SISTEMA CORTAFUEGOS PARA PROTEGER UNA COMUNIDAD DE APARATOS, APARATO PARTICIPANTE DEL SISTEMA Y MÉTODO PARA ACTUALIZACIÓN DE LAS REGLAS DE CORTAFUEGOS DENTRO DEL SISTEMA.

Sistema de cortafuegos (11.15) que permite dotar de seguridad a una comunidad de aparatos interconectables (1.

5, - 1.13) que comparten un conjunto formado al menos por una regla de seguridad global común, teniendo cada aparato (1.5, - 1.13) de la comunidad (1.1, - 1.3) medios (2.1) para almacenar una política de seguridad local consistente al menos en reglas de seguridad globales, en una lista de miembros de la comunidad (1.1, - 1.3), así como su estado de conexión, y una lista de servicios ofrecidos localmente, incluyendo una pluralidad de aparatos (1.5, - 1.13) de la comunidad (1.1, - 1.3) un filtro (2.6) para mensajes destinados a y con origen en la red a la que están conectados, caracterizado porque el sistema no comprende medios centralizados, y porque posee en cada aparato (1.5, - 1.13) de la comunidad (1.1, - 1.3) medios locales para cálculo de reglas (2.5) utilizadas por el filtro (2.6) en función de la política de seguridad local

Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E05105528.

Solicitante: THOMSON LICENSING.

Nacionalidad solicitante: Francia.

Dirección: 1-5, RUE JEANNE D'ARC 92130 ISSY-LES-MOULINEAUX FRANCIA.

Inventor/es: ANDREAUX, JEAN-PIERRE, BIDAN, CHRISTOPHE, PRIGENT,Nicolas, HEEN,Olivier, COURTAY,Olivier.

Fecha de Publicación: .

Fecha Solicitud PCT: 22 de Junio de 2005.

Clasificación Internacional de Patentes:

  • H04L12/40F8
  • H04L29/06S2B

Clasificación PCT:

  • H04L12/28 ELECTRICIDAD.H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS.H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 12/00 Redes de datos de conmutación (interconexión o transferencia de información o de otras señales entre memorias, dispositivos de entrada/salida o unidades de tratamiento G06F 13/00). › caracterizados por la configuración de los enlaces, p. ej. redes locales (LAN), redes extendidas (WAN) (redes de comunicación inalámbricas H04W).
  • H04L12/46 H04L 12/00 […] › Interconexión de redes.

Clasificación antigua:

  • H04L12/28 H04L 12/00 […] › caracterizados por la configuración de los enlaces, p. ej. redes locales (LAN), redes extendidas (WAN) (redes de comunicación inalámbricas H04W).
  • H04L12/46 H04L 12/00 […] › Interconexión de redes.

Países PCT: Austria, Bélgica, Suiza, Alemania, Dinamarca, España, Francia, Reino Unido, Grecia, Italia, Liechtensein, Luxemburgo, Países Bajos, Suecia, Mónaco, Portugal, Irlanda, Eslovenia, Finlandia, Rumania, Chipre, Lituania, Letonia, Ex República Yugoslava de Macedonia, Albania.

PDF original: ES-2359637_T3.pdf

 

SISTEMA CORTAFUEGOS PARA PROTEGER UNA COMUNIDAD DE APARATOS, APARATO PARTICIPANTE DEL SISTEMA Y MÉTODO PARA ACTUALIZACIÓN DE LAS REGLAS DE CORTAFUEGOS DENTRO DEL SISTEMA.
SISTEMA CORTAFUEGOS PARA PROTEGER UNA COMUNIDAD DE APARATOS, APARATO PARTICIPANTE DEL SISTEMA Y MÉTODO PARA ACTUALIZACIÓN DE LAS REGLAS DE CORTAFUEGOS DENTRO DEL SISTEMA.
SISTEMA CORTAFUEGOS PARA PROTEGER UNA COMUNIDAD DE APARATOS, APARATO PARTICIPANTE DEL SISTEMA Y MÉTODO PARA ACTUALIZACIÓN DE LAS REGLAS DE CORTAFUEGOS DENTRO DEL SISTEMA.

Fragmento de la descripción:

Sistema cortafuegos para proteger una comunidad de aparatos, aparato participante del sistema y método para actualización de las reglas de cortafuegos dentro del sistema La presente invención se refiere a la seguridad de una comunidad de aparatos domésticos interconectables, y más concretamente, a la gestión de la política de normas de cortafuegos que hacen posible el filtrado del tráfico que discurre entre dichos aparatos y la red a la que están conectados. El Documento US-B1-6212633 (Levy Paul S et al.), de fecha 3 de abril de 2001, describe un cortafuegos distribuido que se utiliza en conjunción con un interfaz de comunicaciones serie con correspondencia de memoria, como el definido por la especificación IEEE 1394, para permitir la transmisión segura de datos entre nodos seleccionados a través del interfaz. Una red local, y más concretamente una red doméstica, consta de una serie de aparatos (televisores, grabadoras digitales, ordenadores, asistentes personales digitales, etc.) conectados mutuamente en red, y que se autoconfiguran e interactúan de forma transparente para el usuario, para ofrecerle unos servicios mejorados. Algunas de las actuales propuestas de normas para redes domésticas son UPnP, descrita en “UPnPT Device Architecture 1.0”, HAVi, descrita en “HAVi Specification version 1.1” y “rendezvous”, descrita por E. Guttman en “Autoconfiguration for IP networking: Enabling local communication”, IEEE Internet Computing, mayo 2001. Los electrodomésticos que pertenecen al usuario de una familia de usuarios compartirán una y la misma política de seguridad. Estos aparatos son interconectables a través de múltiples redes. Estas redes pueden ser redes cableadas dentro del hogar, como IEEE 1394, IEEE Ethernet y similares. También pueden ser redes inalámbricas, como IEEE 802.11, Bluetooth o similares. Los aparatos también pueden comunicarse a través de Internet, como por ejemplo, un aparato móvil que el usuario transporta consigo a su lugar de trabajo, y que se comunicará con la red de su domicilio a través de la red de la empresa y de Internet. Estas comunidades deben ser seguras si se desea utilizarlas ampliamente. Concretamente, existen motivos y auténticas oportunidades para atacar los aparatos de un usuario. La primera medida para dotar de seguridad a una comunidad de aparatos domésticos consiste en marcar sus límites, es decir, definir qué aparatos pertenecen a la comunidad. El segundo paso para dotar de seguridad a estas comunidades domésticas consiste en definir una política de filtrado de las comunicaciones entre aparatos de la comunidad y el mundo exterior, o incluso entre los propios aparatos de la comunidad. Los filtros de este tipo, denominados cortafuegos (firewalls), son muy conocidos. Existen diversos tipos de cortafuegos. Concretamente, se suele dotar a la red de una empresa de un cortafuegos dispuesto en el enlace entre la red de dicha empresa y el exterior. Específicamente, en este tipo de red, todas las comunicaciones entre la red y el exterior pasan a través de uno o más puntos de conexión bien identificados. En este caso, el cortafuegos es administrado por personal competente, encargado de definir la política de seguridad y de ponerla en práctica. También se suele equipar a los ordenadores personales directamente conectados a Internet con lo que normalmente se denomina cortafuegos personal. Este cortafuegos es un filtro de software situado en el ordenador, y que filtra el tráfico de la red entre el ordenador y el mundo exterior. Este filtrado se lleva a cabo en función de una política definida por el usuario. A estos efectos, existen herramientas que le permiten expresar esta política de una forma muy sencilla y traducirla en forma de reglas de filtrado de paquetes, en función de los protocolos utilizados, de los servicios utilizados o de la dirección de la comunicación. A pesar de estas herramientas, concebidas para facilitar las tareas del usuario, éste sigue encargado de la gestión de su cortafuegos y de las modificaciones de la política de seguridad de su ordenador. Para la gestión de la política de cortafuegos en redes que poseen varios puntos de acceso al exterior se ha desarrollado la noción de cortafuegos distribuido. En este tipo de cortafuegos, la política de seguridad se define en un punto de la red que sirve como servidor de políticas, aplicándose en múltiples puntos, normalmente en todos los puntos de acceso a la red. De este modo, la coherencia de la política de cortafuegos se garantiza para toda la red mediante la centralización de las normas de la política y su actualización en un único punto. Las características de las comunidades de los aparatos domésticos modernos presentan una serie de problemas cuando se trata de protegerlas mediante un cortafuegos, de acuerdo con una de las técnicas mencionadas anteriormente. La utilización de medios de RF, que son compartidos por naturaleza, la comunicación entre aparatos a través de Internet, el desenmascaramiento y el intercambio automático de servicios entre aparatos enfrentados, constituyen otros tantos factores que difuminan los límites físicos de las redes domésticas y la situación de los puntos de acceso entre los aparatos de la red doméstica y el exterior. En dicha comunidad, cada aparato se puede comunicar con aparatos externos a la red, sin que dicha comunicación pase necesariamente a través de un punto de acceso identificado. Además, los aparatos de la comunidad doméstica son susceptibles de desarrollar defectos, o de ser apagados o transportados por el usuario más allá del alcance de los medios de comunicación del resto de la comunidad. Por lo tanto, está claro que la política de seguridad debe aplicarse, por un lado, a los aparatos transportados fuera de la residencia y aquellos que permanecen en el interior de la residencia. Por lo tanto, no es posible contar con la presencia en la red de un aparato que desempeñe un papel privilegiado que garantice la seguridad de la comunidad. Además, es necesario que la política tenga en cuenta las alteraciones de la comunidad, la adición o la retirada de nuevos aparatos. La invención permite una gestión distribuida y plenamente centralizada de la política de cortafuegos, implementada a nivel de cada aparato, y que es coherente y se adapta dinámicamente a los cambios que se producen en la red doméstica. Nos referiremos a cortafuegoss ubicuos.

La invención se refiere a un sistema de cortafuegos que permite dotar de seguridad a una comunidad de aparatos interconectables que comparten un conjunto formado al menos por una regla de seguridad global común, y en el que cada aparato de la comunidad posee medios para almacenar una política de seguridad local consistente al menos en unas reglas de seguridad globales, en una lista de miembros de la comunidad y su estado de conexión, así como en una lista de servicios ofrecidos localmente, y en la que una pluralidad de aparatos de la comunidad comprende un filtro de mensajes destinados a y con origen en la red a la cual se encuentran conectados, en la que, considerando que el sistema no comprende medios centralizados, posee en cada aparato de la comunidad local medios para calcular las reglas utilizadas por el filtro, en función de la política de seguridad local. De acuerdo con una realización específica de la invención, el sistema posee en cada aparato de la comunidad medios de actualización de la política de seguridad local, así como para inicio de un nuevo cálculo de las reglas utilizadas por el filtro. De acuerdo con una realización específica de la invención, los cambios que se tienen en cuenta para iniciar un nuevo cálculo de las reglas utilizadas por el filtro son al menos uno de los siguientes: el cambio de la dirección de red de un aparato de la comunidad, la adición, retirada o exclusión de un aparato de la comunidad y el cambio de estado de un servicio albergado en uno de los aparatos de la comunidad. De acuerdo con una realización específica de la invención, los cambios que se tienen en cuenta para iniciar un nuevo cálculo de las normas de cortafuegos utilizadas por el filtro son al menos uno de los siguientes: el cambio de la dirección de red de un aparato de la comunidad, la adición, retirada o exclusión de un aparato de la comunidad y el cambio de estado de un servicio albergado localmente en el aparato. De acuerdo con una realización específica de la invención, el sistema posee en cada aparato de la comunidad medios para determinar la lista de aparatos externos a la comunidad y que cuentan con acceso privilegiado al menos a un servicio ofrecido por un aparato de la comunidad, estando dicha lista integrada en la política de seguridad local. La invención también se refiere a un aparato que comprende medios para pertenencia a una comunidad... [Seguir leyendo]

 


Reivindicaciones:

1. Sistema de cortafuegos (11.15) que permite dotar de seguridad a una comunidad de aparatos interconectables (1.5, - 1.13) que comparten un conjunto formado al menos por una regla de seguridad global común, teniendo cada aparato (1.5, - 1.13) de la comunidad (1.1, - 1.3) medios (2.1) para almacenar una política de seguridad local consistente al menos en reglas de seguridad globales, en una lista de miembros de la comunidad (1.1, - 1.3), así como su estado de conexión, y una lista de servicios ofrecidos localmente, incluyendo una pluralidad de aparatos (1.5, - 1.13) de la comunidad (1.1, - 1.3) un filtro (2.6) para mensajes destinados a y con origen en la red a la que están conectados, caracterizado porque el sistema no comprende medios centralizados, y porque posee en cada aparato (1.5, - 1.13) de la comunidad (1.1, - 1.3) medios locales para cálculo de reglas (2.5) utilizadas por el filtro (2.6) en función de la política de seguridad local.

2. Sistema de acuerdo con la reivindicación 1, que posee en cada aparato de la comunidad medios (2.2) para actualización de la política de seguridad local y para inicio de un nuevo cálculo de las reglas utilizadas por el filtro.

3. Sistema de acuerdo con la reivindicación 2, que posee medios (2.3) para iniciar un nuevo cálculo de las reglas utilizadas por el filtro en respuesta a cambios acaecidos en la red.

4. Sistema de acuerdo con la reivindicación 3, en el que los cambios que se tienen en cuenta para iniciar un nuevo cálculo de las reglas utilizadas por el filtro son al menos uno de los siguientes: el cambio en la dirección de red de un aparato de la comunidad, la inclusión, retirada o exclusión de un aparato de la comunidad y el cambio de estado de un servicio ofrecido por la comunidad.

5. Sistema de acuerdo con la reivindicación 3, en el que los cambios que se tienen en cuenta para iniciar un nuevo cálculo de las reglas de cortafuegos utilizadas por el filtro son, al menos, uno de los siguientes: el cambio en la dirección de red de un aparato de la comunidad, la inclusión, retirada o exclusión de un aparato de la comunidad y el cambio de estado de un servicio ofrecido localmente en el aparato que alberga el servicio.

6. Sistema de acuerdo con la reivindicación 1, que posee en cada aparato de la comunidad medios para determinar una lista de aparatos externos a la comunidad que gozan de acceso privilegiado al menos a un servicio ofrecido por un aparato de la comunidad, estando integrada dicha lista en la política de seguridad local.

7. Aparato (1.5, - 1.13) que comprende medios de pertenencia a una comunidad (1.1, - 1.3) de aparatos interconectables (1.5, - 1.13) que comparte un conjunto formado, al menos, por una regla de seguridad global común, que posee medios (2.1) para almacenar una política de seguridad local consistente al menos en reglas globales de seguridad, una lista de miembros de la comunidad (1.1, - 1.3), así como su estado de conexión y una lista de servicios ofrecidos localmente, teniendo dicho aparato (1.5, - 1.13) un cortafuegos (1.15) que comprende un filtro (2.6) de mensajes destinados a y con origen en la red a la que se encuentra conectado, caracterizado porque posee medios locales, (2.5) para cálculo de reglas de cortafuegos utilizadas por el filtro (2.6) en función de la política de seguridad local, sin necesidad de recurrir a medios centralizados.

8. Aparato de acuerdo con la reivindicación 7, que posee medios (2.2) para actualizar la política de seguridad local y para iniciar automáticamente un nuevo cálculo de las reglas utilizadas por el filtro.

9. Aparato de acuerdo con la reivindicación 8, que posee medios (2.3) para iniciar un nuevo cálculo de las reglas utilizadas por el filtro, en respuesta a cambios acaecidos en la red.

10. Aparato de acuerdo con la reivindicación 9, en el que los cambios que se tienen en cuenta para iniciar un nuevo cálculo de las reglas utilizadas por el filtro son al menos uno de los siguientes: el cambio en la dirección de red de un aparato de la comunidad, la inclusión, retirada o exclusión de un aparato de la comunidad y el cambio de estado de un servicio ofrecido por la comunidad.

11. Aparato de acuerdo con la reivindicación 9, en el que los cambios que se tienen en cuenta para iniciar un nuevo cálculo de las reglas de cortafuegos utilizadas por el filtro son, al menos, uno de los siguientes: el cambio en la dirección de red de un aparato de la comunidad, la inclusión, retirada o exclusión de un aparato de la comunidad y el cambio de estado de un servicio ofrecido localmente por el aparato que alberga el servicio.

12. Aparato de acuerdo con la reivindicación 7, que posee medios para determinar una lista de aparatos externos a la comunidad y que gozan de acceso privilegiado, al menos, a un servicio ofrecido por un aparato de la comunidad, estando dicha lista integrada en la política de seguridad local.

13. Método de actualización de reglas utilizadas por un cortafuegos (1.15) consistente en un filtro (2.6) de mensajes destinados a y con origen en la red a la cual se encuentra conectado un aparato (1.5-1.3) que implementa dicho método, formando dicho aparato (1.5-1.13) parte de una comunidad (1.1-1.3) de aparatos interconectables (1.5-1.13) que comparten un conjunto formado al menos por una regla de seguridad global común, contando el aparato con medios para almacenar una política de seguridad local consistente, al menos, en reglas de seguridad locales, en una lista de miembros de la comunidad (1.1-1.3) y su estado de conexión, y en una lista de servicios ofrecidos localmente, calculándose dichas reglas en función de la política de seguridad local, que comprende al menos las siguientes etapas:

- la detección de la adición, retirada y exclusión de un aparato (1.5-1.13) de la comunidad (1.1-1.3);

- la detección de los cambios en la dirección de red de un aparato (1.5-1.13) de la comunidad (1.1-1.3);

- el inicio de un nuevo cálculo de las reglas en respuesta al cambio en la política de seguridad local.

14. Método de acuerdo con la reivindicación 13, que adicionalmente incluye una etapa de detección de los cambios de estado de los servicios ofrecidos localmente en el aparato que alberga los servicios.

15. Método de acuerdo con la reivindicación 13, que adicionalmente incluye una etapa de detección de los cambios de estado de los servicios ofrecidos por la comunidad.

16. Método de acuerdo con la reivindicación 14 o 15, en el que el inicio de un nuevo cálculo de las reglas de cortafuegos se encuentra relacionado con la detección de la adición, retirada y exclusión de un aparato de la

comunidad, con la detección del cambio en la dirección IP de un aparato de la comunidad y con el cambio de estado de un servicio.


 

Patentes similares o relacionadas:

Imagen de 'SISTEMA DE REDIRECCIONAMIENTO AUTOMATICO DE DATOS ESPECIFICO…'SISTEMA DE REDIRECCIONAMIENTO AUTOMATICO DE DATOS ESPECIFICO PARA UN USUARIO, del 18 de Marzo de 2010, de AURIC WEB SYSTEMS: Un servidor de redireccionamiento conectable entre un ordenador de un usuario y una red pública , estando correlacionado el servidor de redireccionamiento […]

Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios: acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]

Aprovisionamiento y configuración inalámbrica de elementos de hardware de un sistema de automatización del hogar, del 15 de Julio de 2020, de Savant Systems, Inc: Un procedimiento de aprovisionamiento y/o configuración de elementos de hardware de un sistema de automatización del hogar, que comprende: presencia publicitaria en una […]

Sistemas y métodos para proporcionar una arquitectura de enlace seguro múltiple, del 1 de Julio de 2020, de E^NAT Technologies, LLC: Un sistema para proporcionar una arquitectura de enlace seguro múltiple, MSL, comprendiendo dicho sistema: un componente de red privada virtual, […]

Dispositivo de interfaz, procedimiento y programa informático para controlar dispositivos sensores, del 10 de Junio de 2020, de Ubiquiti Inc: Un primer dispositivo de interfaz para su uso en un sistema de domótica , comprendiendo el primer dispositivo de interfaz: un módulo de comunicación […]

Método y aparato para proporcionar energía eléctrica a un acceso de línea de abonado digital de banda ancha, del 10 de Junio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un armario remoto que comprende un Multiplexor de Acceso de Línea de Abonado Digital (DSLAM) conectado a una red, comprendiendo el método: […]

Acceso de red híbrido inteligente, del 27 de Mayo de 2020, de DEUTSCHE TELEKOM AG: Procedimiento para la organización de una conexión de comunicaciones entre un equipo terminal de acceso "CPE" 1 del lado del cliente y un punto […]

Sistemas y métodos para el establecimiento de conexiones entre un dispositivo móvil y una red local, del 20 de Mayo de 2020, de ise Individuelle Software und Elektronik GmbH: Sistema , que comprende: uno o varios nodos de red, que se comunican entre sí a través de un primer protocolo de red, estando al menos un nodo […]

Utilizamos cookies para mejorar nuestros servicios y mostrarle publicidad relevante. Si continua navegando, consideramos que acepta su uso. Puede obtener más información aquí. .