Método, sistema y servidor para poner en práctica la asignación de seguridad de dirección de protocolo DHCP.
Un método para realizar una asignación segura de una dirección de protocolo DHCP,
que comprende:
la recepción, por un servidor de acceso, de un mensaje de descubrimiento en el protocolo DHCP (91);
la inserción, por el servidor de acceso, de información de localización del cliente de DHCP en el mensaje de descubrimiento de protocolo DHCP (93);
el envío, por el servidor de acceso, del mensaje de descubrimiento de protocolo DHCP con la información de localización del cliente de DHCP a un servidor de autenticación de protocolo DHCP (93);
la recepción, por el servidor de autenticación de protocolo DHCP, del mensaje de descubrimiento de protocolo DHCP con la información de localización del cliente de DHCP (93);
caracterizado porque:
el servidor de autenticación de protocolo DHCP es un servidor de protocolo DHCP que tiene una función de autenticación configurada localmente, comprendiendo el servidor de autenticación de protocolo DHCP una base de datos local que comprende información de identificación memorizada para un abonado válido a nivel local;
en donde el método comprende, además:
la realización, por el servidor de autenticación de protocolo DHCP, de una autenticación del cliente de DHCP en función de la información de localización y de la información de identificación memorizadas para el abonado válido a nivel local y el envío, por el servidor de autenticación de protocolo DHCP, de un mensaje de protocolo DHCP con información de dirección que se asigna al cliente de DHCP que ha transmitido la autenticación a través del servidor de acceso, después de que haya tenido éxito operativo la autenticación del cliente del servidor DHCP (96).
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/CN2006/000833.
Solicitante: HUAWEI TECHNOLOGIES CO., LTD..
Nacionalidad solicitante: China.
Dirección: Huawei Administration Building Bantian Longgang District, Shenzhen Guangdong 518129 CHINA.
Inventor/es: LI,JUN, CHEN,Wumao, WEI,Jiahong.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- H04L12/24 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 12/00 Redes de datos de conmutación (interconexión o transferencia de información o de otras señales entre memorias, dispositivos de entrada/salida o unidades de tratamiento G06F 13/00). › Disposiciones para el mantenimiento o la gestión.
- H04L29/12 H04L […] › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizados por el terminal de datos.
PDF original: ES-2381857_T3.pdf
Fragmento de la descripción:
Método, sistema y servidor para poner en práctica la asignación de seguridad de dirección de protocolo DHCP.
CAMPO DE LA INVENCIÓN
La presente invención se refiere al campo técnico de comunicaciones de redes, en particular, a un método, un sistema y un servidor para realizar una asignación segura de una dirección de protocolo de Configuración Dinámica de Concentrador (DHCP) .
ANTECEDENTES DE LA INVENCIÓN
A medida que se desarrollan, cada vez más, las tecnologías de acceso tales como ADSL (Línea de Abonado Digital Asimétrica) y Ethernet, el acceso de banda ancha se hace cada vez más popular y los servicios de vídeo de IPTV (Televisión de Protocolo Internet) y VoIP (Protocolo de Voz sobre Internet) desarrollados, basándose en la red de acceso de banda ancha, tienen una aplicación más amplia. El desarrollo de cada servicio necesita utilizar un terminal dedicado; por ejemplo, el servicio de vídeo necesita utilizar un STB (Caja Decodificadora) y el servicio de voz necesita utilizar IAD (Dispositivo de Acceso Integrado) . Cada terminal dedicado necesita obtener una dirección local antes de que se realice un servicio y luego, cada servicio se puede prestar utilizando la dirección local.
En una red de comunicación, cada terminal suele obtener una dirección de IP (Protocolo de Internet) sobre la base de un protocolo DHCP. Sin embargo, en un servicio en línea tradicional, se suele utilizar el protocolo PPPoE (Protocolo Punto a Punto sobre Ethernet) y un servidor de AAA (Autenticación, Autorización y Contabilización) se necesita para autenticar un abonado de acceso y asignar la dirección de IP. En condiciones normales, el servidor AAA puede ser un servidor RADIUS (Servicio de Usuario de Marcación de Autenticación Remota) u otros servidores de autenticación.
La Figura 1 representa una estructura de un sistema de comunicación de red en donde se realiza una autenticación por un servidor RADIUS y la dirección de IP se obtiene por intermedio de un servidor de protocolo DHCP.
El servidor de protocolo DHCP es un servidor para gestionar la dirección de IP y está adaptado para dar respuesta a una demanda de asignación de dirección procedente de un ordenador y para asignar una dirección de IP adecuada al ordenador.
El cliente de DHCP es un terminal adaptado para obtener parámetros de red tales como la dirección de IP utilizando un protocolo DHCP, que incluye un ordenador, STB e IAD.
El servidor RADIUS está adaptado para gestionar la cuenta y la contraseña de un abonado y para realizar una autenticación de un abonado de acceso.
El servidor BRAS (Servidor de Acceso Remoto de Banda Ancha) está adaptado para gestionar el acceso de un abonado de banda ancha; para un abonado de protocolo PPPoE, el servidor BRAS actúa como un cliente de RADIUS e inicia una demanda de autenticación al servidor de RADIUS y para un abonado de protocolo DHCP, el servidor BRAS pone en práctica la función de retransmisión de relé de DHCP.
La red de acceso es una red intermedia entre la vivienda del abonado y el servidor BRAS.
El nodo de acceso es un dispositivo que conecta con una línea de abonado directamente en una red de acceso, tal como un dispositivo de acceso ADSL del multiplexor DSLAM (Multiplexor de Acceso de Línea de Abonado Digital) .
OSS (Sistemas de Soporte de Operaciones) es un sistema para que el operador libere y gestione un servicio.
En la Figura 1, un cliente de DHCP, tal como un STB e IAD se pueden asignar con una dirección de IP correspondiente utilizando el protocolo DHCP mediante un servidor de protocolo DHCP dispuesto en la red.
El proceso específico en el que cada cliente de DHCP, representado en la Figura 1, obtiene la dirección es como se representa en la Figura 2, incluyendo las etapas siguientes.
Etapa 21: Un cliente de DHCP se activa y envía un mensaje de descubrimiento de protocolo DHCP para la búsqueda de un servidor capaz de proporcionar el servicio de protocolo DHCP.
Etapa 22: Como un relé de DHCP, un servidor BRAS retransmite el mensaje de descubrimiento de protocolo DHCP al servidor de DHCP designado.
Etapa 23: El servidor DHCP reenvía un mensaje de oferta de protocolo DHCP para indicar que el servidor DHCP es capaz de asignar una dirección de IP al cliente.
Etapa 24: El cliente de DHCP envía un mensaje de demanda de DHCP y el servidor BRAS retransmite el mensaje de demanda de DHCP al servidor de DHCP.
Etapa 25: El servidor de DHCP asigna una dirección de IP adecuada y reenvía un mensaje de respuesta de protocolo DHCP.
Por lo tanto, el cliente de DHCP puede obtener la dirección de IP y de este modo, acceder a la red y obtener el servicio de la red.
Se puede deducir del anterior proceso de asignación de dirección de protocolo DHCP que: durante el proceso en el que el cliente de DHCP obtiene la dirección de IP en un modo de protocolo DHCP, un abonado no válido puede obtener fácilmente la correspondiente dirección de IP y de este modo, obtener el servicio de la red. Por lo tanto, el problema de que un hacker utilice, de forma malintencionada, los recursos de dirección de IP y ataque una red es fácil de que ocurra. Además, después de que el hacker ataque la red, no se podrá realizar su seguimiento.
Además, el operador necesita utilizar un servidor de DHCP para gestionar la dirección de IP del usuario del cliente de DHCP y utilizar un servidor RADIUS para gestionar la dirección de IP del usuario del cliente de protocolo PPPoE. En consecuencia, existen dos conjuntos de mecanismos de gestión de recursos de direcciones de IP, los datos están descentralizados y el coste de la gestión es alto.
Además, el documento WO 99/16266 A da a conocer los contenidos siguientes. Las aplicaciones que se ejecutan en una estación móvil o en una entidad de red externa, tal como un proveedor de servicios de Internet, puede especificar, sobre una base de flujo de aplicación individual, una calidad de servicio demandada. A partir de esa calidad de servicio demandada, se determina un tipo óptimo de portador para transferir el flujo de aplicación a través de la red de comunicaciones móviles. Por ejemplo, un portador de circuitos conmutados se puede asignar si la demanda es para un servicio en tiempo real y un portador de paquetes conmutados se puede asignar si la demanda es para un tipo de servicio no en tiempo real. Se pueden utilizar otros varios criterios para la toma de decisiones. Una estación móvil y un nodo de pasarela de red móvil incluyen, cada uno, un dispositivo de mapeado para establecer una correspondencia mapeada de un flujo de aplicación individual con uno de una red de circuitos conmutados y un portador de red de paquetes conmutados, que depende de la calidad de servicio demandada para el flujo de aplicación individual. Los parámetros de la calidad de servicio de la capa de red, que corresponden a un flujo de aplicación individual, son objeto de mapeado para los parámetros de portador de circuitos conmutados si el flujo de aplicación es mapeado para la red de circuitos conmutados y para los parámetros del portador de paquetes conmutados si el flujo de aplicación es objeto de mapeado para la red de paquetes conmutados. El nodo de pasarela incluye un servidor de acceso común, que permite a una estación móvil establecer inicialmente una sesión de comunicación con una entidad de red externa para realizar solamente un procedimiento de acceso común único para posteriores comunicaciones utilizando una de las redes de circuitos conmutados y de paquetes conmutados. Una vez concluido dicho procedimiento de acceso común, se establecen flujos de aplicación posteriores entre la estación móvil y la entidad de red externa utilizando procedimientos abreviados sin tener que acceder a la entidad de red externa.
Además, el documento IETF STANDARD "Opción de información de agente de retransmisión DHCP; rfc 3046.txt" da a conocer contenidos técnicos en relación con el agente de retransmisión de DHCP.
Además, una solicitud de patente (WO/2004/006503) da a conocer una disposición y un método con configuración dinámica de puertos de equipos de red para comunicación en una red de banda ancha. Una base de datos de gestión central en conexión con un servidor de Protocolo de Configuración Dinámica de Concentrador está manteniendo plantillas modelo con registros de parámetros de equipos de redes para sus configuraciones de puertos... [Seguir leyendo]
Reivindicaciones:
1. Un método para realizar una asignación segura de una dirección de protocolo DHCP, que comprende:
la recepción, por un servidor de acceso, de un mensaje de descubrimiento en el protocolo DHCP (91) ;
la inserción, por el servidor de acceso, de información de localización del cliente de DHCP en el mensaje de descubrimiento de protocolo DHCP (93) ;
el envío, por el servidor de acceso, del mensaje de descubrimiento de protocolo DHCP con la información de localización del cliente de DHCP a un servidor de autenticación de protocolo DHCP (93) ;
la recepción, por el servidor de autenticación de protocolo DHCP, del mensaje de descubrimiento de protocolo DHCP con la información de localización del cliente de DHCP (93) ;
caracterizado porque:
el servidor de autenticación de protocolo DHCP es un servidor de protocolo DHCP que tiene una función de autenticación configurada localmente, comprendiendo el servidor de autenticación de protocolo DHCP una base de datos local que comprende información de identificación memorizada para un abonado válido a nivel local;
en donde el método comprende, además:
la realización, por el servidor de autenticación de protocolo DHCP, de una autenticación del cliente de DHCP en función de la información de localización y de la información de identificación memorizadas para el abonado válido a nivel local y el envío, por el servidor de autenticación de protocolo DHCP, de un mensaje de protocolo DHCP con información de dirección que se asigna al cliente de DHCP que ha transmitido la autenticación a través del servidor de acceso, después de que haya tenido éxito operativo la autenticación del cliente del servidor DHCP (96) .
2. El método para realizar la asignación segura de la dirección de protocolo DHCP, según la reivindicación 1, en donde la información de localización comprende:
un número de puerto, un número de circuito y un número de conexión del cliente de DHCP.
3. El método para realizar la asignación segura de la dirección de protocolo DHCP según la reivindicación 1 o 2, en donde, la recepción del mensaje de descubrimiento de protocolo DHCP con la información de localización del cliente de DHCP por el servidor de autenticación de protocolo de DHCP y la realización de la autenticación del cliente de DHCP en función de la información de localización y de la información de identificación memorizadas para el abonado válido, a nivel local, por el servidor de autenticación de protocolo DHCP, comprende:
la recepción, por el servidor de autenticación de protocolo DHCP, del mensaje de descubrimiento de protocolo DHCP con la información de localización del cliente de DHCP y la realización de una autenticación de validez del cliente de DHCP en función de la información de localización y de la información de identificación memorizadas para el abonado válido al nivel local.
4. El método para realizar la asignación segura de la dirección de protocolo DHCP según la reivindicación 3 que comprende, además:
la asignación, por el servidor de autenticación de protocolo DHCP, de la información de dirección al cliente de DHCP que ha realizado la autenticación después de recibir la información del éxito operativo de la autenticación.
5. Un servidor de autenticación de protocolo DHCP para realizar una asignación segura de una dirección de protocolo DHCP, que comprende un servidor de protocolo DHCP para asignar una dirección de IP a un cliente de DHCP, que solicita una dirección de IP, caracterizado porque:
el servidor de autenticación de protocolo DHCP tiene una función de autenticación configurada a nivel local y el servidor de autenticación de protocolo DHCP comprende, además: un módulo de procesamiento de la autenticación y una base de datos local que comprende información de identificación memorizada para un abonado válido al nivel local, en donde:
el módulo de procesamiento de la autenticación está adaptado para obtener información de localización de un cliente que inicia un proceso de protocolo DHCP, para realizar una autenticación de validez del cliente en función de la información de localización y de la información de identificación memorizadas para el abonado válido y para enviar un mensaje de descubrimiento de protocolo DHCP de un cliente de DHCP que ha tenido éxito operativo en la autenticación de validez para el servidor de protocolo DHCP y el servidor de protocolo DHCP está adaptado para recibir el mensaje de descubrimiento de protocolo DHCP enviado por el módulo de procesamiento de autenticación y para enviar un mensaje de oferta de protocolo DHCP al cliente de DHCP y para asignar una dirección de IP a un cliente de DHCP correspondiente en un conjunto de direcciones del servidor de protocolo DHCP cuando el cliente de DHCP envía un mensaje de demanda de protocolo DHCP.
6. El servidor de autenticación de protocolo DHCP, según la reivindicación 5, en donde la información de localización comprende:
un número de puerto, un número de circuito y un número de conexión del cliente de DHCP.
7. Un sistema para realizar una asignación segura de una dirección de protocolo DHCP, que comprende un servidor de acceso y un servidor de autenticación de protocolo DHCP, en donde:
el servidor de acceso está adaptado para recibir el mensaje de descubrimiento de protocolo DHCP enviado desde el cliente de DHCP, para insertar la información de localización del cliente de DHCP en el mensaje de descubrimiento de protocolo DHCP y para enviar el mensaje de descubrimiento de DHCP con la información de localización al servidor de autenticación de protocolo DHCP;
caracterizado porque:
el servidor de autenticación de protocolo DHCP tiene una función de autenticación configurada a nivel local y está adaptado para recibir el mensaje de descubrimiento de protocolo DHCP con la información de localización del cliente de DHCP y para realizar una autenticación del cliente de DHCP en función de la información de localización y de la información de identificación memorizadas para un abonado válido a nivel local y para enviar un mensaje de protocolo DHCP con la información de dirección que se asigna al cliente de DHCP que ha tenido éxito operativo en la autenticación por intermedio del servidor de acceso.
8. El sistema según la reivindicación 7, en donde el servidor de autenticación de DHCP es el servidor de autenticación de protocolo DHCP según se establece en la reivindicación 5.
Figura 1
Cliente Nodo de BRAS Servidor DHCP acceso DHCP Relé DHCP21: Mensaje Descubrimiento DHCP
22: Mensaje Descubrimiento DHCP
23: Mensaje Provisión DHCP 24: Mensaje
24: Mensaje Demanda DHCP Demanda DHCP
25: Mensaje Respuesta DHCP
Figura 2 Figura 4
Cliente Nodo de BRAS Servidor Autenticación DHCP acceso
Relé DHCP
91: Configurar
Información Autenticación
92: Mensaje Descubrimiento DHCP
93: Mensaje Descubrimiento DHCP (transmitir información localización abonado)
94: Mensaje Provisión DHCP 95: Mensaje
95: Mensaje Demanda DHCP Demanda DHCP
96: Mensaje Respuesta DHCP
Figura 5
Patentes similares o relacionadas:
Sistemas y métodos para proporcionar una arquitectura de enlace seguro múltiple, del 1 de Julio de 2020, de E^NAT Technologies, LLC: Un sistema para proporcionar una arquitectura de enlace seguro múltiple, MSL, comprendiendo dicho sistema: un componente de red privada virtual, […]
Método para la gestión mejorada de llamadas de emergencia en un escenario de itinerancia y sistema, programa informático y medio legible por ordenador correspondientes, del 17 de Junio de 2020, de DEUTSCHE TELEKOM AG: Un método para la gestión mejorada de llamadas de emergencia en un escenario de itinerancia, en donde un equipo de usuario se asigna a una red de telecomunicaciones […]
Dispositivo de interfaz, procedimiento y programa informático para controlar dispositivos sensores, del 10 de Junio de 2020, de Ubiquiti Inc: Un primer dispositivo de interfaz para su uso en un sistema de domótica , comprendiendo el primer dispositivo de interfaz: un módulo de comunicación […]
Protocolos de control de sistema de chasis virtual, del 3 de Junio de 2020, de ALCATEL LUCENT: Un nodo de red (110a-110f) adaptado para ser parte de un sistema de chasis virtual que tiene una pluralidad de nodos de red dispuestos de modo que la pluralidad de […]
Un sistema y procedimiento operable para permitir una ruta de conexión más corta, del 13 de Mayo de 2020, de SYNAPSE INTERNATIONAL S.A.: Un sistema que comprende una red local y una red extranjera para un medio móvil de un abonado, dicho sistema que se adapta para permitir una ruta […]
Método y aparatos para el servicio de múltiples identidades basado en el registro de identidades compartidas, del 29 de Abril de 2020, de DEUTSCHE TELEKOM AG: Un servidor de aplicaciones para prestar un servicio de múltiples identidades dentro de una red de comunicación según un subsistema multimedia IP, IMS, comprendiendo […]
Identificación y acceso a un dispositivo de red a través de una comunicación inalámbrica, del 29 de Abril de 2020, de QUALCOMM INCORPORATED: Un método para la comunicación inalámbrica, el cual comprende: la recepción en un dispositivo móvil desde un servidor , a través […]
Método y servidor de consulta de información remota, del 29 de Abril de 2020, de Advanced New Technologies Co., Ltd: Método implementado por uno o más dispositivos informáticos, el método que comprende: recibir (S210) mediante un servidor de contenido […]