ES2275818T3 - Sistema de conexion de un primer y un segundo equipos informaticos a traves de una red de telecomunicacion. - Google Patents

Sistema de conexion de un primer y un segundo equipos informaticos a traves de una red de telecomunicacion. Download PDF

Info

Publication number
ES2275818T3
ES2275818T3 ES02291215T ES02291215T ES2275818T3 ES 2275818 T3 ES2275818 T3 ES 2275818T3 ES 02291215 T ES02291215 T ES 02291215T ES 02291215 T ES02291215 T ES 02291215T ES 2275818 T3 ES2275818 T3 ES 2275818T3
Authority
ES
Spain
Prior art keywords
equipment
call
server
user
assigned
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES02291215T
Other languages
English (en)
Inventor
Thierry Noblot
Daniel Aime
Marcel Gachenot
Katherine Tourne
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Application granted granted Critical
Publication of ES2275818T3 publication Critical patent/ES2275818T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Sistema de conexión de un primer y un segundo equipos informáticos (1, 2) a través de una red (3) de telecomunicación, siendo asignado un número de teléfono a cada uno de esos equipos, ese sistema comprendiendo primeros medios (1) de llamada del segundo equipo, a los cuales es asignado un número de teléfono, y el segundo equipo (2) comprende medios (6, 7) de recuperación del número de teléfono asignado a los primeros medios de llamada sin descolgar la línea, el segundo equipo comprendiendo además medios (6, 8) de identificación de los primeros medios de llamada y de recuperación en una base de datos (8) de un número de teléfono pre-registrado en la misma y asignado al primer equipo (1) y segundos medios (6, 7) de llamada del primer equipo por ese número a través de la red de telecomunicación, para permitir la conexión, caracterizado porque los primeros medios de llamada están formados por un equipo telefónico distinto del primer equipo (1) y conectado a la red telefónica (3).

Description

Sistema de conexión de un primer y un segundo equipos informáticos a través de una red de telecomunicación.
La presente invención concierne a un sistema de conexión de un primer y un segundo equipos informáticos a través de una red de telecomunicación.
Esos equipos están por ejemplo formados por micro-ordenadores o servidores de acceso distantes a sistemas de información que están por ejemplo equipados de módems a los cuales son asociados números de teléfono.
Esos módems pueden por ejemplo ser módems seguros que integran una combinación formada por ejemplo por una clave parametrizable que debe ser idéntica para los dos módems integrados en los dos equipos para permitir la conexión de los mismos.
Pero esos módems seguros presentan un cierto número de inconvenientes específicamente a nivel de su costo, debido al hecho de que no existe módem seguro para los micro-ordenadores portátiles de tipo
PCMCIA, ni para los teléfonos portátiles, dificultades vinculadas a su puesta en práctica en la medida en que es necesario parametrizar el módem para cada equipo que llama indicando el número de llamada que será único con relación al módem del equipo que llama y posibilidades de piratería utilizando un módem de tipo idéntico y un generador de clave.
Existen igualmente en el estado de la técnica, servicios de llamada automática de un soporte lógico de conexión manual a distancia de un equipo informático como por ejemplo un soporte lógico de tipo "PC ANYWHERE".
Ese tipo de soporte lógico es muy seguro pero solamente permite la conexión manual en un equipo informático. De hecho, solamente permite una sola conexión a la vez en un servidor o un equipo cualquiera dispuesto por ejemplo en una empresa.
Otro servicio es igualmente bien conocido en el estado de la técnica, a saber el servicio RAS ("Remote Acces Service"). La mayor parte de los sistemas de explotación de los servidores de acceso distantes integran esta funcionalidad.
Ese servicio permite a un usuario que posee por ejemplo un microordenador provisto de un módem, componer el número de llamada de un servidor de acceso distante RAS. Esta numeración solamente puede hacerse a partir del microordenador unido a un puesto telefónico fijo o móvil.
El servidor RAS recibe entonces la llamada y descuelga la línea.
Esto representa ya un primer inconveniente en la medida en que el hecho de descolgar la línea provoca el pago de la comunicación por el usuario.
A continuación, el servidor y el micro-ordenador intercambian informaciones de identificación, tales como por ejemplo una información de registro de tipo "LOGIN" y una palabra de paso de conexión para definir los privilegios de acceso al resto del sistema de información así como el número de teléfono para la llamada del usuario.
Este intercambio debe hacerse en un tiempo determinado o con un número máximo de tentativas.
Si ese tiempo es transcurrido o si ese número máximo de tentativas es alcanzado, la comunicación es cortada por el servidor.
Es durante esta fase que una piratería puede llevarse a cabo por usurpación de la identidad o intrusión en el servidor.
En efecto, tal sistema puede ser pirateado ya que existe una conexión entre el servidor y el usuario y ciertos soporte lógicos de piratería pueden entrar y modificar las propiedades del servidor RAS para seguidamente hacer la intrusión en el sistema de información propiamente dicho.
No hay en efecto, en ese caso, ninguna certeza sobre el origen del usuario que llama al servidor RAS.
El sistema permanece entonces abierto a la llamada de cualquier usuario, ya que en todos los casos, el servidor RAS descuelga la línea y da la invitación a la conexión del usuario.
Una vez que las diferentes informaciones de identificación han sido declaradas válidas, a partir por ejemplo de una base de datos y que la atribución de los derechos de acceso y del número telefónico de llamada definidos en esa base para el usuario ha sido realizada, la conexión continúa. El servidor RAS descuelga la línea y el micro-ordenador del usuario se pone en espera de recepción de una llamada.
El servidor de acceso distante RAS llama entonces al micro-ordenador del usuario que recibe la llamada y descuelga la línea, lo que permite establecer la conexión entre el usuario y el sistema de información.
A la vista de lo que precede, se constata que tal conexión no es segura y que el sistema de información puede ser pirateado.
Se conoce del documento EP-A-0581 528 un sistema según el preámbulo de la reivindicación 1.
El objeto de la invención es por lo tanto resolver esos problemas.
A este efecto, la invención tiene como objeto un sistema de conexión de un primer y un segundo equipos informáticos a través de una red de telecomunicación, siendo asignado un número de teléfono a cada uno de esos equipos, ese sistema comprendiendo primeros medios de llamada del segundo equipo, a los cuales es asignado un número de teléfono, y el segundo equipo comprende medios de recuperación del número de teléfono asignado a los primeros medios de llamada sin descolgar la línea, el segundo equipo comprendiendo además medios de identificación de los primeros medios de llamada y de recuperación en una base de datos de un número de teléfono pre-registrado en la misma y asignado al primer equipo y segundos medios de llamada del primer equipo por ese número a través de la red de telecomunicación, para permitir la conexión, caracterizado porque los primeros medios de llamada están formados por un equipo telefónico distinto del primer equipo y conectado a la red telefónica.
La invención será mejor comprendida con la lectura de la descripción que sigue, dada únicamente a título de ejemplo y hecha con referencia a los dibujos anexos, en los cuales:
- las Figs. 1 a 12 representan esquemas sinópticos de un sistema de conexión según la invención, que ilustran por una parte, la estructura general del mismo y por otra parte, su funcionamiento.
Como ha sido indicado precedentemente, la invención se relaciona con un sistema de conexión de un primer y un segundo equipos informáticos a través de una red de telecomunicación, siendo asignado un número de teléfono a cada uno de esos equipos.
Los equipos informáticos pueden ser de diferentes tipos y naturalezas y en el ejemplo que será descrito a continuación, se ha ilustrado la conexión de un micro-ordenador y de un sistema de información, por ejemplo de una empresa, a través de un servidor de acceso distante de tipo RAS.
Es así por ejemplo que en esas figuras, la referencia general 1 designa el primer equipo, la referencia general 2, el segundo equipo y la referencia general 3, la red de telecomunicación 3.
Un número de teléfono es asignado a cada uno de esos equipos y es establecido por el operador de la red de telecomunicación.
Como ha sido indicado precedentemente, el primer equipo puede por ejemplo comprender un micro-ordenador designado por la referencia general 4 asociado a un módem designado por la referencia general 5, conectado a la red de telecomunicación.
El segundo equipo puede comprender un servidor de acceso distante de autentificación RAS designado por la referencia general 6 asociado a un módem designado por la referencia general 7 y a una base de datos designada por la referencia general 8, que será descrita más en detalle a continuación.
El módem 7 está igualmente unido a la red de telecomunicaciones.
Ese servidor de acceso RAS permite por ejemplo tener acceso a un sistema de información de una empresa, designada por la referencia general 9 en esas figuras.
El objeto del sistema descrito es por lo tanto permitir a un micro-ordenador acceder a través de un operador telefónico y una red telefónica a un sistema de información por ejemplo de empresa, una red privada, un acceso Internet, etc.., y esto de manera segura a fin de facilitar la tele-actividad.
Para esto, conviene llevar a cabo un aseguramiento para estar seguros de que un usuario no conocido no se conecte al sistema de información.
Por lo tanto es conveniente impedir cualquier usurpación de identidad de un usuario a fin de impedir cualquier intrusión al sistema de información con vistas a una piratería.
Esto es realizado llevando a cabo un tratamiento de los números de teléfono de diferentes interventores, cada número de teléfono es asignado por el operador de la red telefónica y es único y propio a cada interventor conectado a la red, tanto en puesto fijo o móvil. Ese número no puede en efecto ser falsificado por el que llama o cualquier otro al menos no antes de que el equipo llamado haya descolgado la línea, ya que es el operador de la red telefónica quien administra esos números y la red.
Se va a describir a continuación un ejemplo de puesta en práctica del sistema según la invención en el cual un usuario que desea tener acceso a un sistema de información tal como el sistema 9, dispone del micro-ordenador 4 asociado al módem 5.
Durante la etapa ilustrada en la figura 1, el usuario activa la numeración hacia el servidor de acceso distante de autentificación 6.
Esta numeración se hace en el ejemplo descrito a partir del micro-ordenador 4.
Otros ejemplos serán descritos para demostrar que la llamada del servidor 6 puede igualmente hacerse por el usuario a partir de medios distintos de ese micro-ordenador como por ejemplo a partir de un puesto telefónico fijo o móvil asociado a las redes telefónicas.
Como es ilustrado en la figura 2, esta llamada es entonces encaminada a través de la red de telecomunicación 3 hacia el servidor y más particularmente al módem 7 del mismo.
El servidor de autentificación y más particularmente el módem asociado al mismo recibe entonces esta llamada pero no descuelga la línea. Esto permite por una parte, evitar el pago de la comunicación por el usuario y por otra parte, conservar el secreto del número de teléfono del equipo que llama.
En efecto, si el servidor descuelga, como pasa en el estado de la técnica, el número de teléfono del equipo que llama puede ser recuperado y ser usurpado por diferentes sistemas fácilmente accesibles en el estado de la técnica.
Durante la etapa ilustrada en la figura 3, el número de teléfono del equipo que llama es recuperado por el servidor de acceso distante 6 a través de su módem 7 y esto siempre sin descolgar la línea, de forma clásica.
Durante la etapa ilustrada en la figura 4, el servidor de acceso distante 6 identifica los medios de llamada comparando el número de teléfono recuperado con informaciones contenidas en la base de datos 8, que almacena informaciones relativas a una tabla de usuarios autorizados y a uno o varios números de teléfono pré-registrados que están asociados a los mismos.
Esto permite verificar la validez del acceso de un usuario que llama.
Durante la fase ilustrada en la figura 5, la llamada proveniente del usuario es interrumpida por ejemplo al principio de un período de tiempo predeterminado o un número de x sonidos predeterminados.
El primer equipo, es decir, de hecho el primer micro-ordenador puesto a disposición del usuario, está entonces en espera de la recepción de una llamada.
Durante la etapa ilustrada en la figura 6, el usuario es declarado válido por el servidor de acceso distante 6 y un número de teléfono de llamada asociado a este usuario es recuperado por el servidor de acceso 6 en la base de datos 8, a partir de la tabla correspondiente, a fin de activar la llamada del primer equipo.
Se concibe así que esa llamada se haga a partir de un número de teléfono almacenado para un usuario identificado en la base de datos asociada al servidor.
Se notará que ese proceso permite por una parte, solamente llamar equipos identificados y usuarios validados y por otro parte, a este usuario utilizar por ejemplo un equipo telefónico diferente del primer equipo informático para llamar al servidor.
Este otro equipo telefónico puede entonces ser asignado con un número de teléfono diferente del primer equipo informático que conviene conectar al servidor.
El número de teléfono del equipo que llama es por lo tanto solamente recuperado por el servidor RAS para cuestiones de validación de acceso y de identificación de usuario y no es utilizado como número de llamada del primer equipo informático.
Claro está, esos números de teléfono pueden ser idénticos si el usuario ha activado la llamada del servidor a partir del micro-ordenador que el servidor debe llamar a continuación.
Durante la etapa ilustrada en la figura 7, el servidor de acceso activa la llamada del usuario a través de la red telefónica gracias a su módem.
Durante la etapa ilustrada en la figura 8, el primer equipo recibe la llamada proveniente del servidor y descuelga la línea.
Durante la etapa ilustrada en la figura 9 medios de intercambio de informaciones de tipo clásico entre los equipos son activados para permitir al servidor solicitar al usuario un cierto número de informaciones de identificación y de autentificación, como por ejemplo una información de registro de tipo "LOGIN" y una palabra de paso de conexión para definir los privilegios de acceso al sistema de información.
Durante las etapas ilustradas en las figuras 10 y 11, el usuario introduce esas diferentes informaciones en el micro-ordenador y las mismas son transmitidas a través de la red de telecomunicación con destino al servidor.
Se notará que esto debe por ejemplo ser realizado en un período de tiempo predeterminado o con un número máximo de tentativas antes del corte de la comunicación por el servidor RAS.
Una vez que esas informaciones son recibidas al nivel del servidor de acceso distante 6 el mismo verifica esas informaciones comparándolas por ejemplo con informaciones correspondientes de la base de datos 8 y atribuyendo derechos de acceso definidos en esta base para ese usuario.
Esto permite como es ilustrado en la figura 12, establecer la conexión entre el primer y el secundo equipos, es decir entre el micro-ordenador y el sistema de información.
Claramente se debe entender que otros modos de realización adicionales de este sistema pueden ser considerados.
Es así, como ha sido indicado precedentemente, que la llamada del servidor puede ser realizada por el usuario ejecutando un equipo telefónico diferente del primer equipo a conectar.
Este equipo puede por ejemplo ser un teléfono fijo o un teléfono móvil que permite activar el servidor de acceso distante y conducir el mismo después de la verificación, a utilizar un número de teléfono de llamada almacenado en la base de datos para llamar al primer equipo informático.
Tal estructura presenta un cierto número de ventajas específicamente a nivel de la seguridad de la conexión.
En efecto, es necesario primero conocer el número de teléfono del servidor de acceso distante.
El número de teléfono recuperado, es decir aquel correspondiente al equipo que llama no puede ser falsificado antes de descolgar la línea, ya que la atribución del mismo se hace por el operador de la red telefónica.
Si el número de teléfono del equipo que llama está oculto, el servidor de acceso distante no puede reaccionar ya que ese número le es indispensable para acceder a la base de datos.
No puede haber intrusión por piratería de la base de los usuarios del servidor de acceso distante, ya que ese servidor no descuelga la línea. Por lo tanto no hay enlace entre el usuario y el servidor durante esta fase de autentificación.
Ese servidor de acceso distante llama a un número predefinido del usuario y que está almacenado en la base de datos.
Se concibe entonces que incluso si un usuario ha logrado usurpar la identidad de cualquier otro, el servidor solamente llama al número que está en la base de datos y no a aquel que le es presentado durante la llamada. Esto permite ofrecer posibilidades múltiples de llamada para la autentificación, por ejemplo a partir de un teléfono portátil y llamada del servidor a una línea telefónica fija asociada al primer equipo.
Un nivel de seguridad suplementario es introducido con las informaciones de autentificación, por ejemplo la palabra de paso, para dar acceso al sistema de información distante según los privilegios de acceso definidos previamente en la base de datos de usuarios.
El hecho de añadir de nuevo una temporización predeterminada permite introducir esas informaciones de identificación, evita igualmente la posibilidad de pruebas múltiples de diferentes combinaciones ejecutando por ejemplo un soporte lógico adecuado de piratería.
Esto puede igualmente ser realizado limitando el número de tentativas de entrada de informaciones.
Finalmente, la utilización de una red privada virtual se puede igualmente adicionar también a la seguridad.
En efecto, el operador telefónico puede colocar una red privada virtual con una numeración en base a un número de cifras diferente de aquel utilizado en el público.

Claims (3)

1. Sistema de conexión de un primer y un segundo equipos informáticos (1, 2) a través de una red (3) de telecomunicación, siendo asignado un número de teléfono a cada uno de esos equipos, ese sistema comprendiendo primeros medios (1) de llamada del segundo equipo, a los cuales es asignado un número de teléfono, y el segundo equipo (2) comprende medios (6,7) de recuperación del número de teléfono asignado a los primeros medios de llamada sin descolgar la línea, el segundo equipo comprendiendo además medios (6,8) de identificación de los primeros medios de llamada y de recuperación en una base de datos (8) de un número de teléfono pre-registrado en la misma y asignado al primer equipo (1) y segundos medios (6,7) de llamada del primer equipo por ese número a través de la red de telecomunicación, para permitir la conexión, caracterizado porque los primeros medios de llamada están formados por un equipo telefónico distinto del primer equipo (1) y conectado a la red telefónica (3).
2. Sistema según la reivindicación 1 caracterizado porque el primer y el segundo equipos (1,2) comprenden medios (4,5,6,7,8) de intercambio de informaciones de identificación del usuario del primer equipo (1).
3. Sistema según una cualquiera de las reivindicaciones precedentes caracterizado porque el primer equipo comprende un micro-ordenador (4) equipado con un módem (5) y el segundo equipo comprende un servidor de acceso distante (6) a un sistema de información (9), igualmente equipado con un
módem.
ES02291215T 2001-05-21 2002-05-16 Sistema de conexion de un primer y un segundo equipos informaticos a traves de una red de telecomunicacion. Expired - Lifetime ES2275818T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0106671A FR2824975B1 (fr) 2001-05-21 2001-05-21 Systeme de connexion de premier et second equipements informatiques travers un reseau de telecommunication
FR0106671 2001-05-21

Publications (1)

Publication Number Publication Date
ES2275818T3 true ES2275818T3 (es) 2007-06-16

Family

ID=8863496

Family Applications (1)

Application Number Title Priority Date Filing Date
ES02291215T Expired - Lifetime ES2275818T3 (es) 2001-05-21 2002-05-16 Sistema de conexion de un primer y un segundo equipos informaticos a traves de una red de telecomunicacion.

Country Status (5)

Country Link
US (1) US20020181676A1 (es)
EP (1) EP1261187B1 (es)
DE (1) DE60215716T2 (es)
ES (1) ES2275818T3 (es)
FR (1) FR2824975B1 (es)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO20084135A (no) * 2008-09-30 2009-10-12 Rosberg System As Dataenhet og fremgangsmåte for etablering av en nettforbindelse
US11627011B1 (en) 2020-11-04 2023-04-11 T-Mobile Innovations Llc Smart device network provisioning
US20220141221A1 (en) * 2020-11-05 2022-05-05 T-Mobile Innovations Llc Smart Computing Device Implementing Network Security and Data Arbitration
US11676591B1 (en) 2020-11-20 2023-06-13 T-Mobite Innovations Llc Smart computing device implementing artificial intelligence electronic assistant

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5301246A (en) * 1992-07-29 1994-04-05 At&T Bell Laboratories Data communications equipment security device using calling party directory number
FR2722016B1 (fr) * 1994-06-30 1997-03-28 Lege Jean Claude Dispositif pour conecteur un terminal d'interrogation avec un serveur de donnees confidentielles

Also Published As

Publication number Publication date
EP1261187A1 (fr) 2002-11-27
FR2824975A1 (fr) 2002-11-22
US20020181676A1 (en) 2002-12-05
FR2824975B1 (fr) 2003-10-31
DE60215716T2 (de) 2007-09-06
DE60215716D1 (de) 2006-12-14
EP1261187B1 (fr) 2006-11-02

Similar Documents

Publication Publication Date Title
ES2517865T3 (es) Métodos, aparatos y software para usar un testigo para calcular contraseña limitada en tiempo en teléfono celular
ES2319164T3 (es) Disposicion para autenticacion de un usuario y autorizacion de uso de un sistema seguro.
ES2373489T3 (es) Procedimiento y sistema para autenticar a un usuario mediante un dispositivo móvil.
ES2642441T3 (es) Procedimiento y sistema para autentificar a un usuario
JP5895252B2 (ja) 端末ユーザ識別情報モジュールを接続した通信端末を保護する方法
ES2387073T3 (es) Sistema y método de autenticación dinámica multifactor
ES2380320T3 (es) Procedimiento y sistema para la autenticación de un usuario de un sistema de procesado de datos
ES2350268T3 (es) Procedimiento de puesta a disposición confinada de un servicio electrónico.
BRPI0617970A2 (pt) método e disposição para autenticação segura
US8302175B2 (en) Method and system for electronic reauthentication of a communication party
CN101257489A (zh) 一种保护账号安全的方法
ES2288509T3 (es) Procedimiento para la verificacion de la autenticidad de la identidad de un usuario de servicios y dispositivo para la realizacion del procedimiento.
JP2009515403A (ja) 電気通信ネットワークにおけるユーザアカウントの遠隔有効化
KR20090031672A (ko) 무선 트랜잭션을 위한 인증 방법
US7690027B2 (en) Method for registering and enabling PKI functionalities
CN100353787C (zh) 一种移动终端内存储的资料信息的安全保障方法
US20210256102A1 (en) Remote biometric identification
ES2400166T3 (es) Protección de servicios en una red móvil contra la suplantación de CLI
ES2344108T3 (es) Metodo de proteccion de un certificado electronico.
ES2346141T3 (es) Terminal de telecomunicacion con dos espacios de ejecucion.
ES2275818T3 (es) Sistema de conexion de un primer y un segundo equipos informaticos a traves de una red de telecomunicacion.
ES2752973T3 (es) Método y sistema para acceso restringido a servicio
CN101262669A (zh) 一种移动终端内存储的资料信息的安全保障方法
ES2880573T3 (es) Método para verificar la integridad de un dispositivo electrónico, y el dispositivo electrónico correspondiente
ES2340916T3 (es) Procedimiento para verificar informacion de devolucion de llamadas telefonicas para devoluciones de llamadas telefonicas iniciadas a traves de internet.