Métodos y aparatos para cruzar un denominado ''cortafuegos'' virtual con el fin de transmitir y recibir datos.

Un método para enviar datos a través de los denominados 'cortafuegos' virtuales,

VFWs, en donde los VFWs se establecen con un túnel de seguridad correspondiente, estableciéndose el túnel de seguridad con una zona de protección y el método para enviar datos a través de los VFWs comprende:

la realización de un filtrado de seguridad (201) de datos en un primer VFW utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y una zona de protección de un túnel de seguridad del primer VFW y el envío de los datos después del filtrado de seguridad al túnel de seguridad del primer VFW; y

la encriptación (202), por el túnel de seguridad del primer VFW, de los datos que pasan a través del filtrado de seguridad; y el envío, por el túnel de seguridad del primer VFW, de los datos encriptados a un segundo VFW, en donde el segundo VFW está configurado para enviar los datos (203).

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/CN2009/075185.

Solicitante: HUAWEI TECHNOLOGIES CO., LTD..

Nacionalidad solicitante: China.

Dirección: Huawei Administration Building, Bantian, Longgang District Shenzhen, Guangdong 518129 CHINA.

Inventor/es: XU,YONG, LU,Xiaoping, ZHU,ZHIQIANG, ZHANG,RIHUA, HOU,GUIBIN, XIE,WENHUI, MA,BO, GAO,GUOLU, FU,CUIHUA.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • H04L12/46 SECCION H — ELECTRICIDAD.H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS.H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M; selección H04Q). › H04L 12/00 Redes de datos de conmutación (interconexión o transferencia de información o de otras señales entre memorias, dispositivos de entrada/salida o unidades de tratamiento G06F 13/00). › Interconexión de redes.
  • H04L29/06 H04L […] › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.

PDF original: ES-2546136_T3.pdf

 


Fragmento de la descripción:

Métodos y aparatos para cruzar un denominado 'cortafuegos' virtual con el fin de transmitir y recibir datos

CAMPO DE LA INVENCIÓN

La presente invención se refiere al campo de las tecnologías de comunicaciones y más en particular, a métodos y aparatos para enviar y recibir datos a través de 'cortafuegos' virtuales (VFWs) .

ANTECEDENTES DE LA INVENCIÓN

Un denominado 'cortafuegos' es una combinación de una serie de componentes establecidos entre diferentes redes, tales como entre una red Intranet de confianza y una red pública de no-confianza, o entre zonas de seguridad de redes. Dicho 'cortafuegos' suele formular una política de seguridad basada en zonas de seguridad para supervisar, limitar o modificar datos a través del 'cortafuegos' y selecciona información interna, estructuras y situaciones operativas de una red hacia el exterior lo más posible, con el fin de proteger una red Intranet.

Recientemente, con la aparición y desarrollo de la tecnología de Red Privada Virtual (VPN) , la tecnología del Cortafuegos Virtual (VFW) apareció consecuentemente. Un VFW es una sub-entidad lógica derivada de un sistema cortafuegos principal y se presenta a un usuario como un cortafuegos independiente. Después de que se establezca un VFW, el sistema cortafuegos principal presentado por un usuario se denomina un cortafuegos raíz. El número del cortafuegos raíz es uno y los VFWs pueden crearse de forma dinámica en conformidad con las configuraciones y el número de los VFWs es al menos uno. Cuando los VFWs lógicos se establecen sobre la base de un cortafuegos, se satisfacen las demandas del sistema y al mismo tiempo, los rendimientos restantes en el sistema se utilizan para proporcionar servicios de arrendamiento para conseguir más altos rendimientos. Actualmente la tecnología de VPN se ha convertido en una tecnología básica de la tecnología de VFW. Cada VFW es un complejo de una instancia de VPN, una instancia de seguridad y una instancia de configuración y es capaz de proporcionar a un usuario de los VFWs un plano de reenvío de rutas privadas, servicios de seguridad y plano de gestión de configuración.

Con el desarrollo rápido de las tecnologías de seguridad de redes, cada vez más empresas, a gran escala, utilizan las redes Internet para establecer redes VPN utilizando la tecnología de seguridad de protocolo Internet (IPSec) . El protocolo IPSec proporciona datos IP con alta calidad, interoperables y un rendimiento de seguridad basado en la criptología. La encriptación y la autenticación origen de datos se realiza en la capa de IP entre partes de comunicaciones específicas para garantizar la confidencialidad, integridad y la autenticidad cuando se transmiten datos a través de las redes.

En la técnica anterior (según se ilustra, a modo de ejemplo, en el documento CN 1949741 A) , cuando se procesa un flujo de datos a través de diferentes cortafuegos, una zona de seguridad privada y una zona de seguridad virtual (VZONE) para transmitir el flujo de datos se establecen en VFW y el cortafuegos raíz, respectivamente. Se establece un puerto en cualquiera de las zonas de seguridad privadas que se establecen en los VFWs y el cortafuegos raíz respectivamente y se establecen políticas de seguridad entre las zonas de seguridad de los VFWs y el cortafuegos raíz, respectivamente. Cuando un flujo de datos se envía a través de cortafuegos, un extremo transmisor filtra el flujo de datos utilizando una política de seguridad entre una zona de seguridad origen de un cortafuegos del flujo de datos y una VZONE del cortafuegos y envía el flujo de datos filtrado a un extremo receptor. El extremo receptor filtra el flujo de datos utilizando una política de seguridad entre una zona de seguridad de destino de un cortafuegos en donde llega el flujo de datos y una zona VZONE del cortafuegos.

En la técnica anterior, cuando se procesa un flujo de datos a través del cortafuegos, cada uno de los cortafuegos necesita configurarse con una VZONE. Además de las políticas de seguridad configuradas entre las zonas de seguridad existentes de los cortafuegos, necesitan configurarse, respectivamente, las políticas de seguridad entre zonas de seguridad privadas y la VZONE en los cortafuegos. Con el incremento de VFWs, el número de VZONEs que necesitan configurarse aumenta también continuamente, necesitándose configurar cada vez más políticas de seguridad y por ello, la configuración se hace muy complicada. Además, en la técnica anterior, cuando los flujos de datos se reenvían a través de cortafuegos, necesita realizarse un filtrado de seguridad sobre los flujos de datos en el extremo transmisor y en el extremo receptor para realizar el reenvío de los flujos de datos, con lo que no solamente es complicado el proceso, sino que también resulta muy difícil gestionar las relaciones inter-zonales entre los cortafuegos.

SUMARIO DE LA INVENCIÓN

Las formas de realización de la presente invención dan a conocer un método para el envío y la recepción de datos a través de VFWs y el método puede simplificar la gestión de las relaciones inter-zonales cuando se reenvían datos a través de diferentes VFWs.

La presente invención da a conocer un método para enviar datos a través de VFWs. Los VFWs se establecen con un túnel de seguridad correspondiente y el túnel de seguridad se establece con una zona de protección. El método

para enviar datos a través de VFWs incluye las etapas siguientes. Un filtrado de seguridad se realiza sobre los datos en el primer cortafuegos virtual utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y una zona de protección de un túnel de seguridad del primer VFW. Los datos se envían al túnel de seguridad del primer VFW. El túnel de seguridad del primer VFW encripta los datos que pasan el filtrado de seguridad. Los datos encriptados se envían a un segundo VFW a través del túnel de seguridad del primer VFW. El segundo VFW está configurado para enviar los datos.

La presente invención da a conocer un método para recibir datos a través de VFWs. Los VFWs se establecen con un túnel de seguridad correspondiente y el túnel de seguridad se establece con una zona de protección. El método para recibir datos a través de VFWs incluye las etapas siguientes. Un primer VFW recibe los datos que han de desencriptarse, busca un túnel de seguridad para la desencriptación de los datos y envía los datos al túnel de seguridad para su desencriptación. El túnel de seguridad para la desencriptación realiza la desencriptación de los datos y modifica una zona de seguridad de un puerto de entrada de los datos desencriptados en la zona de protección del túnel de seguridad para su desencriptación. Un segundo VFW realiza un filtrado de seguridad sobre los datos utilizando una política de seguridad entre la zona de protección del túnel de seguridad para desencriptación y la zona de seguridad en donde llegan los datos.

La presente invención da a conocer, además, un aparato de envío, que incluye una primera unidad de procesamiento de seguridad, una unidad de encriptación y una unidad de envío. La primera unidad de procesamiento de seguridad se estable con zonas de seguridad, con el establecimiento de políticas de seguridad entre las zonas de seguridad, respectivamente. La unidad de encriptación se establece con una zona de protección.

La primera unidad de procesamiento de seguridad está configurada para realizar un filtrado de seguridad sobre los datos utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y la zona de protección de la unidad de encriptación y para enviar los datos después del filtrado de seguridad a la unidad de encriptación.

La unidad de encriptación está configurada para encriptar los datos que pasan a través de la primera unidad de procesamiento de seguridad y para enviar los datos encriptados a la unidad de envío.

La unidad de envío está configurada para enviar los datos encriptados por la unidad de encriptación.

La presente invención da a conocer, además, un aparato de recepción, que incluye una unidad de recepción, una unidad de desencriptación y una segunda unidad de procesamiento de seguridad. La segunda unidad de procesamiento de seguridad se establece con zonas de seguridad y las políticas de seguridad se establecen entre las zonas de seguridad. La unidad de desencriptación se establece con una zona de protección.

La unidad de recepción está configurada para recibir datos que han de desencriptarse, para buscar la unidad de desencriptación de los datos y para enviar los datos a la unidad de desencriptación.

La unidad de desencriptación está configurada para desencriptar... [Seguir leyendo]

 


Reivindicaciones:

1. Un método para enviar datos a través de los denominados 'cortafuegos' virtuales, VFWs, en donde los VFWs se establecen con un túnel de seguridad correspondiente, estableciéndose el túnel de seguridad con una zona de protección y el método para enviar datos a través de los VFWs comprende:

la realización de un filtrado de seguridad (201) de datos en un primer VFW utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y una zona de protección de un túnel de seguridad del primer VFW y el envío de los datos después del filtrado de seguridad al túnel de seguridad del primer VFW; y la encriptación (202) , por el túnel de seguridad del primer VFW, de los datos que pasan a través del filtrado de seguridad; y el envío, por el túnel de seguridad del primer VFW, de los datos encriptados a un segundo VFW, en donde el segundo VFW está configurado para enviar los datos (203) .

2. El método de envío según la reivindicación 1, en donde la zona de protección del túnel de seguridad es una zona de seguridad en un 'cortafuegos' protegido por el túnel de seguridad.

3. El método de envío según la reivindicación 1, en donde un método para enviar los datos encriptados al segundo VFW por el túnel de seguridad comprende: el etiquetado de los datos con una etiqueta del segundo VFW.

4. El método de envío según la reivindicación 1, en donde un método para enviar los datos encriptados al segundo VFW por el túnel de seguridad comprende, además: el marcado del segundo VFW en una lista de reenvío de los datos.

5. Un método para la recepción de datos a través de los denominados 'cortafuegos' virtuales, VFWs, en donde los VFWs se establecen con un túnel de seguridad correspondiente, estableciéndose el túnel de seguridad con una zona de protección y el método para la recepción de datos a través de los VFWs comprende:

la recepción (301) , por un primer VFW, de los datos que han de desencriptarse, la búsqueda de un túnel de seguridad para la desencriptación de los datos y el envío de los datos al túnel de seguridad para la desencriptación;

la desencriptación (302) , por el túnel de seguridad para desencriptación de los datos, y la modificación de una zona de seguridad de un puerto de entrada de los datos desencriptados en una zona de protección del túnel de seguridad para la desencriptación; y la realización, por un segundo VFW, del filtrado de seguridad (303) sobre los datos utilizando una política de seguridad entre la zona de protección del túnel de seguridad para la desencriptación y la zona de seguridad en donde llegan los datos.

6. El método de recepción según la reivindicación 5, en donde la zona de protección del túnel de seguridad es una zona de seguridad en un denominado 'cortafuegos' protegido por el túnel de seguridad.

7. El método de recepción según la reivindicación 5, en donde un método para la búsqueda del túnel de seguridad para la desencriptación de los datos comprende: la búsqueda de un IP de destino de los datos, una Interfaz Periférica Serie, SPI y un tipo de protocolo y la búsqueda del túnel de seguridad para la desencriptación en donde se requiere que entren los datos en función del IP de destino, de la SPI y del tipo de protocolo.

8. El método de recepción según la reivindicación 5, en donde un método para modificar la zona de seguridad del puerto de entrada de los datos desencriptados comprende: el etiquetado de los datos con una etiqueta de la zona de protección del túnel de seguridad para desencriptación.

9. El método de recepción según la reivindicación 5, en donde un método para modificar una zona de seguridad origen de los datos desencriptados comprende además: el marcado en una lista de reenvío de los datos debido a que la zona de seguridad a la que pertenece el puerto de entrada de los datos es la zona de protección del túnel de seguridad para la desencriptación.

10. Un aparato de envío, que comprende una primera unidad de procesamiento de seguridad (401) , una unidad de encriptación (402) y una unidad de envío (403) , en donde la primera unidad de procesamiento de seguridad se establece con zonas de seguridad, estableciéndose políticas de seguridad entre las zonas de seguridad respectivamente y la unidad de encriptación se establece con una zona de protección, en donde

la primera unidad de procesamiento de seguridad está configurada para realizar el filtrado de seguridad sobre los datos utilizando una política de seguridad entre una zona de seguridad de un puerto de entrada de datos y la zona de protección de la unidad de encriptación y para enviar los datos después del filtrado de seguridad a la unidad de encriptación;

la unidad de encriptación está configurada para encriptar los datos procedentes de la primera unidad de procesamiento de seguridad y para enviar los datos encriptados a la unidad de envío; y la unidad de envío está configurada para enviar los datos encriptados por la unidad de encriptación. 5

11. El aparato de envío según la reivindicación 10, en donde la zona de protección de la unidad de encriptación es la zona de seguridad de la primera unidad de procesamiento de seguridad.

12. El aparato de envío según la reivindicación 10, en donde la unidad de encriptación comprende un módulo de 10 encriptación (4021) y un módulo de etiquetado (4022) ;

el módulo de encriptación está configurado para encriptar los datos procedentes de la primera unidad de procesamiento de seguridad; y el módulo de etiquetado está configurado para etiquetar los datos encriptados por el módulo de encriptación con una etiqueta de la unidad de envío y para enviar los datos encriptados a la unidad de envío; o el módulo de etiquetado está configurado para marcar la unidad de envío de los datos encriptados en una lista de reenvío de los datos y para enviar los datos encriptados a la unidad de envío. 20

13. Un aparato de recepción que comprende una unidad de recepción (501) , una unidad de desencriptación (502) y una segunda unidad de procesamiento de seguridad (503) , en donde la segunda unidad de procesamiento de seguridad se establece con zonas de seguridad y se establecen políticas de seguridad entre las zonas de seguridad, estando la unidad de desencriptación establecida con una zona de protección, en donde la unidad de recepción está configurada para recibir datos que han de desencriptarse, para buscar la unidad de desencriptación de los datos y para enviar los datos a la unidad de desencriptación;

la unidad de desencriptación está configurada para desencriptar los datos que han de desencriptarse procedentes 30 de la unidad de recepción y para modificar una zona de seguridad de un puerto de entrada de los datos en la zona de protección de la unidad de desencriptación; y la segunda unidad de procesamiento de seguridad está configurada para realizar un filtrado de seguridad sobre los datos utilizando una política de seguridad entre la zona de protección de la unidad de desencriptación y la zona de 35 seguridad en donde llegan los datos.

14. El aparato de recepción según la reivindicación 13, en donde la zona de protección de la unidad de encriptación es la zona de seguridad de la segunda unidad de procesamiento de seguridad.

15. El aparato de recepción según la reivindicación 13, en donde la unidad de desencriptación comprende un módulo de desencriptación (5021) y un módulo de modificación (5022) , en donde el módulo de desencriptación está configurado para desencriptar los datos que han de desencriptarse recibidos por la unidad de recepción; y 45 el módulo de modificación está configurado para modificar la zona de seguridad a la que pertenece el puerto de entrada de los datos desencriptados por el módulo de desencriptación en la zona de protección de la unidad de desencriptación.


 

Patentes similares o relacionadas:

Imagen de 'Sistema de gestión de una instalación en función del nivel de…'Sistema de gestión de una instalación en función del nivel de eficiencia de un vehículo, del 31 de Octubre de 2019, de MAESTRO CAPITAL LIMITED: Sistema de gestión de una instalación en función del nivel de eficiencia de un vehículo que comprende: medios de determinación de la cantidad de […]

Imagen de 'Sistema y procedimiento para la creación y la gestión de autorizaciones…'Sistema y procedimiento para la creación y la gestión de autorizaciones descentralizadas para objetos conectados, del 31 de Octubre de 2019, de Bull SAS: Sistema informático de creación de autorizaciones, de atribuciones y de gestión de dichas autorizaciones para unos objetos conectados que […]

SISTEMA DE GESTIÓN DE UNA INSTALACIÓN EN FUNCIÓN DEL NIVEL DE EFICIENCIA DE UN VEHÍCULO, del 31 de Octubre de 2019, de MAESTRO CAPITAL LIMITED: Sistema de gestión de una instalación en función del nivel de eficiencia de un vehículo que comprende: medios de determinación de la cantidad […]

Transmisión de petición de bloques mejorada usando plantillas y reglas de construcción de url, del 30 de Octubre de 2019, de QUALCOMM INCORPORATED: Un procedimiento para usar en un sistema de comunicación en el que un dispositivo cliente solicita archivos de medios de un sistema de ingestión […]

Método y aparato de detección de amenazas y sistema de red, del 30 de Octubre de 2019, de HUAWEI TECHNOLOGIES CO., LTD.: Un método de detección de amenazas que se aplica a un escenario de carga de retardo, el método comprende: al cargar un localizador uniforme […]

Métodos y aparatos para generar claves en las comunicaciones de dispositivo a dispositivo, del 30 de Octubre de 2019, de Nokia Technologies OY: Un método, que comprende: derivar en un equipo de primer usuario, una primera clave basada en un primer parámetro de seguridad y una clave compartida […]

Método, aparatos y aplicaciones para los atributos de oscurecimiento contextual de un perfil de usuario, del 30 de Octubre de 2019, de Orange: Un método para proporcionar un atributo de un perfil de usuario a un dispositivo electrónico solicitante a través de un servidor de […]

Imagen de 'Transmisión de solicitud de bloque mejorada usando http cooperativa…'Transmisión de solicitud de bloque mejorada usando http cooperativa paralela y corrección de errores hacia adelante, del 30 de Octubre de 2019, de QUALCOMM INCORPORATED: Un procedimiento para su uso en un sistema de comunicación en el que un dispositivo cliente solicita segmentos de medios desde un sistema de ingestión […]

Utilizamos cookies para mejorar nuestros servicios y mostrarle publicidad relevante. Si continua navegando, consideramos que acepta su uso. Puede obtener más información aquí. .