MARCO DE DISTRIBUCIÓN DE CLAVE SIMÉTRICA PARA INTERNET.
Procedimiento, que comprende:
un servidor de distribución de claves que recibe información de la salud medida de un cliente;
el servidor validando la información de salud medida;
el servidor enviando una clave de sesión al cliente cuando la información de salud medida se valida, y al recibir la clave de sesión, el cliente inicia una conexión cifrada y autentificada con un servidor de aplicaciones en el dominio;
caracterizado porque:
un controlador de interfaz de red en el servidor de aplicaciones recibe uno o más paquetes cifrados desde el cliente a través de la conexión autentificada;
el controlador de la interfaz de red descifra el uno o más paquetes cifrados con la clave de sesión;
el controlador de interfaz de red descarta el uno o más paquetes si el descifrado no tiene éxito; y
si la desencriptación tiene éxito, el servidor de aplicaciones proporciona uno o más paquetes descifrados
Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E08253837.
Solicitante: INTEL CORPORATION.
Nacionalidad solicitante: Estados Unidos de América.
Dirección: 2200 MISSION COLLEGE BOULEVARD SANTA CLARA, CA 95052 ESTADOS UNIDOS DE AMERICA.
Inventor/es: Kolar Sunder,Divya Naidu, Dewan,Prashant, Long,Men.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- G06F21/00 FISICA. › G06 CALCULO; CONTEO. › G06F PROCESAMIENTO ELECTRICO DE DATOS DIGITALES (sistemas de computadores basados en modelos de cálculo específicos G06N). › Disposiciones de seguridad para la protección de computadores, sus componentes, programas o datos contra actividades no autorizadas.
- H04L29/06 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
PDF original: ES-2376143_T3.pdf
Fragmento de la descripción:
Marco de distribución de clave simétrica para Internet
Campo de la invención La invención se refiere a la distribución constante y dinámica de claves simétricas desde un servidor de distribución de claves dedicado a clientes a través de Internet.
Antecedentes de la invención El World Wide Web es fundamentalmente una aplicación cliente/servidor que se ejecuta a través de Internet. Las amenazas a la seguridad en Internet han aumentado exponencialmente en los últimos años. Una forma de clasificar las amenazas de seguridad diferentes en cuanto a la ubicación de la amenaza: servidor web, navegador web del cliente, y el tráfico entre el navegador web del cliente y el servidor. Teniendo en cuenta el tráfico entre el cliente y el servidor, que es fácil de implementar “Fuerza de tarea de ingeniería de Internet” (IETF) , “Seguridad de protocolo de Internet” (IPSec) y TLS (“Seguridad de capa de transporte”) , protocolos de seguridad basados en red, que dependen de la negociación de las claves de la sesión entre clientes y servidores utilizando criptografía de clave asimétrica cara (por ejemplo, Diffie-Hellman) . Los servidores tienen que seguir la pista de decenas de miles de claves simétricas transitorias negociadas en función de cada sesión. El resultado es que las memorias que se vende por las asociaciones de seguridad para realizar las operaciones criptográficas para estos protocolos en hardware se convierten en prohibitivamente caras debido a la cantidad de estado que debe ser mantenido (por no hablar de los costes de la negociación de claves) .
Tecnología relacionada se divulga en la publicación de la solicitud de patente US 2006/0047944 A1 de Roger Kilian-Kehr, indicándose las características de la misma en el preámbulo de cada reivindicación independiente. Este documento divulga técnicas que permiten un acceso al sistema informático de destino a los datos del usuario sólo después de la verificación de la fiabilidad del sistema informático de destino. El acceso se concede por una tercera parte de confianza que proporciona al sistema de destino una clave de descifrado en el establecimiento exitoso de la confiabilidad. Un módulo de plataforma segura (TPM) en el sistema de destino puede proporcionar el TTP con indicadores que reflejan la fiabilidad del sistema de destino. Protocolos conocidos "Alianza de plataforma informática segura" (TCPA) se utilizan para comunicarse entre el destino y el TPM.
Breve descripción de los dibujos La presente invención se ilustra a modo de ejemplo y no está limitada por los dibujos, en los que referencias similares indican elementos similares, y en los que:
La figura 1 describe un dispositivo y un sistema para la distribución de clave simétrica a través de Internet.
La figura 2 es un diagrama de flujo de una realización de un proceso para distribuir información de las claves usando un servidor de distribución de claves.
Descripción detallada de la invención Se describen realizaciones de un procedimiento, dispositivo y sistema de distribución de claves simétricas desde un servidor a los clientes a través de Internet. En la siguiente descripción, se indican numerosos detalles específicos. Sin embargo, se entiende que las realizaciones se pueden practicar sin estos detalles específicos. En otros casos, elementos, especificaciones y protocolos bien conocidos no han sido descritos en detalle con el fin de evitar el oscurecimiento de la presente invención.
La figura 1 describe un dispositivo y un sistema de distribución de claves simétricas a través de Internet. En muchas realizaciones, un cliente 100 está conectado a un dominio 102 a través de Internet 104. Internet es una serie en todo el mundo de las redes de ordenadores de acceso público interconectados que transmiten datos a través de protocolos tal como el protocolo de Internet (IP) estándar. Más específicamente, Internet es una "red de redes" que consiste en millones de pequeñas redes domésticas, académicas, empresariales y gubernamentales que, en conjunto, llevan información y servicios diversos. Físicamente, Internet incluye redes troncales por cable, ópticas e inalámbricas que comprenden el medio sobre el cual se transmite la información.
En diferentes formas de realización, el cliente puede ser un ordenador de sobremesa, un ordenador portátil, un dispositivo móvil inalámbrico, un teléfono celular, un decodificador para un televisor o cualquier otro tipo de dispositivo informático que tiene la capacidad de conectarse a Internet. La conexión del cliente a Internet puede ser a través de mecanismos tales como enrutadores, conmutadores, puntos de acceso, entre otros dispositivos que se conectan dispositivos individuales a Internet.
En diferentes realizaciones, el dominio puede ser un dominio para una red de una empresa, una institución científica, una universidad, una oficina del gobierno, una persona individual, entre otros. El dominio consiste en uno o más servidores de sistemas informáticos que llevan a cabo una serie de funciones que permiten que la información pase entre los ordenadores y los usuarios en el dominio e Internet. Cada dominio tiene un nombre de dominio que se asigna a una dirección IP específica.
La figura 1 ilustra un ejemplo de una serie de servidores que realizan funciones vitales dentro del dominio. En diferentes realizaciones, estos servidores pueden ser máquinas separadas físicamente o pueden ser aplicaciones que se ejecutan en una sola máquina (por ejemplo, en distintas particiones de la máquina) .
El cliente puede solicitar el acceso al dominio 102 para servicios. En muchas realizaciones, un servidor de aplicaciones 106 situado dentro del dominio proporciona uno o más de estos servicios que el cliente 100 desea (por ejemplo, servicio de almacenamiento de información, servicio de recuperación de noticias, servicio de correo electrónico, etc.) .
En muchas realizaciones, el dominio 102 tiene un cortafuegos 108. El cortafuegos 108 es una forma de seguridad que trata de evitar que los usuarios y los programas malintencionados entren en el dominio de Internet 104. El cortafuegos 108 puede ser un servidor independiente (mostrado) o puede ser parte de uno de los otros servidores en la figura 1 (no mostrado) .
El dominio también incluye un servidor DHCP (protocolo de configuración de huésped dinámico) 110. Suponiendo que el cliente 100 está configurado con DHCP, cuando el cliente 100 se conecta al dominio 102, el programa del cliente DHCP en el cliente 100 envía una consulta de difusión solicitando la información necesaria desde el servidor DHCP
110. El servidor DHCP 110 gestiona un conjunto de direcciones IP e información sobre los parámetros de configuración del cliente, tales como el nombre de dominio, la puerta de enlace predeterminada, entre otros. Además, el servidor DHCP 110 tiene información sobre la presencia y la dirección de un servidor DNS (sistema de nombres de dominio) 112 ubicado en el dominio 102. Tras la recepción de una solicitud válida desde el cliente 100, el servidor DHCP 110 asignará al cliente 100 una dirección IP y otros parámetros.
El cliente 100, ahora configurado con una dirección IP recibida desde el servidor DHCP 110 y la dirección del servidor DNS 112, puede ahora interactuar con el servidor DNS 112. El servidor DNS 112 proporciona direcciones IP de servidores y otros dispositivos dentro en el dominio 102.
Volviendo al servidor de aplicaciones 106, uno o más procesadores 114 están presentes en el servidor de aplicaciones 106. En realizaciones diferentes, cada uno de estos procesadores puede ser de uno o múltiples núcleos. Por lo tanto, en algunas realizaciones, el servidor de aplicaciones es un multiprocesador, servidor de múltiples núcleos y en otras realizaciones, el servidor de aplicaciones es de un solo procesador, servidor de un solo núcleo, y en otras realizaciones, el servidor de aplicaciones es un derivado de una combinación de los sistemas descritos anteriormente de procesador simple/múltiple, núcleo simple/múltiple. En otras realizaciones, puede haber más de un servidor de aplicaciones presente para servicios adicionales o el mismo servicio puede ser distribuido entre varios servidores de aplicaciones para equilibrar la carga del cliente. Muchas de las configuraciones descritas anteriormente de procesador y servidor no se muestran en la figura 1, ya que un solo procesador en un solo servidor proporciona una realización adecuada para describir la situación cliente/servidor.
Reivindicaciones:
1. Procedimiento, que comprende: un servidor de distribución de claves que recibe información de la salud medida de un cliente; el servidor validando la información de salud medida; el servidor enviando una clave de sesión al cliente cuando la información de salud medida se valida, y al recibir la clave de sesión, el cliente inicia una conexión cifrada y autentificada con un servidor de aplicaciones en el dominio;
caracterizado porque:
un controlador de interfaz de red en el servidor de aplicaciones recibe uno o más paquetes cifrados desde el cliente a través de la conexión autentificada; el controlador de la interfaz de red descifra el uno o más paquetes cifrados con la clave de sesión; el controlador de interfaz de red descarta el uno o más paquetes si el descifrado no tiene éxito; y si la desencriptación tiene éxito, el servidor de aplicaciones proporciona uno o más paquetes descifrados.
2. Procedimiento según la reivindicación 1, en el que el servidor de distribución de claves es direccionable en un dominio de Internet.
3. Procedimiento según la reivindicación 2, que también comprende: el cliente busca una política de cliente en el servidor de distribución de claves; sobre la base de la política de distribución de claves del cliente del servidor, el cliente mide la información sobre la
salud del cliente; y el cliente firma la información de salud medida del cliente.
4. Procedimiento según la reivindicación 1, en el que uno o más paquetes cifrados son paquetes de seguridad de protocolo Internet (IPSec) .
5. Dispositivo, que comprende: una lógica del servidor de distribución de claves operable para recibir información de la salud medida desde un cliente, validar la información de salud medida, y enviar una clave de sesión al cliente cuando la información de salud medida se valida; caracterizado porque: la lógica del servidor de aplicaciones incluye un controlador de interfaz de red, el controlador es operable para:
recibir un paquete desde el cliente, en el que el paquete se cifra usando la clave de sesión; descifrar el paquete utilizando la clave de sesión; y descartar el paquete si el descifrado no es exitoso;
y la lógica del servidor de aplicaciones es operable para proporcionar el paquete descifrado si la desencriptación tiene éxito.
6. Dispositivo según la reivindicación 5, en el que el dispositivo es direccionable en un dominio de Internet.
7. Dispositivo según la reivindicación 5, en el que el dispositivo es también operable para almacenar una política del cliente para indicar al cliente uno o más requisitos necesarios para interactuar con el dispositivo.
8. Sistema, que comprende: un cliente; un servidor de distribución de claves operable para recibir información de salud medida del cliente,
validar la información de salud medida, y enviar una clave de sesión al cliente cuando la información de salud medida se valida; y un servidor de aplicaciones que comprende:
una memoria para almacenar un sistema operativo; un procesador operable para ejecutar instrucciones del sistema operativo;
caracterizado porque el servidor de aplicaciones también comprende: un controlador de interfaz de red operable para recibir un paquete desde el cliente, en el que el paquete se cifra usando la clave de sesión, descifrar el paquete utilizando la clave de sesión, descartar el paquete cuando el descifrado no es correcto;
enviar el paquete desencriptado al sistema operativo para su uso por el procesador cuando la descripción es exitosa, y en el que el procesador no realiza ninguna operación en el paquete cuando el controlador de interfaz de red descarta el paquete.
9. Sistema según la reivindicación 13, que también comprende un servidor de nombres de dominio operable para 20 proporcionar la dirección del servidor de distribución de claves al cliente.
10. Sistema según la reivindicación 13, en el que el cliente comprende un componente de gestión de seguridad operable para medir la salud del dispositivo del cliente, generar información de salud del cliente basada en la medición, y firmar la información de salud medida del cliente. 25
Patentes similares o relacionadas:
Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento: recibir (S201), mediante un nodo de consenso, una solicitud […]
Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para la gestión de riesgos de información de aplicación en un dispositivo de red, comprendiendo el procedimiento: recibir información […]
Gestión de memoria intermedia recomendada de red de una aplicación de servicio en un dispositivo de radio, del 22 de Julio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un nodo de red en una red de comunicación por radio , comprendiendo el método: obtener (S1) una predicción del ancho […]
Método, servidor y sistema de inicio de sesión de confianza, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de inicio de sesión de confianza implementado por computadora aplicado a un sistema de inicio de sesión de confianza que comprende un primer sistema de aplicación […]
Método y aparato para configurar un identificador de dispositivo móvil, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método implementado por servidor para configurar un identificador de dispositivo móvil, que comprende: obtener una lista de aplicaciones, APP, […]
Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]
Método para atender solicitudes de acceso a información de ubicación, del 22 de Julio de 2020, de Nokia Technologies OY: Un aparato que comprende: al menos un procesador; y al menos una memoria que incluye un código de programa informático para uno o más programas, […]
Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios: acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]