Método, dispositivo, sistema, nodo cliente, nodo homólogo y punto de convergencia para evitar la falsificación de identidad de nodos.
Un método para evitar que un nodo falsifique una identidad, ID,
en una red Entre Pares, P2P, en donde lared de pares comprende un nodo homólogo y un nodo cliente, en donde el método comprende:después de que el nodo cliente localice el nodo homólogo que da servicio al nodo cliente, actuar, por parte deal menos uno entre el nodo cliente y el nodo homólogo, como un iniciador de la autenticación, y autenticar (11) unaID de la otra parte; y
después de que se realice con éxito la autenticación, elaborar y almacenar (12) localmente, por parte del nodocliente o del nodo homólogo que actúa como el iniciador de la autenticación, un listado contra la falsificación de IDen relación con la otra parte, e identificar un nodo malicioso utilizando el listado contra la falsificación de ID, endonde el nodo que actúa como un iniciador de la autenticación es el nodo cliente o el nodo homólogo,si el nodo que actúa como un iniciador de la autenticación es el nodo cliente, el listado contra la falsificación deID en relación con la otra parte comprende la ID del nodo homólogo, una dirección física del nodo homólogo, y una omás relaciones de asociación entre la ID del nodo homólogo y la dirección física del nodo homólogo;si el nodo que actúa como un iniciador de la autenticación es el nodo homólogo, el listado contra la falsificaciónde ID en relación con la otra parte comprende la ID del nodo cliente, una dirección física del nodo cliente, y una omás relaciones de asociación entre la ID del nodo cliente y la dirección física del nodo cliente.
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/CN2008/072875.
Solicitante: HUAWEI TECHNOLOGIES CO., LTD..
Nacionalidad solicitante: China.
Dirección: Huawei Administration Building Bantian Longgang District, Shenzhen Guangdong 518129 CHINA.
Inventor/es: LI,FENG, JIANG,Xingfeng, JIANG,HAIFENG.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- H04L29/06 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
- H04L29/08 H04L 29/00 […] › Procedimiento de control de la transmisión, p. ej. procedimiento de control del nivel del enlace.
PDF original: ES-2404175_T3.pdf
Fragmento de la descripción:
Método, dispositivo, sistema, nodo cliente, nodo homólogo y punto de convergencia para evitar falsificación de identidad de nodos Campo de la tecnología La presente invención está relacionada con el campo de la red superpuesta y, más en particular, con un método, un dispositivo, un sistema, un nodo cliente, un nodo homólogo y un punto de convergencia para evitar que un equipo de red falsifique una identidad (ID) .
Antecedentes de la invención Una red superpuesta es una red virtual construida sobre una o más redes subyacentes (por ejemplo, una red física o una red lógica) existentes. La red superpuesta puede implementar ciertas funciones que son difíciles para la red subyacente como, por ejemplo, encaminamiento de mensajes o mantenimiento de la topología.
La red superpuesta entre pares (P2P) (esto es, la red P2P) es una red superpuesta construida en un modo P2P basada en la Internet existente. En la red P2P, se pueden implementar funciones como, por ejemplo, estado equivalente y compartición de recursos entre nodos homólogos (pares) en la red P2P a partir de la Internet actual (por ejemplo nodo cliente/red de servidores) .
La red P2P tiene dos tipos de entidades: nodo homólogo y nodo cliente. Además de disponer de la función de compartición de recursos, el nodo homólogo participa en la organización y mantenimiento de la red P2P, incluyendo encaminamiento, almacenamiento y otras funciones. Las funciones del nodo cliente son relativamente simples. Necesita reenviar a la red una petición a través de un nodo homólogo y no tiene ninguna función de encaminamiento, esto es, una ruta de la red no pasa por el nodo cliente.
En una red P2P, cada nodo homólogo y nodo cliente tiene una ID. Para el encaminamiento, en función de la ID del nodo homólogo (ID homóloga) se almacenan o leen los pares de clave/valor y los valores correspondientes a las claves de la red. El nodo cliente recibe servicios proporcionados por el nodo homólogo de acuerdo con la ID del nodo cliente. La ID del nodo homólogo y la ID del nodo cliente se obtienen de acuerdo con ciertas reglas, por ejemplo, el primero se obtiene mediante un algoritmo Hash y el último es asignado por un servidor de gestión.
Un nodo malicioso puede falsificar fácilmente la ID del nodo homólogo y la ID del nodo cliente. El nodo malicioso ataca la red u obtiene ilegalmente recursos de red falsificando la ID del nodo homólogo y evita el coste de utilización de recursos de red falsificando las ID de otros nodos cliente.
Para evitar la falsificación de la ID, se utiliza comúnmente el siguiente método. Antes de que cada nodo cliente se conecte a la red, una entidad u organización externa autentica la ID del nodo cliente, y el nodo cliente que pasa la autenticación puede obtener un certificado para conectarse a la red. El nodo cliente firma el mensaje generado automáticamente de acuerdo con la clave privada del certificado, y autentica y firma el mensaje recibido.
Durante la implementación de la presente invención, los inventores encontraron que la solución técnica anterior tiene los siguientes problemas. Como en el método anterior el certificado y el nodo cliente están asociados, los costes son relativamente altos al margen de la capacidad para evitar la falsificación de la ID. En primer lugar, en el método, es necesario desplegar en la red un sistema de Infraestructura de Clave Pública (PKI) , pero los costes de despliegue son altos y, además, los costes del mantenimiento del sistema son altos. En segundo lugar, es necesario que el nodo cliente firme cada mensaje enviado y cada mensaje recibido, lo que da como resultado un retardo relativamente grande en el encaminamiento de mensajes en la red. Como resultado, el método no puede satisfacer necesariamente un servicio de flujos multimedia con altos requisitos en relación con el retardo. En tercer lugar, en ciertos entornos de aplicación sencillos, incluso aunque tanto el nodo cliente como el nodo homólogo dispongan de certificados, los certificados no se utilizan necesariamente para autenticar mensajes, y únicamente se necesita autenticación de la ID.
El documento “Handling identity in peer-to-peer-systems (Administrando la identidad en sistemas entre pares) , de HAUSWIRTH M Y OTROS divulga que debido al número limitado de direcciones IP disponibles la mayoría de los ordenadores de Internet utilizan direcciones IP dinámicas, lo cual provoca problemas a las aplicaciones que tienen que mantener las tablas de encaminamiento, por ejemplo, los sistemas entre pares. Para superar esto, nosotros proponemos en las tablas de encaminamiento identificadores homólogos únicos y aplicar el propio sistema entre pares para mantener consistentes las asociaciones entre una id y una IP que se van a utilizar en el proceso de encaminamiento.
El documento “Defending the Sybil Attack in P2P Networks: Taxonomy, Challenges, and a Proposal Self-Registration (Protegerse del Ataque tipo Sybil en Redes P2P: Taxonomía, Retos y una Propuesta de Auto-Registro) ” de DINGER J Y OTROS divulga que la robustez de las redes entre pares (P2P) , en particular las redes superpuestas basadas en DHT, sufren de forma significativa cuando se lleva a cabo un ataque de tipo Sybil. Nosotros abordamos el problema de los ataques de tipo Sybil desde dos puntos de vista. En primer lugar clarificamos, analizamos y clasificamos el proceso de asignación del identificador P2P. Separando claramente los participantes de la red de los nodos de la red se convierten en obvios dos retos de las redes P2P bajo un ataque de tipo Sybil: 1) estabilidad a lo largo del tiempo, y 2) diferenciación de identidades. En segundo lugar, como punto de partida para un análisis cuantitativo de la estabilidad en el tiempo de redes P2P bajo ataques de tipo Sybil y bajo algunas suposiciones con respecto a la diferenciación de identidades, proponemos un procedimiento de registro de identidades denominado auto-registro que utiliza los mecanismos de distribución inherentes a una red P2P.
El documento US 2007/097986 A1 divulga un terminal de comunicaciones homólogo programado para operar en una red entre pares. El terminal incluye un transceptor, un controlador acoplado al transceptor y un dispositivo de memoria, y en memoria se almacena una tabla de asociación, en donde la tabla de asociación asocia una identidad del terminal con la correspondiente información de transporte para al menos otro terminal homólogo.
El documento WO 2007/012083 A2 divulga que en un sistema de autenticación de usuarios de red, un usuario de red es identificado para el propósito de autenticación utilizando el identificador único para una línea de comunicación física dedicada asociada con el edificio en el que está situado el usuario de la red o un certificado digital que está asociado con un componente seguro o una línea de comunicación unida físicamente a un edificio. Para el propósito de la autenticación, un servidor de autenticación verifica inicialmente la identificación a asociar con la línea de comunicación dedicada. El certificado digital se puede almacenar en una pasarela del edificio o en un módulo en el emplazamiento extremo que está conectado a los componentes seguros de una pluralidad de edificios y almacena certificados digitales únicos para cada edificio.
Resumen de la invención Un modo de realización de la presente invención proporciona un método para evitar que un nodo falsifique una ID en una red P2P, que aborda el problema de que los costes son altos en el despliegue y mantenimiento cuando se despliega una PKI en la solución técnica existente para evitar la suplantación de nodos homólogos y aborda el problema del retardo de encaminamiento de mensajes cuando se lleva a cabo la verificación de firma para cada mensaje enviado y cada mensaje recibido en la solución técnica existente para evitar la suplantación de nodos homólogos.
Para conseguir los objetivos, el método para evitar, de acuerdo con el modo de realización de la presente invención, que un nodo falsifique una ID, incluye los siguientes pasos.
Después de que un nodo cliente encuentre a un nodo homólogo que dé servicio al nodo cliente, al menos uno de entre el nodo cliente y el nodo homólogo actúa como iniciador de la autenticación y autentica a la otra parte.
Después de realizar con éxito la autenticación, el nodo cliente o el nodo homólogo que actúa como iniciador de la autenticación elabora y almacena localmente un listado contra la falsificación de ID de la otra parte, e identifica un nodo malicioso utilizando el listado contra la falsificación de ID,
en donde el nodo que actúa como iniciador de la autenticación es el nodo cliente o el nodo homólogo,
si el nodo que actúa como iniciador... [Seguir leyendo]
Reivindicaciones:
1. Un método para evitar que un nodo falsifique una identidad, ID, en una red Entre Pares, P2P, en donde la red de pares comprende un nodo homólogo y un nodo cliente, en donde el método comprende:
después de que el nodo cliente localice el nodo homólogo que da servicio al nodo cliente, actuar, por parte de al menos uno entre el nodo cliente y el nodo homólogo, como un iniciador de la autenticación, y autenticar (11) una ID de la otra parte; y
después de que se realice con éxito la autenticación, elaborar y almacenar (12) localmente, por parte del nodo cliente o del nodo homólogo que actúa como el iniciador de la autenticación, un listado contra la falsificación de ID en relación con la otra parte, e identificar un nodo malicioso utilizando el listado contra la falsificación de ID, en donde el nodo que actúa como un iniciador de la autenticación es el nodo cliente o el nodo homólogo,
si el nodo que actúa como un iniciador de la autenticación es el nodo cliente, el listado contra la falsificación de ID en relación con la otra parte comprende la ID del nodo homólogo, una dirección física del nodo homólogo, y una o más relaciones de asociación entre la ID del nodo homólogo y la dirección física del nodo homólogo;
si el nodo que actúa como un iniciador de la autenticación es el nodo homólogo, el listado contra la falsificación de ID en relación con la otra parte comprende la ID del nodo cliente, una dirección física del nodo cliente, y una o más relaciones de asociación entre la ID del nodo cliente y la dirección física del nodo cliente.
2. El método para evitar que un nodo falsifique una ID en una red P2P de acuerdo con la reivindicación 1, en donde si el nodo que actúa como un iniciador de la autenticación es el nodo cliente, el método comprende, además:
después de recibir un mensaje enviado por el nodo homólogo, actuar, por parte del nodo cliente, como el iniciador de la autenticación, y autenticar la relación o relaciones de correspondencia entre la ID del nodo homólogo y la dirección física del nodo homólogo; y
si la relación o relaciones de correspondencia entre la ID del nodo homólogo y la dirección física del nodo homólogo es consistente con un registro en el listado contra la falsificación de ID propiedad del nodo cliente, considerar el nodo homólogo como un nodo no malicioso; si la relación o relaciones de correspondencia entre la ID del nodo homólogo y la dirección física del nodo homólogo es inconsistente con un registro en el listado contra la falsificación de ID propiedad del nodo cliente, considerar el nodo homólogo como un nodo malicioso;
si el nodo que actúa como un iniciador de la autenticación es el nodo homólogo, el método comprende, además:
después de recibir un mensaje enviado por el nodo cliente, actuar, por parte del nodo homólogo, como el iniciador de la autenticación, y autenticar la relación o relaciones de correspondencia entre la ID del nodo cliente y la dirección física del nodo cliente; y
si la relación o relaciones de correspondencia entre la ID del nodo cliente y la dirección física del nodo cliente es consistente con un registro en el listado contra la falsificación de ID propiedad del nodo homólogo, considerar el nodo cliente como un nodo no malicioso; si la relación o relaciones de correspondencia entre la ID del nodo cliente y la dirección física del nodo cliente es inconsistente con un registro en el listado contra la falsificación de ID propiedad del nodo homólogo, considerar el nodo cliente como un nodo malicioso.
3. El método para evitar que un nodo falsifique una ID en una red P2P de acuerdo con la reivindicación 1 ó 2, en donde el método comprende, además:
si el nodo que actúa como un iniciador de la autenticación comprende el nodo cliente, y cambia la dirección física del nodo homólogo, borrar, por parte del nodo cliente, un registro contra la falsificación de ID en relación con el nodo homólogo;
volver a autenticar, por parte del nodo cliente, el nodo homólogo; y
después de que se realice con éxito la autenticación, almacenar la relación o relaciones de asociación entre la ID del nodo homólogo y la nueva dirección física del nodo homólogo en el listado contra la falsificación de ID.
4. El método para evitar que un nodo falsifique una ID en una red P2P de acuerdo con la reivindicación 1, que comprende, además:
si el nodo que actúa como un iniciador de la autenticación comprende el nodo homólogo, y el nodo homólogo que da servicio al nodo cliente deja la red P2P, notificar, por parte del nodo homólogo, la relación o relaciones de asociación entre la ID del nodo cliente y la dirección física del nodo cliente a un nodo homólogo sustituto, y notificar al nodo cliente que el nodo homólogo sustituto continúa proporcionando un servicio al nodo cliente;
autenticar, por parte del nodo cliente, una ID del nodo homólogo sustituto;
después de que se realice con éxito la autenticación, añadir, por parte del nodo cliente, la relación o relaciones de asociación entre la ID del nodo homólogo sustituto y la dirección física del nodo homólogo sustituto al listado contra la falsificación de ID; y
aceptar, por parte del nodo cliente, el servicio proporcionado por el nodo homólogo sustituto.
5. El método para evitar que un nodo falsifique una ID en una red P2P de acuerdo con la reivindicación 1, en donde la relación o relaciones de correspondencia entre la ID del nodo homólogo y la dirección física del nodo homólogo es/son la relación o relaciones de asociación entre un nodo homólogo y al menos dos direcciones físicas del nodo homólogo.
6. El método para evitar que un nodo falsifique una ID en una red P2P de acuerdo con la reivindicación 1, en donde la red de pares comprende, además, un punto de convergencia conectado a al menos un nodo homólogo, comprendiendo el método, además:
después de que el nodo homólogo localice el punto de convergencia que da servicio al nodo homólogo, autenticar, por parte del punto de convergencia, una ID del nodo homólogo; y
después de que se realice con éxito la autenticación, elaborar y almacenar localmente, por parte del punto de convergencia, el listado contra la falsificación de ID en relación con el nodo homólogo.
7. El método para evitar que un nodo falsifique una ID en una red P2P de acuerdo con la reivindicación 6, en donde el nodo que actúa como un iniciador de autenticación es el nodo cliente o el nodo homólogo,
si el nodo que actúa como un iniciador de la autenticación es el nodo cliente, el listado contra la falsificación de ID en relación con la otra parte comprende la ID del nodo homólogo, la dirección física del nodo homólogo, y la relación o relaciones de asociación entre la ID del nodo homólogo y la dirección física del nodo homólogo; y
si el nodo que actúa como un iniciador de la autenticación es el nodo homólogo, el listado contra la falsificación de ID en relación con la otra parte comprende la ID del nodo cliente, la dirección física del nodo cliente, y la relación o relaciones de asociación entre la ID del nodo cliente y la dirección física del nodo cliente.
8. El método para evitar que un nodo falsifique una ID en una red P2P de acuerdo con la reivindicación 6, en donde después de que el nodo homólogo localice el punto de convergencia que da servicio al nodo homólogo, la autenticación, por parte del punto de convergencia, de la ID del nodo comprende:
después de recibir un mensaje enviado por el nodo homólogo, autenticar, por parte del punto de convergencia, un mensaje mediante una inspección profunda de paquetes, DPI; y
extraer la ID del nodo homólogo y la dirección física del nodo homólogo.
9. Un dispositivo para evitar que un nodo falsifique una identidad, ID, en una red Entre Pares, P2P, que comprende una unidad (1) de autenticación, una unidad (2) de almacenamiento y una unidad (3) de identificación, en donde la unidad (1) de autenticación está configurada para autenticar la validez de una ID del nodo;
la unidad (2) de almacenamiento está configurada para elaborar y almacenar un listado contra la falsificación de ID en relación con el nodo autenticado, y
la unidad (3) de identificación está configurada para identificar un nodo malicioso de acuerdo con el listado contra la falsificación de ID, en donde el dispositivo es un nodo cliente o un nodo homólogo o un punto de convergencia de red,
si el dispositivo es el nodo cliente, el listado contra la falsificación de ID en relación con el nodo autenticado comprende la ID del nodo homólogo, una dirección física del nodo homólogo y una o más relaciones de asociación entre la ID del nodo homólogo y la dirección física del nodo homólogo; y
si el dispositivo es el nodo homólogo, el listado contra la falsificación de ID en relación con el nodo autenticado comprende la ID del nodo cliente, una dirección física del nodo cliente y una o más relaciones de asociación entre la ID del nodo cliente y la dirección física del nodo cliente; y
si el dispositivo es el punto de convergencia de red, el listado contra la falsificación de ID en relación con el 12
nodo autenticado comprende la ID del nodo homólogo, una dirección física del nodo homólogo y una o más relaciones de asociación entre la ID del nodo homólogo y la dirección física del nodo homólogo.
10. Un sistema para evitar que un nodo falsifique una identidad, ID, en una red Entre Pares, P2P, que comprende un nodo homólogo y un nodo cliente, en donde el nodo cliente está configurado para localizar el nodo homólogo que da servicio al nodo cliente y establecer una conexión con el nodo cliente;
el nodo homólogo está configurado para establecer la conexión con el nodo cliente que envía una petición de servicio al nodo homólogo;
al menos uno entre el nodo cliente y el nodo homólogo actúa como un iniciador de la autenticación y autentica 10 a la otra parte; y
después de que se realice con éxito la autenticación, el nodo cliente o el nodo homólogo que actúa como el iniciador de la autenticación elabora y almacena localmente un listado contra la falsificación de ID en relación con la otra parte e identifica un nodo malicioso utilizando el listado contra la falsificación de ID, en donde si el nodo que actúa como iniciador de la autenticación es el nodo cliente, el listado contra la falsificación de ID 15 en relación con la otra parte comprende la ID del nodo homólogo, una dirección física del nodo homólogo y una o más relaciones de asociación entre la ID del nodo homólogo y la dirección física del nodo homólogo; y
si el nodo que actúa como iniciador de la autenticación es el nodo homólogo, el listado contra la falsificación de ID en relación con la otra parte comprende una ID del cliente, una dirección física del nodo cliente y una o más relaciones de asociación entre la ID del nodo cliente y la dirección física del nodo cliente.
11. Un sistema para evitar que un nodo falsifique una ID en una red P2P de acuerdo con la reivindicación 15 que comprende, además, un punto de convergencia conectado en la red P2P, en donde el punto de convergencia está conectado a al menos un nodo homólogo,
el nodo homólogo está configurado para localizar el punto de convergencia que da servicio al nodo homólogo y para establecer una conexión con el punto de convergencia;
el punto de convergencia está configurado para establecer la conexión con el nodo homólogo que envía una petición de servicio al nodo de convergencia;
el punto de convergencia actúa como un iniciador de la autenticación y autentica una ID del nodo homólogo; y
después de que se realice con éxito la autenticación, el punto de convergencia que actúa como el iniciador de la autenticación elabora y almacena localmente un listado contra la falsificación de ID en relación con el nodo 30 homólogo.
Patentes similares o relacionadas:
Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento: recibir (S201), mediante un nodo de consenso, una solicitud […]
Método para atender solicitudes de acceso a información de ubicación, del 22 de Julio de 2020, de Nokia Technologies OY: Un aparato que comprende: al menos un procesador; y al menos una memoria que incluye un código de programa informático para uno o más programas, […]
Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios: acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]
Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para la gestión de riesgos de información de aplicación en un dispositivo de red, comprendiendo el procedimiento: recibir información […]
Gestión de memoria intermedia recomendada de red de una aplicación de servicio en un dispositivo de radio, del 22 de Julio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un nodo de red en una red de comunicación por radio , comprendiendo el método: obtener (S1) una predicción del ancho […]
Método, servidor y sistema de inicio de sesión de confianza, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de inicio de sesión de confianza implementado por computadora aplicado a un sistema de inicio de sesión de confianza que comprende un primer sistema de aplicación […]
Método y aparato para configurar un identificador de dispositivo móvil, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método implementado por servidor para configurar un identificador de dispositivo móvil, que comprende: obtener una lista de aplicaciones, APP, […]
Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]