Autorización de una conexión a través de un cortafuegos de un dispositivo de acceso a la red.

Procedimiento para autorizar una conexión entrante (84), bloqueada en un principio por un cortafuegos (44),

a través de una red de datos pública con orientación de paquetes (18) en el cortafuegos (44) de un dispositivo de acceso a la red (22), que por medio de por lo menos una red de telecomunicaciones (10, 14) permite establecer una conexión de datos con orientación de paquetes (84) a través de la red de datos pública (18) mediante una dirección de red (42) asignada al dispositivo de acceso a la red (22), así como telefonía por medio de un número de teléfono (40) asignado al dispositivo de acceso a la red (22) con las etapas de procedimiento

a) Recepción de una llamada (78) dirigida al número de teléfono (40) por una persona que hace la llamada, o de un mensaje de texto corto (80) dirigido al número de teléfono (40) por un remitente por medio de la red de telecomunicaciones (10) a través del dispositivo de acceso a la red (22), en donde con la llamada (78) o con el mensaje de texto corto (80) se transmite una característica de identificación (48) y

b) Verificación de la característica de identificación (48) por el dispositivo de acceso a la red (22),

c) Modificación de un reglamento en el cortafuegos (44) por un dispositivo de autorización (58) del dispositivo de acceso a la red (22) y autorización por el dispositivo de autorización (58) de una conexión (84) proveniente de la red de datos pública con orientación de paquetes (18), bloqueada en un principio por el cortafuegos (22), en caso de un resultado de verificación positivo de la característica de identificación (48).

Autorización de una conexión a través de un cortafuegos de un dispositivo de acceso a la red Campo técnico de la invención La presente invención se refiere a un procedimiento con las características mencionadas en la reivindicación 1.

Adicionalmente, la invención se refiere a un dispositivo de acceso a la red que permite establecer por medio de una red de telecomunicaciones una conexión de datos basada en paquetes a través de una red de datos pública con orientación de paquetes, con una dirección de red asignada al dispositivo de acceso a la red y telefonía con un número de teléfono asignado al dispositivo de acceso a la red, en donde el dispositivo de acceso a la red presenta las características mencionadas en la reivindicación 9.

Estado de la técnica Como redes de telecomunicaciones públicas se conocen sobre todo las redes fijas sujetas a líneas de acuerdo con el estándar analógico POTS (Plain Old Telefon Service) o el estándar digital ISDN (Integrated Services Digital Network) junto con el estándar DSL (Digital Subscriber Line) , así como las redes de telefonía móvil con una red de acceso basada en radiotransmisión de acuerdo con el estándar GSM/GPRS (Global System for Mobile Communications / General Packet Radio Service) , el estándar UMTS (Universal Mobile Telecommunications System) o el estándar LTE (Long Term Evolution) . El estándar LTE es un estándar para redes de telefonía móvil de la cuarta generación (4G) . Además de telefonía y otros servicios con orientación de línea, estas redes de telecomunicaciones también ofrecen a los usuarios servicios con orientación de paquetes, tales como, por ejemplo, el uso de Internet.

Para poder usar estos servicios, el usuario a nivel local requiere un terminal de usuario (CPE, por las siglas en inglés de Customer Premises Equipment) . Teléfonos, dispositivos de fax y módems son dispositivos CPE frecuentemente usados y que le permiten al usuario tener acceso a una red de telefonía o a Internet. Los módems de DSL también se denominan como módems de CPE. En el marco de la transición que actualmente se está realizando de las redes de telecomunicaciones tradicionales con intermediación de líneas a una infraestructura de red con intermediación uniforme de paquetes, se están empleando con una frecuencia cada vez mayor los así denominados dispositivos de acceso integrados (IAD, por las siglas en inglés de Integrated Access Device) . Estos dispositivos de acceso sustituyen en una NGN (Next Generation Network) no sólo al módem de DSL y al splitter de DSL, sino también a los dispositivos analógicos y o dispositivos terminales de red ISDN (por ejemplo un NTBS: Network Termination for ISDN Basic Rate Access) y normalmente disponen de interfaces correspondientes para aparatos de teléfono analógicos, tales como dispositivos de ISDN y ordenadores locales o redes locales. Para el uso de servicios a través de una red de telecomunicaciones, al usuario o al dispositivo de acceso a la red, respectivamente, además de un número de teléfono también se le asigna una dirección de red, normalmente una dirección de IP (dirección de protocolo de Internet) .

Adicionalmente, los dispositivos de acceso a la red tales como los módems de CPE o los IAD comprenden un así llamado cortafuegos como protección contra los accesos no autorizados desde Internet. El cortafuegos vigila el tráfico de datos que pasa por el mismo y basándose en reglas predeterminadas decide si determinados paquetes de datos pueden pasar o no. Basándose en una dirección de origen o una dirección de destino y basándose en los servicios usados sólo se permiten determinadas conexiones de comunicación previamente determinadas, mientras que todas las demás se impiden.

En una conexión bidireccional entre dos ordenadores a través de Internet, se usa el protocolo TCP (Transmission Control Protocol) que a su vez se basa en el protocolo de Internet (IP) . Una conexión de TCP se identifica de manera inequívoca con dos puntos terminales. Un punto terminal consiste en una dirección de IP y un puerto. Este par forma un interface bidireccional en un ordenador y también se denomina como Socket. Mediante el uso de direcciones de IP se identifican los ordenadores que participan en la conexión. En ambos ordenadores participantes, los puertos identifican a las aplicaciones o servicios que se comunican entre sí. Un cortafuegos vigila tanto las direcciones de IP como también los puertos y o bien permite o impide las conexiones dependiendo de las direcciones de IP y/o de un número de puerto.

El documento WO 2008/149126 A2 describe un dispositivo periférico para un ordenador que comprende un módem para conexiones de datos a través de una red de telefonía móvil. El dispositivo periférico preferentemente está realizado en forma de ratón y dispone de un medio de autorización para comprobar una solicitud de conexión entrante desde un segundo ordenador para el establecimiento de una conexión segura. La solicitud de conexión entra en el dispositivo periférico a través de una conexión de GSM basada en línea. El medio de autorización comprueba la identidad del segundo ordenador basándose en un número de teléfono recibido junto con la conexión de GSM y verifica si se desea establecer una conexión segura con el segundo ordenador. Si esto es el caso, a través de la conexión de GSM se intercambian claves digitales para establecer la conexión segura. A continuación, la conexión segura se establece usando las claves digitales a través de una red de telefonía móvil de la tercera

generación (por ejemplo, de acuerdo con el estándar UMTS) con elevada velocidad de transmisión de datos.

El documento US 2006/291502 A1 desvela un procedimiento y un sistema para el establecimiento de una conexión de IP entre un nodo de red inicial en una república y un nodo de red terminal en una red de telecomunicaciones privada. El nodo de red terminal está adaptado para recibir una solicitud de conexión del nodo de red inicial a través de una conexión no IP. Basándose en la solicitud de conexión, el nodo de red terminal inicia entonces una conexión de IP con el nodo de red inicial.

El documento US 2007/147399 A1 desvela un sistema y un procedimiento entre dos dispositivos para el establecimiento de una conexión de IP, en donde un primer dispositivo envía su dirección de IP al otro dispositivo a través de un segundo canal de conexión de uso temporal, para entonces establecer una conexión de IP a través de un primer canal de conexión con el otro dispositivo en una red pública de ordenadores. A este respecto, el segundo canal de conexión puede estar configurado, por ejemplo, como una línea de red fija o como un intermediario de línea o como un canal de diálogo con intermediación de paquetes en una red de telefonía móvil, por el que mediante telefonía o mensaje corto (SMS) se transmite la dirección de IP.

Una desventaja de los procedimientos conocidos para la autorización de una conexión a través de un dispositivo de acceso a la red con un cortafuegos consiste en que para las conexiones entrantes deseadas siempre tienen que estar disponibles determinados puertos a través del cortafuegos. Por ejemplo, si un usuario quiere establecer en cualquier momento una conexión con otro dispositivo terminal a través de Internet con su dispositivo de acceso a la red o con un ordenador conectado con el mismo, el cortafuegos debe mantener los puertos correspondientes permanentemente abiertos.

Si adicionalmente el usuario quiere realizar esto con cualquier dispositivo terminal de su elección, por ejemplo, en un café Internet o en el domicilio de personas conocidas o allegadas, los puertos se deben mantener abiertos para cualesquiera direcciones de IP. Debido a este procedimiento, sin embargo, se crean importantes riesgos de seguridad. Personas no autorizadas podrían usar los puertos abiertos desde la Internet para contrarrestar el cortafuegos y de esa manera obtener acceso a datos sensibles.

Revelación de la invención Por lo tanto, el objetivo de la presente invención consiste en evitar las desventajas del estado de la técnica y aumentar la seguridad en conexiones a través de una red de datos pública con orientación de paquetes a través de un cortafuegos de un dispositivo de acceso a la red.

De acuerdo con la presente invención, dicho objetivo se logra con un procedimiento con las características mencionadas en la reivindicación 1.

Adicionalmente, el objetivo se logra con un dispositivo de acceso a la red con las características mencionadas en la reivindicación 9.

La presente invención se basa en el principio de que las conexiones entrantes primeros son bloqueadas por el cortafuegos y sólo después de la verificación... [Seguir leyendo]

1. Procedimiento para autorizar una conexión entrante (84) , bloqueada en un principio por un cortafuegos (44) , a través de una red de datos pública con orientación de paquetes (18) en el cortafuegos (44) de un dispositivo de acceso a la red (22) , que por medio de por lo menos una red de telecomunicaciones (10, 14) permite establecer una conexión de datos con orientación de paquetes (84) a través de la red de datos pública (18) mediante una dirección de red (42) asignada al dispositivo de acceso a la red (22) , así como telefonía por medio de un número de teléfono (40) asignado al dispositivo de acceso a la red (22) con las etapas de procedimiento a) Recepción de una llamada (78) dirigida al número de teléfono (40) por una persona que hace la llamada, o de un mensaje de texto corto (80) dirigido al número de teléfono (40) por un remitente por medio de la red de telecomunicaciones (10) a través del dispositivo de acceso a la red (22) , en donde con la llamada (78) o con el mensaje de texto corto (80) se transmite una característica de identificación (48) y b) Verificación de la característica de identificación (48) por el dispositivo de acceso a la red (22) , c) Modificación de un reglamento en el cortafuegos (44) por un dispositivo de autorización (58) del dispositivo de acceso a la red (22) y autorización por el dispositivo de autorización (58) de una conexión (84) proveniente de la red de datos pública con orientación de paquetes (18) , bloqueada en un principio por el cortafuegos (22) , en caso de un resultado de verificación positivo de la característica de identificación (48) .

2. Procedimiento de acuerdo con la reivindicación 1, caracterizado por que una coincidencia de la característica de identificación (48) transmitida se verifica con una característica de identificación (56) almacenada en el dispositivo de acceso a la red (22) .

3. Procedimiento de acuerdo con la reivindicación 1 o la reivindicación 2, caracterizado por que como característica de identificación (48) se usa un número de teléfono (82) transmitido al dispositivo de acceso a la red (22) de la persona que hace la llamada o del remitente de un mensaje de texto corto (80) .

4. Procedimiento de acuerdo con cualquiera de las reivindicaciones 1 a 3, caracterizado por que como característica de identificación (48) se usa un código de identificación (86) introducido por la persona que hace la 30 llamada o por el remitente y transmitido a través de la llamada (78) o el mensaje de texto corto (80) .

5. Procedimiento de acuerdo con cualquiera de las reivindicaciones 1 a 4, caracterizado por que con la característica de identificación (48) se transmite una dirección de red (88) de un dispositivo terminal (74) usado para la conexión (84) por medio de la llamada (78) o el mensaje de texto corto (80) .

6. Procedimiento de acuerdo con cualquiera de las reivindicaciones 1 a 5, caracterizado por la especificación de propiedades de conexión antes de autorizarse la conexión (84) .

7. Procedimiento de acuerdo con cualquiera de las reivindicaciones 1 a 6, caracterizado por la transmisión de

instrucciones de mando (50) para el dispositivo de acceso a la red (22) a través de la llamada (78) o del mensaje de texto corto (80) .

8. Procedimiento de acuerdo con cualquiera de las reivindicaciones 1 a 7, caracterizado por que la dirección de red (42) asignada del dispositivo de acceso a la red (22) después de autorizarse la conexión (84) es transmitida por 45 medio de un módulo de transmisión de direcciones (64) en un correo electrónico o un mensaje de texto corto (90) a la persona que hace la llamada o al remitente.

9. Dispositivo de acceso a la red (22) que por medio de por lo menos una red de telecomunicaciones (10, 14) permite establecer una conexión de datos con orientación de paquetes (84) a través de una red de datos pública con 50 orientación de paquetes (18) con una dirección de red (42) asignada al dispositivo de acceso a la red (22) , así como telefonía con un número de teléfono (40) asignado al dispositivo de acceso a la red (22) , en donde el dispositivo de acceso a la red (22) contiene a) Un cortafuegos (44) para el bloqueo de conexiones (70) que provienen de la red de datos pública con 55 orientación de paquetes (18) , b) Un dispositivo de recepción (46) para la recepción de una llamada (78) dirigida al número de teléfono (40) por una persona que hace la llamada o de un mensaje de texto corto (80) dirigido al número de teléfono (40) por un remitente, así como una característica de identificación (48) transmitida con la llamada (78) o con el mensaje de texto corto (80) , 60 c) Una unidad de verificación (52) para verificar la característica de identificación (48) y d) Un dispositivo de autorización (58) para modificar un reglamento en el cortafuegos (44) y para autorizar una conexión (84) proveniente de la red de datos pública con orientación de paquetes (18) , bloqueada en un principio por el cortafuegos (44) , en caso de un resultado de verificación positivo de la característica de identificación (48) por la unidad de verificación (52) .

10. Dispositivo de acceso a la red (22) de acuerdo con la reivindicación 9, caracterizado por que se provee una memoria de datos (54) para almacenar una característica de identificación (56) que es usada por la unidad de verificación (52) para verificar la característica de identificación transmitida (48) .

11. Dispositivo de acceso a la red (22) de acuerdo con las reivindicaciones 9 o 10, caracterizado por que el dispositivo de recepción (46) está configurado para recibir un número de teléfono (82) de la persona que hace la llamada o del remitente del mensaje de texto corto, transmitido al dispositivo de acceso a la red (22) como característica de identificación (48) .

12. Dispositivo de acceso a la red (22) de acuerdo con cualquiera de las reivindicaciones 9 a 11, caracterizado por que el dispositivo de recepción (46) está configurado para recibir un código de identificación (86) introducido por la persona que hace la llamada o por el remitente y transmitido a través de la llamada (78) o el mensaje de texto corto (80) como característica de identificación (48) .

13. Dispositivo de acceso a la red (22) de acuerdo con cualquiera de las reivindicaciones 9 a 12, caracterizado por que se provee un dispositivo de configuración (60) con una memoria de configuración (62) para especificar y almacenar propiedades de conexión antes de autorizarse la conexión (84) .

14. Dispositivo de acceso a la red (22) de acuerdo con cualquiera de las reivindicaciones 9 a 13, caracterizado por que el dispositivo de recepción (46) está configurado para recibir instrucciones de mando (50) transmitidas por medio de la llamada (78) o el mensaje de texto corto (80) para el dispositivo de acceso a la red (22) .

15. Dispositivo de acceso a la red (22) de acuerdo con cualquiera de las reivindicaciones 9 a 14, caracterizado por un módulo de transmisión de direcciones (64) para transmitir la dirección de red (42) asignada al dispositivo de acceso a la red (22) por medio de un correo electrónico o de un mensaje de texto corto (90) a la persona que hace la llamada o al remitente después de autorizarse la conexión (84) .