizando la interfaz de Entrada Común conocida (CGI), la especificación para transferir información entre un servidor web y un programa CGI. El AMR y el controlador de autorizaciones están en el lado del cortafuegos de la red segura privada. El IC y el AMR se comunican a través del cortafuegos mediante un mecanismo de comunicación de interproceso (IPC). En esta arquitectura de pasarela de comunicación conocida, un usuario que desea tener acceso a una aplicación en la red privada primero accede al servidor web utilizando un navegador web convencional. El usuario se autentifica proporcionando un certificado digital.

El servidor web envía los datos del certificado digital al IC de acuerdo con un script CGI. El colector de información, a su vez, envía el certificado digital a través del cortafuegos al AMR vía el mecanismo IPC. El AMR, también vía un mecanismo IPC, consulta al controlador de autorizaciones para autentificar al usuario. La respuesta del controlador de autorizaciones se devuelve al AMR. Si el usuario es autentificado con éxito, se permite el acceso. Sin embargo, existen diferentes deficiencias en este enfoque.

Primero, el colector de información y el enrutador de mensajes de aplicación son aplicaciones de software programadas personalizadas. Por consiguiente, deben ser portadas para cada nueva plataforma utilizada. Esta dependencia de la plataforma supone un incremento de costes (y retardos) cuando se implementa en nuevas plataformas.

Segundo, la pasarela conocida tiene limitaciones de rendimiento. La interfaz CGI es relativamente lenta, como lo es el link IC-a-AMR porque, entre otras cosas, el mecanismo IPC es de un único hilo.

Tercero, ciertos datos (por ejemplo, HTML estático, gráficos, etc.) son más vulnerables a violaciones de seguridad (es decir, a ser pirateados) porque se mantiene en el servidor web, en el lado de Internet (no segura) del cortafuegos de la red privada. Esta situación no es deseable.

Otra pasarela conocida para facilitar el acceso a una red privada a través de una red no segura requiere de un mecanismo de autentificación de certificado digital del lado cliente de dos niveles. Se proporciona un servidor Proxy para cada aplicación en la red privada, el cual se dispone en el lado de Internet del cortafuegos. Uno de los servidores proxy realiza una verificación de primer nivel del certificado digital, y entonces envía los datos del certificado digital a través del cortafuegos, vía HTTPS, para la verificación de segundo nivel por parte de un servidor de autorización. Mientras esta configuración soluciona alguna de las deficiencias descritas anteriormente, el enrutado en este enfoque es relativamente ineficiente para múltiples aplicaciones (es decir, requiere múltiples servidores proxy).

Además, algunas aplicaciones de la red privada no requieren una autentificación fuerte del certificado digital. En estas situaciones para arquitecturas de pasarela conocidas no hay autentificación del usuario fuera del cortafuegos (es decir, las pasarelas descritas anteriormente autentifican, al menos en algún nivel, antes de permitir además el acceso a través del cortafuegos para la autentificación completa).

Por lo tanto, existe una necesidad de proporcionar una pasarela mejorada que minimice o elimine uno o más de las deficiencias según lo dispuesto anteriormente.

WO 99/53391 describe un sistema que facilita el acceso a recursos en una red de confianza. Cuando un usuario pretende acceder a una red de confianza, se envía una solicitud de acceso desde un navegador cliente, a través de Internet y una red DMZ, al hospedaje web (en inglés, web host). Posteriormente, el hospedaje web solicita información de autentificación del usuario por parte del usuario y, después de recibir la información de autentificación, solicita la autentificación de la información recibida desde un servidor de autentificación.

SUMARIO

El objeto de la invención es solucionado mediante la materia de las reivindicaciones independientes. Realizaciones preferidas son materia de las reivindicaciones dependientes.

Una ventaja del sistema informático de acuerdo con la presente invención es que autentifica a un usuario de un equipo cliente remoto en el que el uso de certificados digitales no es deseable o simplemente no está disponible. Otra ventaja es que la autentificación, que preferiblemente implica el uso de un identificador de usuario (ID) y una contraseña, se realiza en el lado no seguro de un sistema cortafuegos que separa la red segura privada y la red pública no segura (es decir, Internet). La autentificación debe realizarse con éxito antes de permitir el acceso a la red privada. Además, la arquitectura de un sistema informático de acuerdo con la invención mantiene datos sensibles de autentificación en un servidor de autorización, el cual está en el lado del cortafuegos de la red privada segura, que reduce la probabilidad... [Seguir leyendo]

1. Sistema informático (20, 200) para facilitar el acceso desde un equipo cliente (22), a través de una red pública no segura, a un servidor de destino (28) en una red privada segura, que comprende:

un sistema cortafuegos (32) entre dicha red no segura y dicha red privada segura;

un servidor de autorización (46) en el lado de la citada red privada del citado sistema cortafuegos (32) para autentificar a un usuario (18) de dicho equipo cliente (22) en base a un identificador (ID) de usuario y una contraseña de dicho usuario de dicho equipo cliente (22);

un servidor web (210, 44) en el lado de la citada red no segura de dicho sistema cortafuegos (32), configurado para enviar dicho ID de usuario al citado servidor de autorización y generar una cookie de autentificación cuando dicho servidor de autorización (46) autentifica a dicho usuario del citado equipo cliente (22) en base a dicho ID de usuario y a dicha contraseña;

caracterizado por

un servidor proxy (34) en el lado de la citada red no segura de dicho sistema cortafuegos (32); y

una pasarela (38) en el lado de la citada red privada de dicho sistema cortafuegos (32);

en el que el citado servidor proxy (34) está configurado además para enviar un mensaje desde dicho equipo cliente (22) a dicho servidor de destino (28) a través de la pasarela (38), cuando la citada cookie de autenticación es válida, y

en el que la pasarela (38) incluye un servidor proxy de pasarela (40) configurado para:

recibir desde el equipo cliente (22) una URL que comprende una parte base y un identificador, extraer dicho identificador, y generar una cookie de aplicación seleccionada,

reconocer la cookie de aplicación seleccionada y adjuntar el identificador recuperado de dicha cookie de aplicación seleccionada a mensajes desde el citado equipo cliente, e

identificar, en base al identificador adjunto, el servidor de destino y enrutar el mensaje hacia dicho servidor de destino en base al citado identificador adjunto.

2. El sistema informático (20, 200) de la reivindicación 1, en el que el citado servidor proxy (34) está configurado para establecer conexiones seguras respectivas con dicho equipo cliente (22) y la citada pasarela (38), y dicho servidor web (44, 210) está configurado para establecer una conexión segura respectiva con el citado servidor de autorización (46).

3. El sistema informático (20, 200) de las reivindicaciones 1 ó 2, en el que

la pasarela (38) está dispuesta entre el citado servidor proxy (34) y dicha red privada en el lado de dicha red privada de dicho sistema cortafuegos (32).

4. El sistema informático (20, 200) según una de las reivindicaciones 1 a 3, en el que dicha conexión al citado servidor proxy (34), a través de la que se recibe dicho ID de usuario y contraseña desde dicho equipo cliente (22), se securiza utilizando un protocolo de Capa de Conexión Segura, SSL.

5. El sistema informático (20, 200) según una de las reivindicaciones 1 a 4, en el que dicho servidor de autorización (46) comprende un servidor capaz de implementar un protocolo ligero de acceso a directorios, LDAP.

6. El sistema informático (20, 200) según una de las reivindicaciones 1 a 5, en el que la citada conexión entre dicho servidor web (44, 210) y dicho servidor de autorización (46) está securizada utilizando un protocolo de Capa de Conexión Segura, SSL, y en el que el citado servidor web (44, 210) y dicho servidor de autorización (46) se proporcionan autentificación entre sí utilizando certificados digitales que cumplen con un estándar de la industria.

7. El sistema informático (20, 200) según la reivindicación 6, en el que dicho estándar de la industria comprende un estándar ITU X.509.

8. El sistema informático (20, 200) según una de las reivindicaciones 1 a 7, en el que la citada conexión entre dicho servidor proxy (34) y dicha pasarela (38) está securizada utilizando un protocolo de Capa de Conexión Segura, SSL, y en el que el citado servidor proxy (34) y dicha pasarela (38) se proporcionan autentificación entre sí utilizando certificados digitales que cumplen con un estándar X.509.

9. El sistema informático (20, 200) según una de las reivindicaciones 1 a 8, en el que dicha red privada incluye una pluralidad de servidores de destino sirviendo cada uno de ellos una aplicación correspondiente, comprendiendo dicho servidor proxy un servidor proxy de zona desmilitarizada, DMZ, y comprendiendo el citado servidor web un servidor web DMZ, incluyendo dicha pasarela un servidor proxy de pasarela, estando configurado el citado servidor web DMZ para transmitir a dicho equipo cliente una lista de aplicaciones para cuyo acceso por parte de dicho usuario del citado equipo cliente está autorizado de acuerdo con dicha respuesta por parte de dicho servidor de autorización, siendo la selección por parte de dicho usuario en el citado equipo cliente de una aplicación de dicha lista operativa para enviar a dicho servidor proxy de pasarela, a través de dicho servidor proxy DMZ, un localizador de uniforme de recursos, URL, que comprende una parte base y un identificador adjunto al mismo como un sufijo.

10. Un procedimiento para facilitar el acceso por parte de un equipo cliente (22) en una red pública no segura, a través de un servidor proxy (34), a un servidor de destino (28) que reside en una red privada segura, comprendiendo dicho procedimiento las etapas de:

A. Recibir en el servidor proxy (34) una solicitud de autentificación por parte de un usuario (18) del equipo cliente (22);

B. Establecer una primera conexión segura entre el servidor proxy (34) y el equipo cliente (22);

C. Obtener, en el servidor web, a través del servidor proxy, un identificador (ID) de usuario y una contraseña del usuario (18) del equipo cliente (22);

D. Establecer una segunda conexión segura entre el servidor web (44, 210) y un servidor de autorización

(42) para la transmisión del ID de usuario y la contraseña;

E. Obtener datos de autentificación desde el servidor de autorización (42), utilizando el ID de usuario y la contraseña;

F. Generar una cookie de autentificación utilizando los datos de autentificación;

G. Enrutar mensajes desde el equipo cliente (22), a través del servidor proxy (34), a través de una pasarela

(38) al servidor de destino cuando la cookie de autentificación es válida, caracterizado por recibir en el servidor proxy de pasarela (40) una URL desde el cliente, comprendiendo dicha URL una parte base y un

identificador, extraer dicho identificador y generar una cookie de aplicación seleccionada en la que el servidor proxy de pasarela (40) está además configurado para reconocer la cookie de aplicación seleccionada y adjuntar el identificador en la citada cookie de aplicación seleccionada

a mensajes desde dicho equipo cliente (22), y identificar, en base al identificador adjunto, el servidor de destino y enrutar el mensaje a dicho servidor de destino en base a dicho identificador adjunto.

11. El procedimiento según la reivindicación 10, que incluye además las etapas de: proporcionar un sistema cortafuegos (32) entre la red pública no segura y la red privada segura; disponer el servidor proxy (34) y el servidor web (44, 210) en el lado de la red no segura del sistema cortafuegos; y disponer el servidor de autorización (42) y la pasarela (38) en el lado de la red privada del sistema cortafuegos (32).

12. El procedimiento según una de las reivindicaciones 10 ó 11, en el que dicha etapa de enrutado de mensajes incluye la sub-etapa de:

establecer una tercera conexión segura entre el servidor proxy (34) y la pasarela (38).

13. El procedimiento de la reivindicación 12, en el que dichas etapas de establecer una segunda conexión segura y recibir datos de autentificación incluye una comunicación de acuerdo con un protocolo seguro de transferencia de hipertexto, HTTPS.

14. El procedimiento según una de las reivindicaciones 10 a 13, en el que dicha etapa de enrutar mensajes se realiza por cada mensaje destinado al servidor de destino (28).