Métodos y aparatos para cruzar un denominado ''cortafuegos'' virtual con el fin de transmitir y recibir datos.
Un método para enviar datos a través de los denominados 'cortafuegos' virtuales,
VFWs, en donde los VFWs se establecen con un túnel de seguridad correspondiente, estableciéndose el túnel de seguridad con una zona de protección y el método para enviar datos a través de los VFWs comprende:
la realización de un filtrado de seguridad (201) de datos en un primer VFW utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y una zona de protección de un túnel de seguridad del primer VFW y el envío de los datos después del filtrado de seguridad al túnel de seguridad del primer VFW; y
la encriptación (202), por el túnel de seguridad del primer VFW, de los datos que pasan a través del filtrado de seguridad; y el envío, por el túnel de seguridad del primer VFW, de los datos encriptados a un segundo VFW, en donde el segundo VFW está configurado para enviar los datos (203).
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/CN2009/075185.
Solicitante: HUAWEI TECHNOLOGIES CO., LTD..
Nacionalidad solicitante: China.
Dirección: Huawei Administration Building, Bantian, Longgang District Shenzhen, Guangdong 518129 CHINA.
Inventor/es: XU,YONG, LU,Xiaoping, ZHU,ZHIQIANG, ZHANG,RIHUA, HOU,GUIBIN, XIE,WENHUI, MA,BO, GAO,GUOLU, FU,CUIHUA.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- H04L12/46 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 12/00 Redes de datos de conmutación (interconexión o transferencia de información o de otras señales entre memorias, dispositivos de entrada/salida o unidades de tratamiento G06F 13/00). › Interconexión de redes.
- H04L29/06 H04L […] › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
PDF original: ES-2546136_T3.pdf
Fragmento de la descripción:
Métodos y aparatos para cruzar un denominado 'cortafuegos' virtual con el fin de transmitir y recibir datos
CAMPO DE LA INVENCIÓN
La presente invención se refiere al campo de las tecnologías de comunicaciones y más en particular, a métodos y aparatos para enviar y recibir datos a través de 'cortafuegos' virtuales (VFWs) .
ANTECEDENTES DE LA INVENCIÓN
Un denominado 'cortafuegos' es una combinación de una serie de componentes establecidos entre diferentes redes, tales como entre una red Intranet de confianza y una red pública de no-confianza, o entre zonas de seguridad de redes. Dicho 'cortafuegos' suele formular una política de seguridad basada en zonas de seguridad para supervisar, limitar o modificar datos a través del 'cortafuegos' y selecciona información interna, estructuras y situaciones operativas de una red hacia el exterior lo más posible, con el fin de proteger una red Intranet.
Recientemente, con la aparición y desarrollo de la tecnología de Red Privada Virtual (VPN) , la tecnología del Cortafuegos Virtual (VFW) apareció consecuentemente. Un VFW es una sub-entidad lógica derivada de un sistema cortafuegos principal y se presenta a un usuario como un cortafuegos independiente. Después de que se establezca un VFW, el sistema cortafuegos principal presentado por un usuario se denomina un cortafuegos raíz. El número del cortafuegos raíz es uno y los VFWs pueden crearse de forma dinámica en conformidad con las configuraciones y el número de los VFWs es al menos uno. Cuando los VFWs lógicos se establecen sobre la base de un cortafuegos, se satisfacen las demandas del sistema y al mismo tiempo, los rendimientos restantes en el sistema se utilizan para proporcionar servicios de arrendamiento para conseguir más altos rendimientos. Actualmente la tecnología de VPN se ha convertido en una tecnología básica de la tecnología de VFW. Cada VFW es un complejo de una instancia de VPN, una instancia de seguridad y una instancia de configuración y es capaz de proporcionar a un usuario de los VFWs un plano de reenvío de rutas privadas, servicios de seguridad y plano de gestión de configuración.
Con el desarrollo rápido de las tecnologías de seguridad de redes, cada vez más empresas, a gran escala, utilizan las redes Internet para establecer redes VPN utilizando la tecnología de seguridad de protocolo Internet (IPSec) . El protocolo IPSec proporciona datos IP con alta calidad, interoperables y un rendimiento de seguridad basado en la criptología. La encriptación y la autenticación origen de datos se realiza en la capa de IP entre partes de comunicaciones específicas para garantizar la confidencialidad, integridad y la autenticidad cuando se transmiten datos a través de las redes.
En la técnica anterior (según se ilustra, a modo de ejemplo, en el documento CN 1949741 A) , cuando se procesa un flujo de datos a través de diferentes cortafuegos, una zona de seguridad privada y una zona de seguridad virtual (VZONE) para transmitir el flujo de datos se establecen en VFW y el cortafuegos raíz, respectivamente. Se establece un puerto en cualquiera de las zonas de seguridad privadas que se establecen en los VFWs y el cortafuegos raíz respectivamente y se establecen políticas de seguridad entre las zonas de seguridad de los VFWs y el cortafuegos raíz, respectivamente. Cuando un flujo de datos se envía a través de cortafuegos, un extremo transmisor filtra el flujo de datos utilizando una política de seguridad entre una zona de seguridad origen de un cortafuegos del flujo de datos y una VZONE del cortafuegos y envía el flujo de datos filtrado a un extremo receptor. El extremo receptor filtra el flujo de datos utilizando una política de seguridad entre una zona de seguridad de destino de un cortafuegos en donde llega el flujo de datos y una zona VZONE del cortafuegos.
En la técnica anterior, cuando se procesa un flujo de datos a través del cortafuegos, cada uno de los cortafuegos necesita configurarse con una VZONE. Además de las políticas de seguridad configuradas entre las zonas de seguridad existentes de los cortafuegos, necesitan configurarse, respectivamente, las políticas de seguridad entre zonas de seguridad privadas y la VZONE en los cortafuegos. Con el incremento de VFWs, el número de VZONEs que necesitan configurarse aumenta también continuamente, necesitándose configurar cada vez más políticas de seguridad y por ello, la configuración se hace muy complicada. Además, en la técnica anterior, cuando los flujos de datos se reenvían a través de cortafuegos, necesita realizarse un filtrado de seguridad sobre los flujos de datos en el extremo transmisor y en el extremo receptor para realizar el reenvío de los flujos de datos, con lo que no solamente es complicado el proceso, sino que también resulta muy difícil gestionar las relaciones inter-zonales entre los cortafuegos.
SUMARIO DE LA INVENCIÓN
Las formas de realización de la presente invención dan a conocer un método para el envío y la recepción de datos a través de VFWs y el método puede simplificar la gestión de las relaciones inter-zonales cuando se reenvían datos a través de diferentes VFWs.
La presente invención da a conocer un método para enviar datos a través de VFWs. Los VFWs se establecen con un túnel de seguridad correspondiente y el túnel de seguridad se establece con una zona de protección. El método
para enviar datos a través de VFWs incluye las etapas siguientes. Un filtrado de seguridad se realiza sobre los datos en el primer cortafuegos virtual utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y una zona de protección de un túnel de seguridad del primer VFW. Los datos se envían al túnel de seguridad del primer VFW. El túnel de seguridad del primer VFW encripta los datos que pasan el filtrado de seguridad. Los datos encriptados se envían a un segundo VFW a través del túnel de seguridad del primer VFW. El segundo VFW está configurado para enviar los datos.
La presente invención da a conocer un método para recibir datos a través de VFWs. Los VFWs se establecen con un túnel de seguridad correspondiente y el túnel de seguridad se establece con una zona de protección. El método para recibir datos a través de VFWs incluye las etapas siguientes. Un primer VFW recibe los datos que han de desencriptarse, busca un túnel de seguridad para la desencriptación de los datos y envía los datos al túnel de seguridad para su desencriptación. El túnel de seguridad para la desencriptación realiza la desencriptación de los datos y modifica una zona de seguridad de un puerto de entrada de los datos desencriptados en la zona de protección del túnel de seguridad para su desencriptación. Un segundo VFW realiza un filtrado de seguridad sobre los datos utilizando una política de seguridad entre la zona de protección del túnel de seguridad para desencriptación y la zona de seguridad en donde llegan los datos.
La presente invención da a conocer, además, un aparato de envío, que incluye una primera unidad de procesamiento de seguridad, una unidad de encriptación y una unidad de envío. La primera unidad de procesamiento de seguridad se estable con zonas de seguridad, con el establecimiento de políticas de seguridad entre las zonas de seguridad, respectivamente. La unidad de encriptación se establece con una zona de protección.
La primera unidad de procesamiento de seguridad está configurada para realizar un filtrado de seguridad sobre los datos utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y la zona de protección de la unidad de encriptación y para enviar los datos después del filtrado de seguridad a la unidad de encriptación.
La unidad de encriptación está configurada para encriptar los datos que pasan a través de la primera unidad de procesamiento de seguridad y para enviar los datos encriptados a la unidad de envío.
La unidad de envío está configurada para enviar los datos encriptados por la unidad de encriptación.
La presente invención da a conocer, además, un aparato de recepción, que incluye una unidad de recepción, una unidad de desencriptación y una segunda unidad de procesamiento de seguridad. La segunda unidad de procesamiento de seguridad se establece con zonas de seguridad y las políticas de seguridad se establecen entre las zonas de seguridad. La unidad de desencriptación se establece con una zona de protección.
La unidad de recepción está configurada para recibir datos que han de desencriptarse, para buscar la unidad de desencriptación de los datos y para enviar los datos a la unidad de desencriptación.
La unidad de desencriptación está configurada para desencriptar... [Seguir leyendo]
Reivindicaciones:
1. Un método para enviar datos a través de los denominados 'cortafuegos' virtuales, VFWs, en donde los VFWs se establecen con un túnel de seguridad correspondiente, estableciéndose el túnel de seguridad con una zona de protección y el método para enviar datos a través de los VFWs comprende:
la realización de un filtrado de seguridad (201) de datos en un primer VFW utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y una zona de protección de un túnel de seguridad del primer VFW y el envío de los datos después del filtrado de seguridad al túnel de seguridad del primer VFW; y la encriptación (202) , por el túnel de seguridad del primer VFW, de los datos que pasan a través del filtrado de seguridad; y el envío, por el túnel de seguridad del primer VFW, de los datos encriptados a un segundo VFW, en donde el segundo VFW está configurado para enviar los datos (203) .
2. El método de envío según la reivindicación 1, en donde la zona de protección del túnel de seguridad es una zona de seguridad en un 'cortafuegos' protegido por el túnel de seguridad.
3. El método de envío según la reivindicación 1, en donde un método para enviar los datos encriptados al segundo VFW por el túnel de seguridad comprende: el etiquetado de los datos con una etiqueta del segundo VFW.
4. El método de envío según la reivindicación 1, en donde un método para enviar los datos encriptados al segundo VFW por el túnel de seguridad comprende, además: el marcado del segundo VFW en una lista de reenvío de los datos.
5. Un método para la recepción de datos a través de los denominados 'cortafuegos' virtuales, VFWs, en donde los VFWs se establecen con un túnel de seguridad correspondiente, estableciéndose el túnel de seguridad con una zona de protección y el método para la recepción de datos a través de los VFWs comprende:
la recepción (301) , por un primer VFW, de los datos que han de desencriptarse, la búsqueda de un túnel de seguridad para la desencriptación de los datos y el envío de los datos al túnel de seguridad para la desencriptación;
la desencriptación (302) , por el túnel de seguridad para desencriptación de los datos, y la modificación de una zona de seguridad de un puerto de entrada de los datos desencriptados en una zona de protección del túnel de seguridad para la desencriptación; y la realización, por un segundo VFW, del filtrado de seguridad (303) sobre los datos utilizando una política de seguridad entre la zona de protección del túnel de seguridad para la desencriptación y la zona de seguridad en donde llegan los datos.
6. El método de recepción según la reivindicación 5, en donde la zona de protección del túnel de seguridad es una zona de seguridad en un denominado 'cortafuegos' protegido por el túnel de seguridad.
7. El método de recepción según la reivindicación 5, en donde un método para la búsqueda del túnel de seguridad para la desencriptación de los datos comprende: la búsqueda de un IP de destino de los datos, una Interfaz Periférica Serie, SPI y un tipo de protocolo y la búsqueda del túnel de seguridad para la desencriptación en donde se requiere que entren los datos en función del IP de destino, de la SPI y del tipo de protocolo.
8. El método de recepción según la reivindicación 5, en donde un método para modificar la zona de seguridad del puerto de entrada de los datos desencriptados comprende: el etiquetado de los datos con una etiqueta de la zona de protección del túnel de seguridad para desencriptación.
9. El método de recepción según la reivindicación 5, en donde un método para modificar una zona de seguridad origen de los datos desencriptados comprende además: el marcado en una lista de reenvío de los datos debido a que la zona de seguridad a la que pertenece el puerto de entrada de los datos es la zona de protección del túnel de seguridad para la desencriptación.
10. Un aparato de envío, que comprende una primera unidad de procesamiento de seguridad (401) , una unidad de encriptación (402) y una unidad de envío (403) , en donde la primera unidad de procesamiento de seguridad se establece con zonas de seguridad, estableciéndose políticas de seguridad entre las zonas de seguridad respectivamente y la unidad de encriptación se establece con una zona de protección, en donde
la primera unidad de procesamiento de seguridad está configurada para realizar el filtrado de seguridad sobre los datos utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y la zona de protección de la unidad de encriptación y para enviar los datos después del filtrado de seguridad a la unidad de encriptación;
la unidad de encriptación está configurada para encriptar los datos procedentes de la primera unidad de procesamiento de seguridad y para enviar los datos encriptados a la unidad de envío; y la unidad de envío está configurada para enviar los datos encriptados por la unidad de encriptación. 5
11. El aparato de envío según la reivindicación 10, en donde la zona de protección de la unidad de encriptación es la zona de seguridad de la primera unidad de procesamiento de seguridad.
12. El aparato de envío según la reivindicación 10, en donde la unidad de encriptación comprende un módulo de 10 encriptación (4021) y un módulo de etiquetado (4022) ;
el módulo de encriptación está configurado para encriptar los datos procedentes de la primera unidad de procesamiento de seguridad; y el módulo de etiquetado está configurado para etiquetar los datos encriptados por el módulo de encriptación con una etiqueta de la unidad de envío y para enviar los datos encriptados a la unidad de envío; o el módulo de etiquetado está configurado para marcar la unidad de envío de los datos encriptados en una lista de reenvío de los datos y para enviar los datos encriptados a la unidad de envío. 20
13. Un aparato de recepción que comprende una unidad de recepción (501) , una unidad de desencriptación (502) y una segunda unidad de procesamiento de seguridad (503) , en donde la segunda unidad de procesamiento de seguridad se establece con zonas de seguridad y se establecen políticas de seguridad entre las zonas de seguridad, estando la unidad de desencriptación establecida con una zona de protección, en donde la unidad de recepción está configurada para recibir datos que han de desencriptarse, para buscar la unidad de desencriptación de los datos y para enviar los datos a la unidad de desencriptación;
la unidad de desencriptación está configurada para desencriptar los datos que han de desencriptarse procedentes 30 de la unidad de recepción y para modificar una zona de seguridad de un puerto de entrada de los datos en la zona de protección de la unidad de desencriptación; y la segunda unidad de procesamiento de seguridad está configurada para realizar un filtrado de seguridad sobre los datos utilizando una política de seguridad entre la zona de protección de la unidad de desencriptación y la zona de 35 seguridad en donde llegan los datos.
14. El aparato de recepción según la reivindicación 13, en donde la zona de protección de la unidad de encriptación es la zona de seguridad de la segunda unidad de procesamiento de seguridad.
15. El aparato de recepción según la reivindicación 13, en donde la unidad de desencriptación comprende un módulo de desencriptación (5021) y un módulo de modificación (5022) , en donde el módulo de desencriptación está configurado para desencriptar los datos que han de desencriptarse recibidos por la unidad de recepción; y 45 el módulo de modificación está configurado para modificar la zona de seguridad a la que pertenece el puerto de entrada de los datos desencriptados por el módulo de desencriptación en la zona de protección de la unidad de desencriptación.
Patentes similares o relacionadas:
Procedimiento y dispositivo para el procesamiento de una solicitud de servicio, del 29 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para el procesamiento de una solicitud de servicio, comprendiendo el procedimiento: recibir (S201), mediante un nodo de consenso, una solicitud […]
Método para atender solicitudes de acceso a información de ubicación, del 22 de Julio de 2020, de Nokia Technologies OY: Un aparato que comprende: al menos un procesador; y al menos una memoria que incluye un código de programa informático para uno o más programas, […]
Sincronización de una aplicación en un dispositivo auxiliar, del 22 de Julio de 2020, de OPENTV, INC.: Un método que comprende, mediante un dispositivo de medios: acceder, utilizando un módulo de recepción, un flujo de datos que incluye contenido […]
Procedimiento y dispositivo para su uso en la gestión de riesgos de información de aplicación, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un procedimiento para la gestión de riesgos de información de aplicación en un dispositivo de red, comprendiendo el procedimiento: recibir información […]
Gestión de memoria intermedia recomendada de red de una aplicación de servicio en un dispositivo de radio, del 22 de Julio de 2020, de TELEFONAKTIEBOLAGET LM ERICSSON (PUBL): Un método llevado a cabo por un nodo de red en una red de comunicación por radio , comprendiendo el método: obtener (S1) una predicción del ancho […]
Método, servidor y sistema de inicio de sesión de confianza, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método de inicio de sesión de confianza implementado por computadora aplicado a un sistema de inicio de sesión de confianza que comprende un primer sistema de aplicación […]
Método y aparato para configurar un identificador de dispositivo móvil, del 22 de Julio de 2020, de Advanced New Technologies Co., Ltd: Un método implementado por servidor para configurar un identificador de dispositivo móvil, que comprende: obtener una lista de aplicaciones, APP, […]
Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]