ES2308087T3 - Gestion de enlaces de seguridad en redes dinamicas. - Google Patents
Gestion de enlaces de seguridad en redes dinamicas. Download PDFInfo
- Publication number
- ES2308087T3 ES2308087T3 ES04025103T ES04025103T ES2308087T3 ES 2308087 T3 ES2308087 T3 ES 2308087T3 ES 04025103 T ES04025103 T ES 04025103T ES 04025103 T ES04025103 T ES 04025103T ES 2308087 T3 ES2308087 T3 ES 2308087T3
- Authority
- ES
- Spain
- Prior art keywords
- user
- access
- computer
- machine
- mobile computing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Alarm Systems (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
Un procedimiento de utilización de una unidad informática móvil (305, 400) acoplada a un punto de acceso inalámbrico (315, 410) por medio de un enlace inalámbrico (310), estando el punto de acceso inalámbrico configurado para no transmitir tráfico de datos a una red cableada subyacente o a otro dispositivo informático móvil a partir de una conexión no autenticada, excepto para proporcionar una interacción con un servidor Radius (325, 415) para establecer una conexión autenticada, estando el punto de acceso inalámbrico acoplado al servidor Radius, actuando el punto de acceso inalámbrico como autenticador para proveer a la unidad informática móvil de un acceso privilegiado a un recurso informático, comprendiendo el procedimiento las etapas de: la detección de un intento fallido de un usuario de una unidad informática móvil para completar una conexión de acceso al recurso informático; y en respuesta a la detección de un intento fallido: la provisión (720) de una identidad de máquina singular en el punto de acceso inalámbrico que va a ser transmitido al servidor Radius; la recepción de un desafío suministrado por el servidor Radius desde el punto de acceso inalámbrico, solicitando el desafío la prueba de la identidad de la máquina singular; la obtención (525, 725, 835) de un certificado en el que conste el identificador de la máquina singular para facilitar la autentificación de una entidad de la unidad informática móvil; la provisión (730, 920) del certificado al punto de acceso inalámbrico para demostrar la identidad de la máquina singular; y la obtención (735, 925) de un acceso limitado al recurso informático por el punto de acceso inalámbrico, acceso limitado que es proporcional a la identidad autenticada de la unidad informática móvil.
Description
Gestión de enlaces de seguridad en redes
dinámicas.
La invención se refiere en general al campo de
la facilitación de enlaces vídeo/audio y datos en entornos de red e
informáticos dinámicos y, más concretamente, se refiere al
establecimiento y a la gestión de enlaces con características de
encriptación y seguridad en dichos entornos.
El fenomenal crecimiento del comercio
electrónico basado en la red se ha traducido en una multitud de
nuevas aplicaciones, incluyendo el albergue, la dirección y gestión
de enlaces y redes remotos. Estas aplicaciones permiten a los
usuarios interactuar entre sí en el curso de sus transacciones
comerciales o realizar el seguimiento de informaciones de interés
que utilizan enlaces de seguridad.
Los enlaces o conexiones de seguridad para la
obtención de un acceso seguro a un recurso informático típicamente
comporta uno o más entre tres problemas -autenticación, autorización
y contabilización ("AAA"). El término seguro, en consecuencia,
incluye la capacidad para autenticar a una parte y/o encriptar las
comunicaciones para impedir las escuchas por parte de receptores no
buscados o terceras partes. Una red segura está constituida por
comunicaciones a través de enlace seguros. Sin embargo, debe
entenderse que hay diversos niveles de autenticación y encriptación
que resultan disponibles y que pretenden incluirse dentro del
alcance de la invención. Una comunicación con un texto no cifrado
sin autenticación es una comunicación no segura aunque el contexto
dicte el umbral que debe utilizarse al decidir si una comunicación
es segura.
En un contexto comercial es importante
autenticar a un usuario, a continuación autorizar el acceso a los
recursos del usuario autenticado y contabilizar el uso de dichos
recursos. El "usuario itinerante" que la informática móvil
hizo posible, y en particular los enlaces inalámbricos convierte a
la AAA en un desafío constante. En este contexto los protocolos de
seguridad necesitan adaptar los enlaces inalámbricos y las
operaciones descentralizadas. Puede encontrarse una latencia
significativa en un acceso a la red sobre una Red de Area Personal
(PAN), una Red de Area Local (LAN) o una Red de Area Extensa (WAN).
Sin embargo, la naturaleza intrínsecamente transitoria de las
interacciones con unidades informáticas móviles requiere unas
conexiones de latencia bajas para proporcionar una experiencia
informática aceptable para los usuarios. En particular, los usuarios
deben ser capaces de establecer rápidamente conexiones con enlaces
seguros con independencia de si existe el punto de acceso dentro de
una intranet o un enlace dinámicamente establecido situado
internamente. Los usuarios novatos o los nuevos empleados deben
poder obtener al menos unos privilegios limitados para usar una red
segura. Persisten muchos problemas, como los anteriormente
esbozados a la hora de implementar unos enlaces seguros que utilicen
un control de acceso a la red avanzado y unos esquemas de
encriptación/autenticación o unas topologías de conferencia
flexible. Estos problemas presentan nuevos desafíos dentro del área
de los sistemas de servidores de red que soportan unas conexiones
en red inalámbricas.
El documento US 5,999,711 describe un
procedimiento y un sistema para suministrar certificados que
acreditan la información de autenticación y autorización de los
usuarios/máquinas.
El documento WO 99/66384 A2 describe un
procedimiento y un aparato para el acceso seguro autenticado a redes
informáticas.
El documento US 5,974,149 describe un sistema
integrado de control de acceso de seguridad a la red.
Constituye el objeto de la invención
proporcionar un procedimiento mejorado para suministrar una unidad
informática móvil con un acceso privilegiado a un recurso
informático, y un medio correspondiente legible por computadora,
que facilite la creación de una red informática para el
establecimiento de unos enlaces dinámicos seguros entre un cliente
y un dispositivo servidor en el curso de un establecimiento de unas
conexiones seguras a través de una gama más extensa de enlaces de
red.
Este objeto se resuelve por la invención de
acuerdo con las reivindicaciones independientes.
Determinadas formas de realización preferentes
se especifican en las reivindicaciones dependientes.
La invención descrita en la presente memoria da
respuesta a estos problemas y facilita la creación de una red
informática para el establecimiento de unos enlaces dinámicos
seguros entre un cliente y un dispositivo servidor en el curso del
establecimiento de unos enlaces seguros a través de una gama más
extensa de enlaces de red. En particular se describen unos
protocolos del lado del cliente para posibilitar el intercambio de
información para establecer una conexión segura. Así mismo, los
procedimientos y sistemas que incorpora la presente invención
establecen un protocolo de intercambio de claves dentro de un
entorno informático conectado inalámbrico. El intercambio de claves
se lleva a cabo mediante unas elecciones ponderadas de un protocolo
de autoimplicación extensible (EAP) y una seguridad de nivel de
transporte (TLS).
En la presente memoria se expone un
procedimiento para establecer y gestionar unas conexiones de
datos/audio/
vídeo con unos autenticación y autorización y unos intercambios de clave seguros. El procedimiento incluye la implementación de la TLS dentro del EAP. Una forma de realización de la invención posibilita que una máquina establezca unas conexiones seguras con privilegios limitados si un usuario de la máquina no proporciona una información de identificación de usuario satisfactoria. Este procedimiento permite una gestión flexible de una red que comprende máquinas y enlaces de red que difieren en sus capacidades y susceptibilidades de seguridad. Así mismo, la incapacidad del usuario para presentar la información de autenticación identificadora del usuario inicia un proceso de conexión de la máquina, relajando con ello las exigencias asociadas con un proceso de conexión típico y proporcionando un nivel básico de acceso cuando sea oportuno.
vídeo con unos autenticación y autorización y unos intercambios de clave seguros. El procedimiento incluye la implementación de la TLS dentro del EAP. Una forma de realización de la invención posibilita que una máquina establezca unas conexiones seguras con privilegios limitados si un usuario de la máquina no proporciona una información de identificación de usuario satisfactoria. Este procedimiento permite una gestión flexible de una red que comprende máquinas y enlaces de red que difieren en sus capacidades y susceptibilidades de seguridad. Así mismo, la incapacidad del usuario para presentar la información de autenticación identificadora del usuario inicia un proceso de conexión de la máquina, relajando con ello las exigencias asociadas con un proceso de conexión típico y proporcionando un nivel básico de acceso cuando sea oportuno.
Una forma de realización de la invención
posibilita que un usuario conectado a una red segura por medio de
un enlace no seguro obtenga solo un acceso limitado a la red segura
después de la autenticación. A un usuario conectado por medio de un
enlace no seguro se le garantiza un conjunto de privilegios más
limitados que el mismo usuario recibe cuando está conectado por
medio de un enlace seguro.
En una forma de realización de la invención, una
máquina establece un enlace seguro sin que un usuario se conecte.
En consecuencia, los servidores de misiones críticas son capaces de
permanecer en la red sin necesidad de que un usuario esté conectado
también. Y una conexión de usuario no perturba el acceso de
seguridad de la máquina.
Determinadas características y ventajas
adicionales de la invención se pondrán de manifiesto a partir de la
descripción detallada subsecuente de las formas de realización
ilustrativas, descripción que se efectúa con referencia a los
dibujos que se acompañan.
\vskip1.000000\baselineskip
Aunque las reivindicaciones adjuntas exponen las
características de la presente invención de forma específica, la
invención, junto con sus objetos y ventajas, puede ser comprendida
de forma óptima a partir de la descripción detallada subsecuente
tomada en combinación con los dibujos que se acompañan, de los
cuales:
La Figura 1 es un diagrama de bloques que
ilustra en términos generales un sistema informático ejemplar en
el cual se alberga la presente invención;
la Figura 2 es una ilustración del entorno
informático general dentro del cual funciona una forma de
realización de la invención;
la Figura 3 ilustra otro entorno informático
apropiado para enlaces inalámbricos entre un punto de acceso de una
red segura y una unidad informática móvil;
la Figura 4 ilustra un entorno informático que
da soporte a un acceso remoto mediante una unidad informática móvil
con autenticación por medio de un servidor Radius apoderado remoto
que es de confianza, o al menos conocido por la red segura a la que
se accede mediante la unidad informática móvil;
la Figura 5 es un diagrama de flujo que ilustra
las etapas para que un usuario de confianza tenga una identidad de
máquina para una máquina;
la Figura 6 es un diagrama de flujo que ilustra
las etapas para que una máquina de confianza se conecte junto con
el uso de un identificador de usuario por defecto para iniciar la
conexión, con la intervención del administrador del sistema,
mediante una máquina o usuario sin credenciales apropiadas;
la Figura 7 es una diagrama de flujo que resume
las etapas para la obtención de acceso a los recursos informáticos
dentro de una red segura que utiliza una identidad de máquina;
la Figura 8 es un diagrama de flujo que resume
las etapas para la utilización de un identificador de usuario por
defecto para invocar un administrador del sistema para posibilitar
que un usuario sin una información de autenticación satisfactoria
acceda a la red sin visitar físicamente una instalación
centralizada;
la Figura 9 es un diagrama de flujo que resume
un conjunto de etapas para que una unidad informática móvil remota
obtenga el acceso a una red segura por medio de un servidor Radius
apoderado; y
la Figura 10 es un diagrama de flujo que resume
un conjunto de etapas para la autenticación de un usuario remoto
que pretende acceder a determinados recursos de una red segura.
Volviendo a los dibujos, en los que las mismas
referencias numerales se refieren a los mismos elementos, la
invención se ilustra como implementada dentro de un entorno
informático apropiado. Aunque no se requiere, la invención se
describirá dentro del contexto general de instrucciones ejecutables
por computadora, como por ejemplo determinados módulos de programa,
que se ejecutan dentro de un entorno informático. En general, los
módulos de programa incluyen rutinas, programas, objetos,
componentes, estructuras de datos, etc. que llevan a cabo
determinadas tareas o implementan determinados tipos abstractos de
datos. Así mismo, los expertos en la materia apreciarán que la
invención puede llevarse a la práctica con otras configuraciones de
sistemas informáticos, incluyendo dispositivos portátiles, sistemas
multiprocesador, sistemas electrónicos programables por usuario o
basados en microprocesadores, PCs de red, minicomputadoras,
computadoras para grandes sistemas informáticos, y similares. La
invención puede también llevarse a la práctica en entornos
informáticos distribuidos donde las tareas se lleven a cabo por
dispositivos de procesamiento remotos que estén conectados mediante
una red de comunicaciones. En un entorno informático distribuido,
los módulos de programa pueden estar situados tanto en dispositivos
de almacenaje de memoria locales como remotos.
La Figura 1 ilustra un ejemplo de un entorno de
sistema informático 100 sobre el cual puede ser implementada la
invención. El entorno de sistema informático 100 es solo un ejemplo
de un entorno informático apropiado y no pretende sugerir
limitación alguna en cuanto al alcance del uso o funcionalidad de
la invención. Como tampoco debe el entorno informático 100 ser
interpretado en el sentido de que requiera cualquier dependencia o
condicionamiento relacionado con uno cualquiera o con una
combinación de los componentes ilustrados en el entorno operativo
ejemplar 100.
La invención puede resultar operativa con otros
muchos entornos o configuraciones de sistemas informáticos de
propósito general o específico. Ejemplos de sistemas, entornos, y
configuraciones informáticos sobradamente conocidos que pueden ser
apropiados para su uso en la invención incluyen, sin que ello
suponga limitación, computadoras personales, computadoras de
servidor, dispositivos de bolsillo o portátiles, sistemas de
microprocesador, sistemas a base de microprocesador,
descodificadores, sistemas electrónicos programables por usuario,
PCs de red, minicomputadoras, grandes computadoras, y entornos
informáticos distribuidos que incluyan cualquiera de los sistemas o
dispositivos anteriormente expuestos.
La invención puede ser descrita en el contexto
general de unas instrucciones ejecutables por computadora, como
por ejemplo unos módulos de programa, que son ejecutados por una
computadora. En general, los módulos de programa incluyen rutinas,
programas, objetos, componentes, estructuras de datos, etc., que
llevan a cabo tareas determinadas o implementan determinados tipos
abstractos de datos. La invención puede también llevarse a la
práctica en entornos informáticos distribuidos donde las tareas se
lleven a cabo por dispositivos de procesamiento remotos que estén
conectados mediante una red de comunicaciones. En un entorno
informático distribuido, los módulos de programas pueden ser
situados en medio de almacenaje informáticos tanto locales como
remotos incluyendo dispositivos de almacenaje de memoria.
Con referencia a la Figura 1, un sistema
ejemplar para la implementación de la invención incluye un
dispositivo informático de propósito general en forma de
computadora 110. Los componentes de la computadora 110 pueden
incluir, sin que ello suponga limitación, una unidad de
procesamiento 120, una memoria 130 del sistema, un bus 121 del
sistema que acople los diversos componentes del sistema incluyendo
la memoria del sistema a la unidad de procesamiento 120. El bus 121
del sistema puede ser cualquiera de los diversos tipos de
estructuras de bus que incluya un bus de memoria o un controlador
de memoria, un bus periférico y un bus local que utilice cualquiera
de las diversas estructuras de bus. A modo de ejemplo, y no de
limitación, dichas arquitecturas incluyen el bus de Industry
Standar Architecture (ISA), el bus de Micro Channel Architecture
(MCA), el bus local de Enhanced ISA (EISA), el bus de Video
Electronics Standard Association (VESA), y el bus de Peripheral
Componente Interconnect (PCI), también conocido como bus
Mezzanine.
La computadora 110 típicamente incluye una
diversidad de medios legibles por computadora. Los medios legibles
por computadora pueden ser cualquier medio disponible al que se
pueda acceder por la computadora 110 e incluyen tanto medios
volátiles como no volátiles, medios retirables como no retirables A
modo de ejemplo, y de no limitación, los medios legibles por
computadora pueden incluir medios de almacenaje por computadora y
medios de comunicaciones. Los medios de almacenaje por computadora
incluyen tanto medios volátiles como no volátiles, retirables como
no retirables implementados en cualquier procedimiento o tecnología
para el almacenaje de información, como por ejemplo instrucciones
legibles por computadora, estructuras de datos, módulos de programa
u otros datos. Los medios de almacenaje por computadora incluyen,
pero no se limitan a, una memoria de acceso aleatorio (RAM), una
memoria de solo lectura (ROM), una EEPROM, una memoria flash, u otra
tecnología de memoria, un CD-ROM, discos versátiles
digitales (DVD), u otro almacenaje de discos ópticos, u otros
dispositivos de almacenaje magnéticos, o cualquier otro medio que
pueda utilizarse para almacenar la información deseada y al que se
pueda acceder por la computadora 110. Los medios de comunicaciones
típicamente incorporan instrucciones legibles por computadora,
estructuras de datos, módulos de programa, u otros datos de una
señal de datos modulados, como por ejemplo una onda portadora, u
otro mecanismo de transporte e incluye cualquier medio de suministro
de información. El término "señal de datos modulados"
significa una señal que tiene una o más características fijadas o
modificadas de tal forma para codificar información en la señal. A
modo de ejemplo, y no de limitación, los medios de comunicaciones
incluyen redes por cables o medios inalámbricos, como por ejemplo,
medios acústicos de RF e infrarrojos y ópticos. Combinaciones de
cualquiera de los anteriores deben también quedar incluidos dentro
del alcance de los medios legibles por computadora.
La memoria 130 del sistema incluye unos medios
de almacenaje por computadora en forma de una memoria volátil o no
volátil, como por ejemplo una ROM 131 y una RAM 132. Un sistema
básico de entrada/salida (BIOS) 133 que contiene unas rutinas
básicas que ayudan a transferir información entre los elementos
situados entre la computadora 110 durante el inicio, está
almacenada típicamente en una ROM 131. Una RAM 132 típicamente
contiene unos datos y módulos de programa a los que se puede
inmediatamente acceder o que actualmente están siendo operados
mediante la unidad de procesamiento 120. A modo de ejemplo y no de
limitación, la Figura 1 ilustra un sistema operativo 134 unos
programas de aplicación 135, otros módulos de programa 136, y unos
datos de programa 137. A menudo, el sistema operativo 134 ofrece
servicios para unos programas de aplicaciones 135 por medio de una
o más interfaces de programación de aplicaciones (APIs) (no
mostradas). Debido a que el sistema operativo 134 incorpora estos
servicios, los que desarrollen los programas de aplicaciones 135 no
necesitan volver a desarrollar el código para usar los servicios.
En la técnica son bien conocidos determinados ejemplos de APIs
suministrados por sistemas operativos, como por ejemplo el
"WINDOWS" de Microsoft.
La computadora 110 puede también incluir otros
medios de almacenaje por computadora retirables/no retirables,
volátiles/no volátiles. A modo solo de ejemplo, la Figura 1 ilustra
una interfaz de disco duro 140 que lee a partir de y escribe sobre
unos medios no retirables, no volátiles magnéticos, una unidad de
disco magnético 151, que puede ser interna o externa, que lee a
partir de y escribe sobre un disco magnético retirable, no volátil
152, y una unidad de disco óptico 155 que lee a partir de y escribe
sobre un disco óptico retirable, no volátil 156, como por ejemplo
un CD ROM. Otros medios de almacenaje por computadora retirables/no
retirables, volátiles/no volátiles que pueden ser utilizados en el
entorno operativo ejemplar incluyen, pero no se limitan a,
cassettes de cintas magnéticas, tarjetas de memoria flash, DVDs.,
cintas vídeo digitales, RAM de estado sólido, y ROM de estado
sólido. La unidad de disco duro 141, la cual puede ser interna o
externa, está típicamente conectada al bus 121 del sistema mediante
una interfaz de memoria no retirable, como por ejemplo la interfaz
140, y la unidad de disco magnético 151 y la unidad de disco óptico
155 están típicamente conectadas al bus 121 del sistema mediante
una interfaz de memoria retirable, como por ejemplo la interfaz
150.
Las unidades de disco y sus medios de almacenaje
por computadora asociados anteriormente analizados e ilustrados en
la Figura 1 proporcionan el almacenaje de las instrucciones legibles
por computadora, estructuras de datos, módulos de programa y otros
datos destinados a la computadora 110. En la Figura 1, por ejemplo,
la unidad de disco duro 141 se ilustra almacenando un sistema
operativo 144, unos programas de aplicación 145, otros módulos de
programa 146, y datos de programa 147. Nótese que estos componentes
pueden ser o bien iguales o bien diferentes del sistema operativo
144, que los programas de aplicación 145, que otros módulos de
programa 136, y que datos de programa 137. Al sistema operativo
144, los programas de aplicación 145, otros módulos de programa
146, y los datos de programa 147 se les otorgan en la presente
memoria números diferentes para ilustrar que pueden ser copias
diferentes. Un usuario puede introducir comandos e información en la
computadora 110 mediante unos dispositivos de entrada, como por
ejemplo un teclado 162 y un dispositivo señalado 161, normalmente
designado como ratón, seguibola, o tableta táctil. Otros
dispositivos de entrada (no mostrados) pueden incluir un teléfono,
una palanca de mando, un mando para juegos, una antena parabólica, y
un escáner. Estos y otros dispositivos de entrada a menudo están
conectados a la unidad de procesamiento 120 mediante una interfaz
de entrada de usuario 160 que está acoplada al bus del sistema, pero
pueden estar conectados mediante otras estructuras de interfaz y
bus, como por ejemplo un puerto paralelo, un puerto de juegos, o un
bus serie universal (USB). Un monitor 191 u otro tipo de dispositivo
de visualización está también conectado al bus 121 del sistema por
medio de una interfaz, como por ejemplo una interfaz de vídeo 190.
Además del monitor, las computadoras pueden también incluir otros
dispositivos de salida periféricos, como por ejemplo los altavoces
197 y la impresora 196. Los cuales pueden estar conectados mediante
una interfaz periférica de salida 195.
La computadora 110 puede operar dentro de un
entorno de red utilizando enlaces lógicos con una o más computadoras
remotas, como por ejemplo una computadora remota 180. La
computadora remota 180 puede ser una computadora personal, un
servidor, un encaminador, un PC de red, un dispositivo homólogo, u
otro nodo de red común, y típicamente incluye muchos o todos de los
elementos anteriormente descritos con respecto a la computadora
110, aunque solamente se ha ilustrado en la Figura 1 un dispositivo
de almacenaje de memoria 181. Los enlaces lógicos mostrados en la
Figura 1 incluyen una red de área local (LAN) 171 y una red de área
extensa (WAN) 173, pero también pueden incluir otras redes. Dichos
entornos de conexiones en red son habituales en oficinas, redes de
computadoras de ámbito corporativo, intranet e Internet.
Cuando se utiliza en un entorno de conexión en
red LAN, la computadora 110 está conectada a la LAN 171 mediante
una interfaz de red o adaptador 170. Cuando se utiliza en un entorno
de conexión en red WAN, la computadora 110 típicamente incluye un
módem 172 u otro medio para establecer comunicaciones a través de la
WAN 173, como por ejemplo Internet. El módem 172, que puede ser
interno o externo, puede estar conectado al bus 121 del sistema por
medio de la interfaz de entrada de usuario 160, o por medio de otro
mecanismo apropiado. En un entorno de conexión en red, los módulos
de programa mostrados con relación a la computadora 110, o sus
partes, pueden ser almacenados en un dispositivo de almacenaje de
memoria remoto. A modo de ejemplo, y no de limitación, la Figura 1
ilustra unos programas de aplicación remotos 185 que residen en un
dispositivo de memoria 181, los cuales pueden ser internos o
externos con respecto a la computadora remota 180. Debe apreciarse
que los enlaces de red mostrados son ejemplares y que pueden
utilizarse otros medios de establecimiento de un enlace de
comunicaciones entre las computadoras.
En la descripción que sigue, se describirá la
invención con referencia a determinados actos o representaciones
simbólicas de operaciones que se llevan a cabo por una o más
computadoras, a menos que se indique lo contrario. En cuanto tales,
debe entenderse que dichos actos y operaciones, los cuales a veces
se designan como ejecutado por computadora incluyen la manipulación
por la unidad de procesamiento de la computadora de señales
eléctricas que representan datos en forma estructurada. Esta
manipulación transforma los datos o los mantiene en emplazamientos
del sistema de memoria de la computadora, la cual configura o de
cualquier forma altera el funcionamiento de la computadora de una
forma que los expertos en la materia comprenden. Las estructuras de
datos en las que los datos son mantenidos son emplazamientos
físicos de la memoria que tienen propiedades particulares definidas
por el formato de los datos. Sin embargo, aunque la invención se
está describiendo en el referido contexto, no se pretende que este
sea limitativo, en cuanto los expertos en la materia apreciarán que
varios de los actos y operaciones descritas en adelante pueden
también ser implementados en hardware.
En un esquema de autenticación/encriptación, el
primer obstáculo que debe superarse para el establecimiento de un
acceso o conexión a la red es la autenticación de las una o más
partes que utilizan el enlace. Esto generalmente se lleva a cabo
por medio de un certificado emitido por una fuente de confianza. En
el contexto de una conferencia segura, una parte que pretende
unirse a la conferencia segura tiene que probar su identidad
proclamada. En algunas formas de realización puede requerirse un
nodo de conferencia para comprobar su identidad. Un certificado
contiene información acerca de una parte que presenta el certificado
e incluye unas medidas de seguridad de forma que cualquier
alteración, incluyendo las efectuadas por la parte que presenta la
información, puede ser detectada.
El procedimiento básico puede ser comprendido
considerando el esquema de encriptación asimétrico de claves. En
este esquema se utilizan dos claves en el procedimiento de
encriptación/desencriptación, denominadas por razones de comodidad
la clave pública y la clave privada. La clave privada es mantenida
de forma segura, por ejemplo almacenada en un emplazamiento seguro
existente en la memoria de una computadora o en una tarjeta
inteligente. La clave pública se ofrece libremente. Las claves
pública y privada están matemáticamente relacionadas, pero no están
fácilmente computeizadas entre sí, en particular, el conocimiento de
la clave pública no permite la computación de la clave privada
dentro de un periodo de tiempo razonable. Así mismo, un mensaje
encriptado con una de las claves solo puede ser desencriptado con
la otra clave.
Un usuario que necesita autenticar su identidad
solicita de una autoridad de certificados de confianza (CA) que
emita un certificado acerca de su identidad. Esta solicitud es
preferentemente solicitada por la clave pública de la CA. Hay
muchas formas de conseguir este objetivo por ejemplo, incluyendo,
encriptando en primer lugar la identidad proclamada con la clave
privada del usuario y a continuación encriptando el mensaje junto
con una copia de la clave pública del potencial nuevo usuario
utilizando la clave pública de la CA. Esto asegura que la CA
conocerá qué clave pública utilizar en caso de una ulterior
desencriptación una vez que desencripte el mensaje con su propia
clave privada. Así mismo, una desencriptación satisfactoria del
mensaje segura a la CA que el mensaje se originó para el usuario
dado que tiene que ser codificada por la clave privada del usuario
para permitir la desencriptación mediante la clave pública del
usuario. Así, una CA, particularmente una que emitió la clave
privada del usuario, puede verificar una base de datos para
verificar la identidad reivindicada.
La CA encripta ahora la información acerca de la
entidad del usuario incluyendo la clave pública que se corresponde
con la clave privada utilizando su propia clave privada para
constituir el certificado de autenticación, posiblemente con una
firma digital. Una parte que pretende autenticar la identidad del
usuario desencripta el certificado con la clave pública de la CA.
Así, ventajosamente, el certificado provee a la parte que pretende
autenticar la identidad del usuario de la clave pública del
usuario.
Aunque el usuario puede leer la información
certificada por la CA, el usuario no puede alterar la información
sin ser detectada, puesto que el usuario no conoce la clave privada
de la CA. Así mismo, la CA puede unir una función de creación de
códigos de comprobación (función hash) del mensaje de forma
que un receptor puede obtener una confianza adicional de que el
entero mensaje es auténtico incluso si se recibe por pequeñas
partes. Una función hash unidireccional a menudo se escoge
porque la alteración del mensaje mientras se retiene el mismo
resultado de la función hash es una empresa considerablemente
difícil que atestigua aún más la autenticidad del mensaje unido. En
otras palabras, los mensajes encriptados pueden ser leídos por mucha
gente dado que la clave de descodificación es una clave pública,
pero no pueden ser alterados sin que se indique el estado alterado.
Así mismo, dicho certificado de autenticación y las claves asociadas
pueden ser proporcionados con una vida de uso limitada lo que hace
difíciles la manipulación y la ingeniería inversa.
Detalles adicionales del intercambio de claves
de las solicitudes de autenticación y autorización para posibilitar
unas comunicaciones cliente - servidor seguras se describen en el
"Libro Blanco de la Seguridad IEEE 802.11",
"Escenarios Soportados IEEE 802.1X" ["IEEE 802.11
Security White Paper", "IEEE 802.1X Supported
Scenarios"] y "Arquitectura de Seguridad
Bluetooth" Versión 1.0 ["Bluetooth Security
Architecture Version 1.0"].
La Figura 2 ilustra un entorno informático
ejemplar 200 que tiene un conjunto de enlaces dinámicos, un conjunto
de enlaces estáticos y una pluralidad de dispositivos. El entorno
informático 200 incluye una intranet 205 conectada a un encaminador
210, el cual, a su vez, conecta con Internet 215. Al menos una
unidad informática móvil 220 conecta con Internet 215 por medio de
un enlace dinámico 225. Como una alternativa, la unidad informática
móvil 215 puede conectarse a la intranet 205 utilizando el enlace
230, cuya presencia no excluye el enlace 225. La unidad informática
móvil 220 no necesita ser una computadora, sino que en su lugar
puede ser cualquier dispositivo informático móvil, como por ejemplo
un dispositivo celular susceptible de transmitir comunicaciones, o
un contenido audio/vídeo que provea al dispositivo de acceso a un
contenido on line y similares. La pluralidad de dispositivos
existentes en el entorno informático 200 incluye una estación de
trabajo 235, un servidor 240 y una impresora 245 controlada por el
servidor 240. Los enlaces estáticos se refieren a las conexiones
que definen la intranet 205, mientras que los enlace dinámicos se
refieren a las conexiones que muestran una gran probabilidad de
fallo, como por ejemplo el enlace 225 o el enlace 230 entre la
unidad informática móvil, e Internet 215 o la intranet 205,
respectivamente.
El aseguramiento de una seguridad de enlace
estático es más fácil que la provisión de un enlace dinámico seguro.
La seguridad de los enlaces dinámicos es más difícil de implementar
debido a la naturaleza transitoria del enlace dinámico y a las
mayores restricciones de latencia y anchura de banda de dichos
enlaces. Así mismo, debido a la naturaleza móvil de los
dispositivos informáticos portátiles, como por ejemplo la unidad
informática 220, se requiere una protección contra un acceso a la
red no autorizado.
Una estrategia de extensión de unos enlaces
seguros hasta los usuarios de confianza y hasta las máquinas de
confianza relacionadas mediante relaciones de confianza transitivas
consigue un entorno informático seguro sin la necesidad de
gestionar centralizadamente todas las relaciones seguras. Unas
relaciones de confianza explícitas posibilitan que sean localizadas
las rupturas de la seguridad. Así mismo, las relaciones de confianza
explícitas facilitan procedimientos de autenticación gestionables
reteniendo al tiempo una latencia baja en el establecimiento de
conexiones seguras.
El acceso restringido a los usuarios de
confianza y a las máquinas de confianza en los que las máquinas
pueden ser implementadas en software o hardware, es ventajoso dado
que permite que solo las máquinas de confianza accedan a la red sin
que un usuario autenticado acceda a la red posibilitando al tiempo
que los usuarios de confianza utilicen cualquier máquina para
acceder a la red. Mediante esta estrategia se impide que los
usuarios y las máquinas sin una autenticación aceptable adquieran
un acceso no autorizado. Por otro lado, la permisión de una
autenticación basada en la máquina posibilita una máquina con
credenciales válidas unos niveles estándar de acceso a un usuario
con credenciales válidas. Un usuario sin credenciales válidas
obtiene un acceso autorizado limitado en una máquina sin
credenciales válidas. Dicho acceso permite a usuarios no
autenticados un nivel básico de acceso. Dichos usuarios pueden ser
visitantes, empleados nuevos o antiguos y similares que necesitan
un cierto acceso a una red segura. Los usuarios de confianza pueden
acceder a los recursos de la red por medio de máquinas de confianza
o no de confianza conectadas a la red.
La provisión de una forma limitada de acceso
para nuevos usuarios o usuarios que han colocado erróneamente unas
contraseñas o que de alguna otra forma han fracasado a la hora de
conectarse correctamente hace que su experiencia informática sea
más suave y menos intimidadora. De modo similar, la posibilidad de
un acceso suficiente que permita que los nuevos usuarios y
empleados interactúen directamente con un administrador del sistema
descentraliza el procedimiento de añadir y eliminar usuarios
reteniendo al tiempo un control centralizado. La descentralización
existe en el sentido de que los nuevos empleados no necesitan
físicamente dirigirse a un emplazamiento central para recibir
autorización para acceder a recursos informáticos restringidos. Los
límites de acceso situados en los usuarios no autenticados están
personalizados para evitar comprometer la seguridad de los recursos
de la red. Con este fin el mismo usuario tiene diferentes
autorizaciones para reflejar mejor los riesgos de seguridad
relativos asociados con las circunstancias bajo las cuales el
usuario se conecta. Por ejemplo, un usuario que acceda a unos
recursos informáticos desde un sitio remoto puede tener unos
privilegios más limitados que un usuario que utilice una máquina
dentro de un edificio que alberga la intranet 205 o que un usuario
que utilice una máquina de confianza. Así, el procedimiento y el
sistema divulgados permiten que usuarios con unidades informáticas
móviles accedan a un entorno informático con niveles de acceso
diversos, esto es, autorización, dependiendo de la identidad de la
unidad informática móvil y/o del contexto bajo el cual se solicita
el acceso.
La Figura 3 ilustra un entorno informático 300
apropiado para dar soporte a unos enlaces inalámbricos. Una unidad
informática móvil 305 puede asociarse con el entorno informático 300
por medio de un enlace 310 que tenga un punto de acceso 315. El
punto de acceso 315 sirve como autenticador de la unidad informática
móvil 305 para garantizar el acceso a recursos informáticos del
entorno informático 300. El punto de acceso 315 reenvía las
identidades y certificados verificados para autenticar las
identidades verificadas recibidas desde la unidad informática móvil
305 hasta un servidor 325 de Servicio de Usuario de Llamada Entrante
de Autenticación Remota [Remote Authentication
Dial-In User Service] ("Radius") 325. El
servidor Radius 325 reenvía las solicitudes relativas a la
identidad y a la prueba de identidad hasta el punto de acceso 315
para su reenvío ulterior hasta la unidad informática móvil 305 para
evitar cualquier comunicación directa entre el servidor Radius 325
del radio y una unidad informática móvil no autenticada 305.
La Figura 4 ilustra una unidad informática móvil
400 que intenta acceder a una intranet 405 desde un sitio remoto.
La unidad informática móvil 400 se asocia con un punto de acceso
remoto 410, el cual actúa como autenticador y utiliza un servidor
Radius apoderado 415 para autenticar la unidad informática móvil
400. Después de la autenticación satisfactoria el punto de acceso
410 reenvía los paquetes dirigidos a la red hasta un conmutador
VLAN 420. El conmutador VLAN 420 consulta un servidor de registro y
enrolamiento 430 para determinar si se permite a la unidad
informática móvil 400 acceder a distancia a la VLAN 425 conectada a
la intranet 405. En el caso de una unidad informática móvil 400
debidamente registrada, las comunicaciones dirigidas a la VLAN 425
o a un servidor 435 conectado por medio de la intranet 405, son
apropiadamente reenviadas. Si la autenticación fracasa entonces los
paquetes son bloqueados impidiendo su ulterior propagación hasta la
VLAN 425 o el servidor 435.
De acuerdo con la invención hay dos posibles
estados de conexión para un usuario y una máquina, respectivamente:
un usuario con credenciales válidas; un usuario sin credenciales
válidas; una máquina con credenciales válidas; y una máquina sin
credenciales válidas. Los estados de conexión de la máquina y el
usuario conjuntamente generan cuatro posibles estados de conexión.
La invención incluye unas formas de realización que muestran una
preferencia por uno de los posibles estados de conexión respecto de
otro de los posibles estados de conexión.
En una forma de realización de la invención, si
un usuario no puede proporcionar una identidad autenticada, la
máquina utilizada por el usuario puede suministrar una identidad
para posibilitar que un procedimiento de inicio de sesión basado en
una máquina proporcione un acceso limitado. La Figura 5, la cual no
debe considerarse como limitativa de las variantes de las etapas,
ilustra un posible conjunto de etapas ilustra un posible conjunto
de etapas para posibilitar que una máquina de confianza inicie la
sesión utilizando la identidad de su máquina. Con este fin, un
usuario de confianza establece inicialmente el estado de confianza
de la máquina. La etapa 500 de la Figura 5 muestra un usuario de
confianza que solicita una identidad de la máquina para la máquina
que está siendo utilizada por el usuario. El servidor de red, por
ejemplo, un controlador de dominios, determina si el usuario es de
confianza durante la etapa 505 y está autorizado en la etapa 510
para efectuar dicha solicitud. Si el usuario está autorizado para
efectuar la solicitud entonces el servidor de red proporciona una
identificación de máquina singular (etapa 515). En otro caso, en la
etapa 520 el servidor de red rehúsa la solicitud. En la etapa 525
el servidor de red solicita una CA para proporcionar un certificado
que pruebe la identidad de la máquina y durante la etapa 315
reenvía el certificado hasta la máquina. En la etapa 535 el
identificador y el certificado de la máquina son ventajosamente
almacenados en la máquina para su uso subsecuente.
En la Figura 6, la autenticación de la máquina y
la autenticación del usuario son ejecutadas o bien con el uso de
credenciales o con el uso de un identificador de usuario por defecto
para posibilitar la intervención del administrador del sistema de
la máquina o la autenticación de usuario. La etapa 600 incluye una
solicitud para acceder a la red. Si los credenciales de la máquina
están disponibles entonces el control pasa desde la etapa 605 a la
etapa 610 y la máquina autentica. Aunque en este ejemplo el usuario
no puede también autenticar en la misma máquina esto no debe
interpretarse como una limitación.
La etapa 610 es particularmente útil para
iniciar a servidores en una red sin requerir que un usuario sea
conectado al mismo tiempo. Así mismo algunas de dichas máquinas
situadas en emplazamientos privilegiados pueden incluso no
proporcionar una interfaz de usuario. Si la máquina fracasa en la
autenticación el control se transfiere hasta la etapa 615. Por otro
lado, si la máquina no presenta credenciales entonces el control se
transfiere hasta la etapa 620 desde la etapa 605. La etapa 620
incluye la máquina que utiliza un identificador de usuario por
defecto para iniciar la autenticación de la máquina, que se
consigue en la etapa 625 o fracasa en la etapa 630. El control
desde las etapas 620, 625 y 630 pasa a la etapa 635. La etapa 635
incluye instrucciones para iniciar el inicio de sesión del usuario.
Si las credenciales de usuario están disponibles entonces el
usuario hace que el control se transfiera a la etapa 645 para
indicar la satisfactoria autenticación del usuario y la terminación
del procedimiento. Por otro lado, si las credenciales de usuario son
inaceptables entonces la autenticación de usuario fracasa en la
etapa 650 seguida por la terminación del procedimiento. En el caso
de que las credenciales de usuario no estén disponibles en la etapa
640, el usuario hace que el control sea transferido a la etapa 655
mediante el uso satisfactorio de identificador de usuario por
defecto. El fracaso en la autenticación que utiliza el
identificador de usuario por defecto determina que el control pase a
la etapa 660 y la finalización en último término del procedimiento
de autenticación.
Una forma de realización ejemplar dentro de un
entorno compatible del Protocolo de Autenticación Extensible
("EAP") incluye un mensaje de inicio del EAP. Por supuesto, en
otros entornos podrían emplearse otros mensajes de inicio, por
ejemplo, con vistas a reducir el número total de mensajes empleados
para llevar a cabo las transacciones iniciales. Una forma de
realización de un procedimiento de autenticación en una máquina de
confianza se ilustra en la Figura 7. Durante la etapa 700 un
usuario emite un mensaje de inicio para expresar su interés en
acceder a un entorno informático. Un punto de acceso inalámbrico
recibe un mensaje de inicio para establecer un enlace inalámbrico.
El punto de acceso inalámbrico está configurado para no reenviar un
tráfico de datos ya sea a la red cableada subyacente o a otro
dispositivo informático móvil inalámbrico desde una conexión no
autenticada. El punto de acceso que actúa como autenticador
proporciona una interacción limitada para autenticar al solicitante
antes de establecer un enlace apropiado. Con este fin, en la etapa
705 el punto de acceso solicita la identidad del solicitante para
iniciar el procedimiento de autenticación si falta dicha identidad,
por ejemplo, en el mensaje inicial. En respuesta a esta solicitud,
en la etapa 710 el solicitante proporciona una identidad
autenticable si hay una disponible. Esta determinación consiste en
un periodo de tiempo de espera. Como una alternativa, el
solicitante explícitamente indica la incapacidad para proporcionar
la identidad requerida.
Si la identidad requerida está disponible,
entonces los procedimientos de autenticación estándar se llevan a
cabo en la etapa 715. En el procedimiento estándar el punto de
acceso envía la identidad verificada hasta un servidor Radius. El
servidor Radius transmite un desafío al punto de acceso, el cual a
su vez lo reenvía a la unidad informática móvil. La unidad
informática móvil y el servidor Radius no pueden directamente
comunicar entre sí para mantener la seguridad de los recursos de la
red. Sin embargo, si no se proporciona una identidad válida
entonces la máquina de confianza proporciona una identidad de la
máquina en la etapa 720. El punto de acceso reenvía la identidad de
la máquina de confianza hasta el servidor Radius, el cual, a su vez,
suministra un desafío que va a ser reenviado hasta el punto de
acceso hasta la unidad informática móvil.
\newpage
Durante la etapa 725, el punto de acceso desafía
la identidad verificada solicitando la prueba de la identidad
verificada de acuerdo con el desafío suministrado por el servidor
Radius. La unidad informática móvil presenta un certificado al
punto de acceso para probar la identidad de la máquina verificada en
la etapa 730. En la etapa 735 el punto de acceso proporciona un
acceso limitado proporcionado con la identidad de la máquina
verificada y autenticada si el certificado es válido.
La Figura 8 ilustra un procedimiento para la
utilización de una identidad de usuario por defecto para invocar la
intervención por un administrador del sistema. Este procedimiento es
útil para la autenticación y enrolamiento de nuevos usuarios sin la
necesidad de que físicamente accedan a una instalación centralizada.
Después de un mensaje de inicio para solicitar acceso a un entorno
informático durante la etapa 800, se efectúa una solicitud para una
verificación de una identidad durante la etapa 805. El usuario
proporciona una identificación de usuario por defecto, la cual
puede ser una cadena en blanco, en la etapa 820. En respuesta a la
recepción del identificador de usuario por defecto el sistema no
deniega todo acceso al usuario y en su lugar invoca a un
administrador del sistema quien decide si permitir el acceso al
usuario hasta el entorno informático y el nivel de autorización en
la etapa 825. Si el administrador del sistema verifica la identidad
del usuario, esto es, autentica al usuario, entonces el controlador
de dominio permite que el usuario se conecte en la etapa 830. El
controlador de dominio a continuación obtiene un certificado que
prueba la identidad del usuario durante la etapa 835. Después del
acceso a los recursos informáticos utiliza el certificado para
demostrar la identidad del usuario sin necesidad de invocar al
administrador del sistema.
La Figura 9 ilustra un procedimiento ejemplar
para suministrar un acceso limitado a un usuario situado en un
sitio remoto y no seguro, el cual puede ser definido como el sitio
que requiere el uso de una o más máquinas cuya identidad es
desconocida, o un emplazamiento físico que esté fuera de la
intranet. En un escenario de este tipo es ventajoso proporcionar un
acceso limitado que no refleje todos los privilegios que el usuario
concreto pudiera ostentar en el caso de operar a partir de un sitio
o máquina seguro. En la etapa 900 se efectúa una solicitud de
acceso a un punto de acceso remoto por medio de un servidor
apoderado seguido por la solicitud habitual de inserción de una
identidad en la etapa 905. La provisión de una identidad, la cual
puede ser una identidad de usuario o de máquina, durante la etapa
910 produce un desafío durante la etapa 915 para demostrar la
identidad afirmada. La etapa 920 incluye que el solicitante
demuestre la identidad afirmada mediante la presentación de un
certificado procedente de una autoridad certificada de confianza. El
servidor apoderado Radius reenvía las transacciones relevantes y el
servidor Radius encargado de la vigilancia de la seguridad
suministra un Localizador de Recursos Universal ("URL") al
usuario, en efecto una dirección de puerto, para posibilitar el
acceso al entorno informático en la etapa 925. Este URL típicamente
proporciona un menor grado de acceso a los recursos de red por el
usuario que el usuario recibiría por medio de un punto de acceso en
la red.
La Figura 10 resume las etapas en otra forma de
realización de la invención para el acceso remoto hasta un recurso
informático seguro. La etapa 1000 incluye una solicitud por parte de
un usuario remoto para acceder a un recurso dentro de un entorno
informático seguro. Esta solicitud puede efectuarse en un punto de
acceso de otra red y a través de Internet. Un servidor Radius
gestiona la solicitud y proporciona un URL en la etapa 1005 para
permitir que el solicitante se autentique en el sitio distante. Esta
conexión es probable que sea una conexión segura, como se indica en
la etapa 1010, y puede utilizar una SSI y otras tecnologías
similares para autenticar al solicitante. Así mismo, la página web
utilizada para la autenticación puede también solicitar y aceptar
información con fines de contabilidad. Dicha información incluye los
números de las tarjetas de crédito, el tiempo y la naturaleza de
los recursos solicitados y similares. En la etapa 1015 se efectúa
una determinación acerca de si los servicios solicitados están
disponibles. Si los servicios están disponibles y se lleva a cabo
la autenticación de forma satisfactoria, entonces en la etapa 1020
se proporciona la autorización para acceder a los recursos
solicitados seguido de la finalización del procedimiento. Por otro
lado, si los recursos solicitados no están disponibles entonces el
control pasa de la etapa 1015 a la etapa 1030 para informar al
solicitante que el recurso o acceso no está disponible seguido por
la terminación en la etapa 1025.
Los procedimientos anteriormente descritos
posibilitan una gestión automática de una pluralidad de usuarios,
algunos de los cuales tienen unidades informáticas móviles, dentro
de una red que presenta unos enlaces dinámicos que permiten la
autenticación tanto en base a la máquina como al usuario combinada
con diversos niveles de autorizaciones que reflejan los riesgos de
seguridad relativos para los diferentes usuarios y enlaces.
El enlace seguro establecido mediante los
procedimientos descritos en la presente memoria incluye la
encriptación. La encriptación se posibilita mediante el intercambio
de al menos una clave y la generación de claves adicionales por el
punto de acceso y la unidad informática móvil para conseguir que las
comunicaciones sean seguras. Estas claves pueden ser simétricas o
asimétricas. Dicha encriptación incluye frecuentes cambios de clave
para mejorar la seguridad. Así mismo, en el caso de que se rompa el
enlace seguro y entonces se restablezca un nuevo punto de acceso,
el cual está conectado al punto de acceso anteriormente utilizado,
la unidad informática móvil simplemente presenta la identidad del
punto de acceso anteriormente utilizado y asegura su identidad. El
nuevo punto de acceso confirma la autenticación anterior de la
unidad informática móvil y posibilita el acceso sin necesidad de
volver a autenticar la unidad informática móvil. Esta estrategia,
combinada con un tiempo de espera, permite una mejor experiencia
informática mediante la reducción de la latencia debida al tiempo
invertido en la autenticación de una nueva unidad móvil.
A la vista de las muchas posibles formas de
realización a las cuales pueden aplicarse los principios de la
presente invención, debe advertirse que la forma de realización
descrita en la presente memoria con relación a las figuras de los
dibujos pretende ser únicamente ilustrativa y no debe considerarse
como limitativa del alcance de la invención. Por ejemplo, los
expertos en la materia advertirán que los elementos de la forma de
realización ilustrada mostrados en software pueden ser implementados
en hardware o viceversa o que la forma de realización ilustrada
puede ser modificada en cuanto a disposición y detalle. Por
consiguiente, la invención tal como se describe en la presente
memoria, contempla todas estas formas de realización en cuanto se
incluyen en el alcance de las reivindicaciones adjuntas.
Claims (9)
1. Un procedimiento de utilización de una unidad
informática móvil (305, 400) acoplada a un punto de acceso
inalámbrico (315, 410) por medio de un enlace inalámbrico (310),
estando el punto de acceso inalámbrico configurado para no
transmitir tráfico de datos a una red cableada subyacente o a otro
dispositivo informático móvil a partir de una conexión no
autenticada, excepto para proporcionar una interacción con un
servidor Radius (325, 415) para establecer una conexión
autenticada, estando el punto de acceso inalámbrico acoplado al
servidor Radius, actuando el punto de acceso inalámbrico como
autenticador para proveer a la unidad informática móvil de un
acceso privilegiado a un recurso informático, comprendiendo el
procedimiento las etapas de:
- la detección de un intento fallido de un usuario de una unidad informática móvil para completar una conexión de acceso al recurso informático; y en respuesta a la detección de un intento fallido:
- la provisión (720) de una identidad de máquina singular en el punto de acceso inalámbrico que va a ser transmitido al servidor Radius;
- la recepción de un desafío suministrado por el servidor Radius desde el punto de acceso inalámbrico, solicitando el desafío la prueba de la identidad de la máquina singular;
- la obtención (525, 725, 835) de un certificado en el que conste el identificador de la máquina singular para facilitar la autentificación de una entidad de la unidad informática móvil;
- la provisión (730, 920) del certificado al punto de acceso inalámbrico para demostrar la identidad de la máquina singular; y
- la obtención (735, 925) de un acceso limitado al recurso informático por el punto de acceso inalámbrico, acceso limitado que es proporcional a la identidad autenticada de la unidad informática móvil.
2. El procedimiento de la reivindicación 1 en el
que la unidad informática móvil comunica con el recurso informático
que utiliza el enlace inalámbrico.
3. El procedimiento de la reivindicación 1 que
comprende también la determinación de que la unidad informática
móvil no tiene un certificado que demuestre la identidad de la
máquina y, en respuesta, la ejecución de la etapa de obtención.
4. El procedimiento de la reivindicación 1 que
comprende también la etapa de almacenaje del identificador de la
máquina singular en la unidad informática móvil para su uso
subsecuente.
5. El procedimiento de la reivindicación 1 que
comprende también la etapa de almacenaje del certificado en la
unidad informática móvil.
6. El procedimiento de la reivindicación 1 que
comprende también la etapa de recepción del identificador de la
máquina singular
7. El procedimiento de la reivindicación 1 que
comprende también las etapas de obtención por un controlador de
dominio, la obtención del certificado por una autoridad de
certificación; y la recepción del certificado del controlador de
dominio.
8. El procedimiento de la reivindicación 7 en el
que el certificado se obtiene por el controlador de dominio en
respuesta a la solicitud de un usuario, utilizando el usuario la
unidad informática móvil para acceder al recurso informático.
9. Un medio legible por computadora que tiene
unas instrucciones ejecutables por computadora para llevar a cabo
las etapas del procedimiento de una de las reivindicaciones 1 a
8.
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US55794500A | 2000-04-24 | 2000-04-24 | |
| US557945 | 2000-04-24 | ||
| US09/694,514 US7257836B1 (en) | 2000-04-24 | 2000-10-23 | Security link management in dynamic networks |
| US694514 | 2000-10-23 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2308087T3 true ES2308087T3 (es) | 2008-12-01 |
Family
ID=27071571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES04025103T Expired - Lifetime ES2308087T3 (es) | 2000-04-24 | 2001-02-23 | Gestion de enlaces de seguridad en redes dinamicas. |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US7257836B1 (es) |
| EP (4) | EP1277099A2 (es) |
| JP (2) | JP4917233B2 (es) |
| CN (1) | CN100580610C (es) |
| AT (1) | ATE400015T1 (es) |
| AU (2) | AU2001243262A1 (es) |
| BR (1) | BR0110332A (es) |
| CA (1) | CA2407482C (es) |
| DE (1) | DE60134678D1 (es) |
| ES (1) | ES2308087T3 (es) |
| HK (2) | HK1052996A1 (es) |
| MX (1) | MXPA02010499A (es) |
| RU (1) | RU2297037C2 (es) |
| WO (2) | WO2001082037A2 (es) |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1998053637A1 (en) * | 1997-05-21 | 1998-11-26 | E.S.P. Communications, Inc. | System, method and apparatus for 'caller only' initiated two-way wireless communication with caller generated billing |
| US20020026584A1 (en) * | 2000-06-05 | 2002-02-28 | Janez Skubic | Method for signing documents using a PC and a personal terminal device |
| US7218739B2 (en) | 2001-03-09 | 2007-05-15 | Microsoft Corporation | Multiple user authentication for online console-based gaming |
| FR2826536B1 (fr) * | 2001-06-20 | 2004-01-23 | Gemplus Card Int | Procede de communication radiofrequence securisee |
| FI114953B (fi) * | 2001-09-28 | 2005-01-31 | Nokia Corp | Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite |
| US7203835B2 (en) * | 2001-11-13 | 2007-04-10 | Microsoft Corporation | Architecture for manufacturing authenticatable gaming systems |
| US7730321B2 (en) * | 2003-05-09 | 2010-06-01 | Emc Corporation | System and method for authentication of users and communications received from computer systems |
| US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
| US7272714B2 (en) | 2002-05-31 | 2007-09-18 | International Business Machines Corporation | Method, apparatus, and program for automated trust zone partitioning |
| CN1191696C (zh) * | 2002-11-06 | 2005-03-02 | 西安西电捷通无线网络通信有限公司 | 一种无线局域网移动设备安全接入及数据保密通信的方法 |
| JP2006523412A (ja) * | 2003-03-14 | 2006-10-12 | トムソン ライセンシング | 公共のホット・スポットにおけるクライアント端末の自動設定 |
| US7454615B2 (en) * | 2003-05-08 | 2008-11-18 | At&T Intellectual Property I, L.P. | Centralized authentication system |
| US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
| US7457953B2 (en) | 2003-12-18 | 2008-11-25 | Intel Corporation | Method and apparatus to provide secure communication |
| US7549048B2 (en) * | 2004-03-19 | 2009-06-16 | Microsoft Corporation | Efficient and secure authentication of computing systems |
| US20060068757A1 (en) * | 2004-09-30 | 2006-03-30 | Sukumar Thirunarayanan | Method, apparatus and system for maintaining a persistent wireless network connection |
| CN1801705B (zh) * | 2005-01-07 | 2011-01-05 | 华为技术有限公司 | 一种预认证方法 |
| US7598855B2 (en) | 2005-02-01 | 2009-10-06 | Location Based Technologies, Inc. | Apparatus and method for locating individuals and objects using tracking devices |
| US7640430B2 (en) | 2005-04-04 | 2009-12-29 | Cisco Technology, Inc. | System and method for achieving machine authentication without maintaining additional credentials |
| US7958368B2 (en) | 2006-07-14 | 2011-06-07 | Microsoft Corporation | Password-authenticated groups |
| US8948395B2 (en) | 2006-08-24 | 2015-02-03 | Qualcomm Incorporated | Systems and methods for key management for wireless communications systems |
| US8578159B2 (en) | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
| US8200191B1 (en) * | 2007-02-08 | 2012-06-12 | Clearwire IP Holdings | Treatment of devices that fail authentication |
| US8307411B2 (en) | 2007-02-09 | 2012-11-06 | Microsoft Corporation | Generic framework for EAP |
| US8201231B2 (en) | 2007-02-21 | 2012-06-12 | Microsoft Corporation | Authenticated credential-based multi-tenant access to a service |
| US9111189B2 (en) | 2007-10-31 | 2015-08-18 | Location Based Technologies, Inc. | Apparatus and method for manufacturing an electronic package |
| US8774827B2 (en) | 2007-04-05 | 2014-07-08 | Location Based Technologies, Inc. | Apparatus and method for generating position fix of a tracking device in accordance with a subscriber service usage profile to conserve tracking device power |
| US8497774B2 (en) | 2007-04-05 | 2013-07-30 | Location Based Technologies Inc. | Apparatus and method for adjusting refresh rate of location coordinates of a tracking device |
| US8244468B2 (en) | 2007-11-06 | 2012-08-14 | Location Based Technology Inc. | System and method for creating and managing a personalized web interface for monitoring location information on individuals and objects using tracking devices |
| US8102256B2 (en) | 2008-01-06 | 2012-01-24 | Location Based Technologies Inc. | Apparatus and method for determining location and tracking coordinates of a tracking device |
| US8224355B2 (en) | 2007-11-06 | 2012-07-17 | Location Based Technologies Inc. | System and method for improved communication bandwidth utilization when monitoring location information |
| US10091648B2 (en) | 2007-04-26 | 2018-10-02 | Qualcomm Incorporated | Method and apparatus for new key derivation upon handoff in wireless networks |
| CZ306790B6 (cs) * | 2007-10-12 | 2017-07-07 | Aducid S.R.O. | Způsob navazování chráněné elektronické komunikace mezi různými elektronickými prostředky, zejména mezi elektronickými prostředky poskytovatelů elektronických služeb a elektronickými prostředky uživatelů elektronických služeb |
| US8654974B2 (en) | 2007-10-18 | 2014-02-18 | Location Based Technologies, Inc. | Apparatus and method to provide secure communication over an insecure communication channel for location information using tracking devices |
| CN100553212C (zh) * | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
| JP4394730B1 (ja) * | 2008-06-27 | 2010-01-06 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法及び移動局 |
| JP4390842B1 (ja) * | 2008-08-15 | 2009-12-24 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法、無線基地局及び移動局 |
| KR101657705B1 (ko) * | 2008-10-06 | 2016-09-19 | 코닌클리케 필립스 엔.브이. | 네트워크를 운영하기 위한 방법, 시스템 관리 디바이스, 네트워크 및 이를 위한 컴퓨터 프로그램 |
| US9112863B2 (en) * | 2009-12-14 | 2015-08-18 | International Business Machines Corporation | Method, program product and server for controlling a resource access to an electronic resource stored within a protected data environment |
| CN102196436B (zh) * | 2010-03-11 | 2014-12-17 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| US9443078B2 (en) | 2010-04-20 | 2016-09-13 | International Business Machines Corporation | Secure access to a virtual machine |
| US8462955B2 (en) * | 2010-06-03 | 2013-06-11 | Microsoft Corporation | Key protectors based on online keys |
| US8910259B2 (en) * | 2010-08-14 | 2014-12-09 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
| US8886773B2 (en) | 2010-08-14 | 2014-11-11 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
| JP5618881B2 (ja) * | 2011-03-25 | 2014-11-05 | 三菱電機株式会社 | 暗号処理システム、鍵生成装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム |
| CN102395006B (zh) * | 2011-10-24 | 2013-09-11 | 南京大学 | 一种基于视频流的外网安全审查系统 |
| US9363267B2 (en) * | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
| US10108849B2 (en) * | 2016-10-14 | 2018-10-23 | Bank Of America Corporation | Biometric facial recognition for accessing device and authorizing event processing |
| CN106790702B (zh) * | 2017-02-24 | 2020-05-05 | 腾讯科技(深圳)有限公司 | 一种基于物理场景的资源特权分发方法和管理端以及系统 |
| EP3407559A1 (en) * | 2017-05-26 | 2018-11-28 | Authentic Vision GmbH | System and method to manage privileges based on the authentication of an uncloneable security device |
| US11886605B2 (en) * | 2019-09-30 | 2024-01-30 | Red Hat, Inc. | Differentiated file permissions for container users |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5369702A (en) * | 1993-10-18 | 1994-11-29 | Tecsec Incorporated | Distributed cryptographic object method |
| US5371794A (en) * | 1993-11-02 | 1994-12-06 | Sun Microsystems, Inc. | Method and apparatus for privacy and authentication in wireless networks |
| US5999711A (en) | 1994-07-18 | 1999-12-07 | Microsoft Corporation | Method and system for providing certificates holding authentication and authorization information for users/machines |
| US5787177A (en) * | 1996-08-01 | 1998-07-28 | Harris Corporation | Integrated network security access control system |
| JP3006504B2 (ja) * | 1996-08-27 | 2000-02-07 | 日本電気株式会社 | 無線ネットワークにおける無線端末の認証方法および無線ネットワーク |
| US5991877A (en) * | 1997-04-03 | 1999-11-23 | Lockheed Martin Corporation | Object-oriented trusted application framework |
| US6049877A (en) | 1997-07-16 | 2000-04-11 | International Business Machines Corporation | Systems, methods and computer program products for authorizing common gateway interface application requests |
| US6233577B1 (en) * | 1998-02-17 | 2001-05-15 | Phone.Com, Inc. | Centralized certificate management system for two-way interactive communication devices in data networks |
| JPH11261731A (ja) * | 1998-03-13 | 1999-09-24 | Nec Corp | 移動通信システム、移動通信システムにおける接続方法及びこれが書き込まれた記憶媒体 |
| US6308273B1 (en) * | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Method and system of security location discrimination |
| WO1999066384A2 (en) | 1998-06-17 | 1999-12-23 | Sun Microsystems, Inc. | Method and apparatus for authenticated secure access to computer networks |
| US6643774B1 (en) * | 1999-04-08 | 2003-11-04 | International Business Machines Corporation | Authentication method to enable servers using public key authentication to obtain user-delegated tickets |
| US6571221B1 (en) * | 1999-11-03 | 2003-05-27 | Wayport, Inc. | Network communication service with an improved subscriber model using digital certificates |
-
2000
- 2000-10-23 US US09/694,514 patent/US7257836B1/en not_active Expired - Fee Related
-
2001
- 2001-02-23 EP EP01916208A patent/EP1277099A2/en not_active Ceased
- 2001-02-23 WO PCT/US2001/005938 patent/WO2001082037A2/en active Application Filing
- 2001-02-23 EP EP04025103A patent/EP1498800B1/en not_active Expired - Lifetime
- 2001-02-23 CN CN01810304A patent/CN100580610C/zh not_active Expired - Fee Related
- 2001-02-23 BR BR0110332-6A patent/BR0110332A/pt not_active Application Discontinuation
- 2001-02-23 MX MXPA02010499A patent/MXPA02010499A/es active IP Right Grant
- 2001-02-23 ES ES04025103T patent/ES2308087T3/es not_active Expired - Lifetime
- 2001-02-23 EP EP08010382.3A patent/EP1959368B1/en not_active Expired - Lifetime
- 2001-02-23 EP EP04025104A patent/EP1498801A1/en not_active Ceased
- 2001-02-23 CA CA2407482A patent/CA2407482C/en not_active Expired - Fee Related
- 2001-02-23 AU AU2001243262A patent/AU2001243262A1/en not_active Abandoned
- 2001-02-23 JP JP2001579064A patent/JP4917233B2/ja not_active Expired - Fee Related
- 2001-02-23 RU RU2002131451/09A patent/RU2297037C2/ru not_active IP Right Cessation
- 2001-02-23 DE DE60134678T patent/DE60134678D1/de not_active Expired - Lifetime
- 2001-02-23 AT AT04025103T patent/ATE400015T1/de not_active IP Right Cessation
- 2001-03-26 WO PCT/US2001/009448 patent/WO2001082038A2/en not_active Application Discontinuation
- 2001-03-26 AU AU2001255191A patent/AU2001255191A1/en not_active Abandoned
-
2003
- 2003-07-21 HK HK03105228.0A patent/HK1052996A1/zh unknown
- 2003-11-06 HK HK03108065.0A patent/HK1055822A1/xx not_active IP Right Cessation
-
2011
- 2011-12-09 JP JP2011270401A patent/JP5243593B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| HK1055822A1 (en) | 2004-01-21 |
| CN1433537A (zh) | 2003-07-30 |
| EP1498801A1 (en) | 2005-01-19 |
| AU2001255191A1 (en) | 2001-11-07 |
| US7257836B1 (en) | 2007-08-14 |
| AU2001243262A1 (en) | 2001-11-07 |
| HK1052996A1 (zh) | 2003-10-03 |
| ATE400015T1 (de) | 2008-07-15 |
| MXPA02010499A (es) | 2003-09-22 |
| WO2001082037A3 (en) | 2002-08-08 |
| WO2001082038A2 (en) | 2001-11-01 |
| CA2407482C (en) | 2010-10-26 |
| BR0110332A (pt) | 2004-12-21 |
| DE60134678D1 (de) | 2008-08-14 |
| EP1498800B1 (en) | 2008-07-02 |
| JP5243593B2 (ja) | 2013-07-24 |
| RU2297037C2 (ru) | 2007-04-10 |
| CN100580610C (zh) | 2010-01-13 |
| JP4917233B2 (ja) | 2012-04-18 |
| EP1959368A3 (en) | 2012-06-27 |
| JP2012100294A (ja) | 2012-05-24 |
| WO2001082037A2 (en) | 2001-11-01 |
| RU2002131451A (ru) | 2004-03-10 |
| EP1498800A1 (en) | 2005-01-19 |
| JP2003532185A (ja) | 2003-10-28 |
| EP1277099A2 (en) | 2003-01-22 |
| WO2001082038A3 (en) | 2002-08-01 |
| EP1959368A2 (en) | 2008-08-20 |
| EP1959368B1 (en) | 2018-05-23 |
| CA2407482A1 (en) | 2001-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2308087T3 (es) | Gestion de enlaces de seguridad en redes dinamicas. | |
| ES2595105T3 (es) | Autenticación eficaz y segura de sistemas informáticos | |
| RU2439692C2 (ru) | Управляемое политиками делегирование учетных данных для единой регистрации в сети и защищенного доступа к сетевым ресурсам | |
| JP5926441B2 (ja) | マルチパーティシステムにおける安全な認証 | |
| ES2661307T3 (es) | Autenticación de una aplicación | |
| JP4907895B2 (ja) | プライベートデータを露出せずに通信ネットワークを介してパスワードで保護されたプライベートデータを回復する方法およびシステム | |
| EP2314090B1 (en) | Portable device association | |
| KR101482564B1 (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
| US7689211B2 (en) | Secure login method for establishing a wireless local area network connection, and wireless local area network system | |
| US20090199009A1 (en) | Systems, methods and computer program products for authorising ad-hoc access | |
| US20110030043A1 (en) | Devolved authentication | |
| US20230421394A1 (en) | Secure authentication of remote equipment | |
| TW200828944A (en) | Simplified management of authentication credientials for unattended applications | |
| JP5602165B2 (ja) | ネットワーク通信を保護する方法および装置 | |
| ES2947562T3 (es) | Método y sistema para controlar el intercambio de información sensible a la privacidad | |
| RU2685975C2 (ru) | Обеспечение безопасности связи с расширенными мультимедийными платформами | |
| ES2665887T3 (es) | Sistema de datos seguro | |
| JP2015111440A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
| JP2009104509A (ja) | 端末認証システム、端末認証方法 | |
| KR20130046781A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 | |
| JP2017139026A (ja) | 信頼できる認証およびログオンのための方法および装置 | |
| Bourdoucen | Securing Communication Channels in IoT using an Android Smart Phone | |
| KR20240066773A (ko) | 제로 트러스트 환경에서의 사용자 단말의 인증 방법 및 이를 지원하는 장치 | |
| KR20130062965A (ko) | 무선 네트워크 접속 인증 방법 및 그 시스템 |