ES2337437A1 - Procedimiento y sistema para controlar el acceso inalambrico a recursos de red seguros basado en el contexto. - Google Patents

Procedimiento y sistema para controlar el acceso inalambrico a recursos de red seguros basado en el contexto. Download PDF

Info

Publication number
ES2337437A1
ES2337437A1 ES200802990A ES200802990A ES2337437A1 ES 2337437 A1 ES2337437 A1 ES 2337437A1 ES 200802990 A ES200802990 A ES 200802990A ES 200802990 A ES200802990 A ES 200802990A ES 2337437 A1 ES2337437 A1 ES 2337437A1
Authority
ES
Spain
Prior art keywords
user
access
information
location
identity
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
ES200802990A
Other languages
English (en)
Other versions
ES2337437B2 (es
ES2337437B8 (es
Inventor
Laura Garcia Garcia
Ariel Hernandez Hernandez
Jose Enrique Lopez Garcia
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonica SA
Original Assignee
Telefonica SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to ES200802990A priority Critical patent/ES2337437B8/es
Application filed by Telefonica SA filed Critical Telefonica SA
Priority to US13/125,065 priority patent/US8448257B2/en
Priority to BRPI0919779A priority patent/BRPI0919779A2/pt
Priority to PCT/ES2009/070447 priority patent/WO2010046515A1/es
Priority to UY0001032193A priority patent/UY32193A/es
Priority to EP09821630.2A priority patent/EP2352323A4/en
Priority to ARP090104055A priority patent/AR073915A1/es
Priority to PA20098846501A priority patent/PA8846501A1/es
Publication of ES2337437A1 publication Critical patent/ES2337437A1/es
Publication of ES2337437B2 publication Critical patent/ES2337437B2/es
Application granted granted Critical
Publication of ES2337437B8 publication Critical patent/ES2337437B8/es
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Procedimiento y sistema para controlar el acceso inalámbrico a recursos de red seguros basado en el contexto. Se obtiene (555, 570) información de la identidad de cada usuario que se conecta a través de un dispositivo inalámbrico (140) a partir de un proceso previo de autenticación e información relativa al contexto y/o el estado del usuario; Se genera (565, 580) un vector de características (235) para cada usuario, que está formado por la información relativa al contexto y/o al estado del usuario y un perfil de usuario. Se asignan (585) permisos a cada usuario, determinando el tipo de recursos de red seguros a los que se permite acceso a cada usuario, en función de su vector de características y se realiza (595) un control de acceso a los recursos de red seguros, permitiendo la transferencia de datos sólo hacia/desde recursos permitidos para cada usuario, en función de los permisos asignados.

Description

Procedimiento y sistema para controlar el acceso inalámbrico a recursos de red seguros basado en el contexto.
Antecedentes de la invención Campo técnico
La invención que se describe pertenece al sector de las comunicaciones inalámbricas, en concreto, a la seguridad y el control de acceso a recursos de red a través de redes inalámbricas.
Descripción de la técnica relacionada
El amplio despliegue y el gran éxito que están experimentando las redes inalámbricas, y en concreto las redes Wi-Fi, ha llevado también a un creciente desarrollo y número de ataques que han demostrado varias vulnerabilidades de este tipo de redes.
Unos de los principales problemas a los que se enfrentan las redes de acceso en general es la identificación segura de los usuarios que hacen uso de las mismas. A este hecho se une una característica inherente a las tecnologías inalámbricas; la ausencia de un punto físico de conexión a la red, lo que supone un riesgo añadido para los sistemas accesibles desde ella, al brindar cierta invisibilidad en el acceso. Se han propuesto varias soluciones de autenticación y cifrado en redes Wi-Fi, que permitiesen mejorar la confidencialidad, integridad y autenticación en las mismas. Entre ellos, cabe destacar el mecanismo de seguridad WEP (Wired Equivalent Privacy, "privacidad equivalente a cableada") publicado por IEEE (que ha sido ampliamente adoptado, aunque ya se ha demostrado que es posible y relativamente sencilla su ruptura). Para solucionar las deficiencias de WEP, el IEEE comenzó el desarrollo de una nueva norma de seguridad, conocida como 802.11i. Además, los fabricantes de tecnologías para WLAN, con el amparo de la Wi-Fi Alliance, desarrollaron un mecanismo de seguridad intermedio de transición hasta que estuviese disponible 802.11i. Esta solución es la que se conoce como WPA (Wi-Fi Protected Access, "Acceso Protegido Wi-Fi").
A pesar de todos estos esfuerzos, la seguridad del acceso a redes inalámbricas presenta aún algunas deficiencias o vulnerabilidades. El uso de los nuevos protocolos (propuestos para las soluciones WPA y 802.11i) mejora algunos problemas existentes en versiones de protocolos de seguridad Wi-Fi (como los problemas de confidencialidad o de autenticación en WEP). Sin embargo, en lo que se refiere a la autenticación de usuarios, estos métodos sufren de los mismos problemas de autenticación que los sistemas convencionales: en el caso más utilizado (uso de nombre de usuario y contraseña), surge el problema bastante común de que el usuario olvide su contraseña. Además, una vulnerabilidad de este sistema de autenticación es el robo o préstamo de identidad, esto es, que un tercero pueda utilizar el nombre de usuario y contraseña asignado a un usuario con permiso (con o sin ayuda expresa de éste). Esta vulnerabilidad se debe principalmente a la facilidad de comunicar dicha información a terceros. Otros métodos de autenticación utilizados para tratar de resolver esta problemática son la autenticación biométrica y la autenticación basada en token o credenciales. Sin embargo, estas también presentan problemas: la autenticación biométrica complica en gran medida el sistema, sobre todo los sistemas ya desplegados, ya que se requiere un hardware específico capaz de leer las características biométricas del usuario (lector de huella, lector de iris...), sin mencionar los diversos problemas de falsificar o copiar fraudulentamente datos biométricos para hacerse pasar por un usuario con permisos (existen múltiples trabajos en el estado de la técnica que estudian estos problemas, siendo una línea de trabajo abierta actualmente). En cuanto a los sistemas de autenticación basados en lo que el usuario posee (token o certificado) poseen el problema de su fácil préstamo a terceros, o el problema de que sean robados.
Como posible solución a los problemas de seguridad asociados a las redes inalámbricas, se ha propuesto el uso de la información de localización (dónde está el usuario) como factor extra a tener en cuenta en el proceso de autorización o control de acceso. Esto permite extender la seguridad al nivel físico (por ejemplo, para el control de coberturas no deseadas y el acceso de equipos no controlados) frente a otras soluciones existentes, basadas principalmente en la autenticación a nivel de red.
Aunque existen algunas propuestas en este ámbito, hay problemas claros que no han sido resueltos por las soluciones actuales, a saber:
- Problema de privacidad de la información de localización del usuario: al ser un dato privado, debe asegurarse que la información de dónde está el usuario se utiliza única y exclusivamente en el proceso de seguridad y acceso de red. Es necesario introducir algún mecanismo que asegure dicha privacidad de usuario.
- Problema de flexibilidad de sistema: para que el sistema se pueda utilizar en múltiples escenarios, es necesario incluir un mecanismo que permita independizar el sistema del método de localización. Los sistemas presentados actualmente se basan principalmente en la señal de radiofrecuencia enviada por el usuario, no permitiendo el uso de otras tecnologías que podrían ser de mayor interés o más sencillas o económicas de aplicar.
- Problema de acceso desde equipo no identificado, prestado o robado: las soluciones presentadas se basan principalmente en el uso de únicamente la información de localización, lo que las hace vulnerables a ataques de usuarios que puedan acceder a las zonas seguras (visitas, personas que se hayan colado...). La solución más completa permite identificar el equipo o terminal cliente (mediante datos como la MAC del equipo), pero incluso dicha información puede ser falseada, o en el peor de los casos el sistema será vulnerable al acceso a partir de equipos robado o dejados en las zonas seguras. Es necesario un mecanismo que evite dicho problema, identificando al usuario y no al equipo desde el que éste accede.
La solicitud de patente europea EP 1720370 propone un esquema más versátil en lo que respecta al uso de la información de localización en el control de acceso a recursos a través de redes inalámbricas. En este caso, sí se realiza un control de acceso a recursos que permite diferenciar entre los recursos permitidos/denegados, y se utiliza un método dinámico de asignación de privilegios. La solicitud de patente reivindica realizar esta asignación dinámica de permisos o privilegios en función de dos parámetros: la localización del equipo o cliente inalámbrico y la identidad del mismo. A pesar de la clara mejora que esta solicitud de patente supone frente a otras soluciones del estado de la técnica, presenta una serie de problemas no resueltos. En primer lugar, el método reivindicado no considera la inclusión de la identificación y autenticación de usuario (y no de equipo) como parámetro para seleccionar los permisos asignados dinámicamente. Esto supone reducir la capacidad de seleccionar el nivel de seguridad en el acceso a recursos, ya que no se permite seleccionar el acceso en función del usuario (o su perfil) sino sólo en función del equipo que se esté utilizando, cuando en realidad generalmente en la vida real se conceden permisos a personas. Por otro lado, la solicitud de patente especifica su método de operación basando la localización en la señal de radiofrecuencia transmitida por el usuario, lo que limita claramente el tipo de sistema de localización a utilizar, no permitiendo utilizar otros métodos (como infrarrojos, etiquetas RF, etc.), que pueden ser más adecuados según la infraestructura inalámbrica y el tipo de entorno donde se aplique. Además, la solicitud de patente detalla que la petición de selección de privilegios y control de acceso se haga a partir de los puntos de acceso inalámbricos o routers detrás de los mismos, lo que supone que se requieren puntos de acceso o routers específicamente diseñados para este propósito (modificados); esto dificulta la instalación en redes ya desplegadas y encarece la solución. Una solución que no dependa de los equipos hardware instalados es deseable.
Por todo ello, queda claro que existen varios puntos problemáticos a resolver en el estado de la técnica.
Descripción de la invención
El objeto de la presente invención es la mejora de la seguridad en redes de datos con acceso inalámbrico, en particular en las llamadas redes Wi-Fi, descritas en el conjunto de estándares 802.11, incluyendo varios parámetros que dan información de la identidad del usuario y de su contexto.
Para ello, según un aspecto de la invención, se proporciona un procedimiento según la reivindicación 1 independiente y un sistema según la reivindicación 19 independiente. Las reivindicaciones dependientes recogen realizaciones particulares de la invención.
Para lograrlo, y de acuerdo con los principios de esta invención, un módulo de control de acceso a recursos de red separa la red inalámbrica y otros equipos no seguros de la red segura, que contiene varios recursos con distintos niveles de seguridad. Dicho módulo de control de acceso a recursos controla de forma dinámica las comunicaciones hacia y desde la red segura, de modo que sólo aquellos usuarios con los permisos correspondientes pueden enviar y transmitir paquetes a/desde un cierto destino/origen o recurso seguro. Para ello, en primer lugar se realiza un proceso de identificación y autenticación de usuario, y una vez que dicho usuario se ha autenticado correctamente y se confía en su identidad, se realiza un filtrado de paquetes de usuario en función de una serie de reglas que cambian dinámicamente.
Los permisos de usuario se definen en función de un conjunto de parámetros, como el perfil de usuario al que pertenece dicha identidad de usuario e información relativa al contexto y/o el estado del usuario. Dicha información puede ser el perfil de la zona o la localización actual del usuario.
Dicha información relativa al contexto y el estado del usuario puede comprender otros parámetros, que se pueden utilizar, junto con el anterior, para seleccionar los permisos actuales del usuario, como el análisis de comportamiento esperado del usuario, la hora y día de acceso, etc. Este conjunto de parámetros constituye el vector de características del usuario, a partir del cual un módulo específico, llamado aquí módulo de gestión dinámica de permisos define qué permisos tiene asignados el usuario. Dicho módulo también se puede integrar en alguno de los que constituyen la red (por ejemplo en el módulo de autenticación de usuario, etc.), sin que su funcionamiento cambie de forma significativa. El vector de características varía de forma dinámica en tiempo real, ya que dichas características pueden cambiar. Así, si el usuario cambia de zona donde se encuentra físicamente, su vector de características también cambiará, y con él sus permisos de acceso a recursos.
El permiso correspondiente a cada vector de características se define previamente en el sistema, en una tabla multidimensional de asignación de permisos. Dicha tabla define unívocamente qué permisos se deben asignar a un usuario en función de su vector de características. Esta descripción también se podría hacer mediante unas reglas previamente definidas en el sistema. Estas reglas o tabla deben detallarse en una etapa previa a la del funcionamiento del sistema, esto es, en una etapa de configuración, y debe cumplir la política de seguridad de la red donde se opere el mecanismo o se instale el sistema que lo implementa.
El módulo de gestión de permisos es el encargado de seleccionar de forma dinámica el permiso actual de cada usuario en cada momento, y de informar al módulo de control de acceso a recursos seguros para que actúe en consecuencia. El permiso se recalcula siempre que el vector de características del usuario varíe. Se envía la información que constituye el vector de características al módulo de gestión por diversos módulos que se encargan de calcular o medir los parámetros que forman dicho vector.
Los parámetros que conforman el vector de características de usuario contienen información sobre la identidad del usuario y su contexto y/o estado. En concreto, y de acuerdo con los principios de una realización preferente de esta invención, dos de los parámetros utilizados son el perfil de usuario y el perfil de zona donde se encuentra el usuario. Sin embargo, se hace notar que otros parámetros pueden ser incluidos en dicho vector de características, como el análisis de comportamiento esperado del usuario, la hora y día de acceso, la confianza en la identidad del usuario, el punto de acceso desde el que accede a la red, la probabilidad de acierto en la estimación de localización, etc.
El perfil de usuario indica el tipo de usuario de que se trata, que se asocian a una serie de privilegios o permisos para un determinado valor del resto de parámetros del vector de características (para una determinada localización, etc.). Los posibles perfiles de usuario son definidos previamente en la etapa de configuración del sistema por el administrador, y permiten distinguir entre grupos de usuarios sobre los que se quiere hacer distinción de niveles de privilegios o permisos. A una cierta identidad de usuario le corresponde un único perfil de usuario correspondiente. Sin embargo, varias identidades de usuarios pueden pertenecer al mismo perfil de usuario. La correspondencia identidad-perfil de usuario queda definida en una tabla o base de datos, en la etapa previa de alta de usuario. El módulo de gestión de permisos consulta dicha tabla para obtener la información de perfil de usuario, una vez conocida la identidad de usuario. La información de identidad de usuario se obtiene a partir de un servidor de autenticación, que permite asegurar con un cierto grado de confianza que el usuario es quien dice ser. Para autenticar al usuario se pueden utilizar diversos algoritmos de autenticación, basados en métodos como ID de usuario y contraseña, biometría, certificados o tokens de identidad, etc.
El perfil de zona indica en qué tipo de ubicación se encuentra el usuario. Se definen varios perfiles de zona en el sistema, que corresponden con los posibles niveles de seguridad según la zona en que se encuentre el usuario, que se quieren considerar. Dicha definición se realiza en la etapa de configuración, previa a la operación. Cada localización real posible en el entorno de operación (edificio, oficinas, etc...) debe corresponderse con un único perfil de zona, si bien cada perfil de zona puede aglutinar a varias ubicaciones o zonas. Se obtiene la información de perfil de zona por el módulo de gestión dinámica de permisos a partir de un módulo que ofrece información relativa de localización protegiendo la privacidad de los usuarios, a que se refiere como módulo de privacidad de localización. Este módulo, independiente del módulo de gestión de permisos, ofrece información relativa sobre la localización actual de un usuario, pero sin revelar la localización real del usuario, sino únicamente indicando el perfil de la zona en que se encuentra actualmente el usuario. De este modo, el sistema central no conoce nunca la localización real del usuario, sino únicamente el tipo de zona en que se encuentra, asegurándose así la privacidad del usuario.
El módulo de privacidad de localización obtiene la información de localización de usuario a partir de uno o varios servidores de localización, cada uno basado en un cierto sistema de localización. Dicho servidor o servidores son independientes del sistema de acceso, por lo que pueden basarse en cualquier tecnología de localización que se considere adecuada para el entorno de aplicación. De este modo, la solución completa se independiza de la tecnología de localización utilizada. A modo de ejemplo, se pueden utilizar soluciones de localización basadas en la propia señal Wi-Fi enviada por el equipo de usuario, en infrarrojos, en RFID (Radio Frequency Identifier, identificador de radiofrecuencia) de una etiqueta pegada al equipo, etc. El módulo de privacidad de localización también accede a una tabla o base de datos donde se define la correspondencia entre las zonas o ubicaciones reales existentes en el entorno, y los perfiles de zona. Dicha tabla se define en la etapa de configuración del sistema. A partir de la información de localización de usuario que obtiene del servidor de localización, realiza la conversión a perfil de zona, que es la información enviada al módulo de gestión de permisos.
Preferiblemente, se implementa el procedimiento según la invención por medio de un programa de ordenador.
Estos y otros aspectos de la invención serán evidentes a partir de y se aclararán con referencia a las realizaciones descritas posteriormente en el presente documento.
Breve descripción de los dibujos
Otras características y ventajas de la invención se pondrán claramente de manifiesto a partir de la descripción que sigue de un ejemplo de realización, que se hace a título ilustrativo y no limitativo, con referencia a los dibujos que se acompañan.
La Figura 1 muestra una arquitectura de red separada en dos subredes, una subred de acceso inalámbrico y una subred segura.
La Figura 2 muestra un esquema modular de una realización de la invención propuesta.
La Figura 3 muestra el proceso general según los principios de una realización de la invención.
La Figura 4 representa el proceso de identificación, autenticación y autorización de usuario al acceder a la red Wi-Fi, según una realización preferente de la invención.
La Figura 5 muestra el proceso de gestión dinámica de permisos y actualización de los mismos, según una realización preferente de la invención.
En todas las figuras, los números de referencia similares se refieren a elementos similares.
Realizaciones preferentes de la invención
Según una realización de la invención se mejora la seguridad de las redes inalámbricas, en particular de las redes Wi-Fi combinando la información de identidad del usuario con información relativa al contexto y/o el estado del usuario. Dicha información puede ser el perfil de la zona o la localización actual del usuario. Dicha información relativa al contexto y/o el estado del usuario puede comprender otros parámetros, que se pueden utilizar, junto con el anterior, para seleccionar los permisos actuales del usuario, como el análisis de comportamiento esperado del usuario, la hora y día de acceso, etc. Dicha información se utiliza para seleccionar un permiso de acceso a determinados recursos de red, que varía dinámicamente según varíen los parámetros de usuario. En función del permiso, se permite o deniega el paso de los paquetes de usuario dirigidos a o recibidos de un determinado recurso o equipo de red.
El escenario general de la invención presentada aquí se basa en la separación explícita de la red de comunicaciones en dos subredes: una subred segura (en la que se incluyen los recursos a securizar) y una subred de acceso inalámbrico, en la que se incluyen los equipos o puntos de acceso inalámbrico. La subred segura es cableada, para evitar las vulnerabilidades de las redes inalámbricas. La Figura 1 representa este escenario. En una realización preferente, el acceso inalámbrico se realiza a través de una red Wi-Fi basada en el estándar IEEE 802.11. Sin embargo, la generalización a otros tipos de redes inalámbricas (por ejemplo, Bluetooth, Zigbee, etc...) es directa, teniendo como único requisito que dicha red inalámbrica posibilite la autenticación de los usuarios que se conectan a la red.
La Figura 1 muestra una arquitectura de un sistema 100, donde se ha especificado la separación en dos subredes necesaria para la aplicación de la invención propuesta. La red está formada por dos subredes y un equipo que las separa:
- Una subred de acceso inalámbrico 110. Es una subred a través de la que se conectan los usuarios con equipo inalámbrico. Los recursos o equipos conectados a esta red no están protegidos por la solución según la invención.
- Una subred de acceso seguro 120. Es una subred donde se sitúan los recursos y equipos de la red cuyo acceso se quiere controlar.
En la subred de acceso inalámbrico, que por ejemplo es una red Wi-Fi basada en el estándar IEEE 802.11, se incluyen los equipos convencionales que forman la red de acceso inalámbrico. Se presentan en la figura los elementos típicos para una red Wi-Fi: puntos de acceso Wi-Fi 130, routers 160, hubs/switches (concentradores, conmutadores) 175 y otros posibles equipos de red 150 (como servidores encargados del protocolo DHCP, etc.). También se incluye el equipo de cliente 140 que se conecta a la red cableada a través de uno de los puntos de acceso de la red Wi-Fi. También pueden existir puntos de acceso Wi-Fi sin conexión cableada a la red, que se comunican de forma inalámbrica con otro de los puntos de acceso que sí esté conectado por cable, o con otro dispositivo inalámbrico dispuesto a tal efecto.
La red Wi-Fi debe constar al menos de un punto de acceso inalámbrico, si bien es sabido que las redes Wi-Fi típicas constan en general de varios puntos de acceso. Es claro que el acceso a la red cableada se puede realizar también mediante otros equipos conectados vía cable, sin embargo esta invención hace referencia a los usuarios que acceden a la red a través del acceso inalámbrico.
En la subred de acceso seguro se han incluido varios ejemplos de recursos de red a securizar: información en red 180, aplicación en red 185, equipo de red 150, recurso impresoras/copiadoras en red 165, base de datos/repositorio en red 190. También se incluye un equipo de interconexión Proxy/router 195 con otras redes (por ejemplo, Internet). Otros recursos de red se pueden incluir, siendo el único requisito para que sea aplicable la invención que dicho recurso se pueda identificar con una IP.
En la figura también se especifica la existencia de un equipo o módulo que separa ambas redes, denominado equipo o módulo de control de acceso 170. Dicho equipo debe realizar el control de los paquetes procedentes de o dirigidos a los equipos que acceden a la red a través del acceso inalámbrico, según los principios de esta invención.
Dicho equipo 170 realiza un control dinámico de acceso a los recursos de la red segura por parte de los usuarios inalámbricos. El equipo o módulo 170 que realiza el control dinámico debe constar de un interfaz de red de entrada y otro de salida, así como de capacidad de cálculo para realizar dicho control en tiempo real. Es claro que puesto que puede requerirse alta capacidad de cálculo, dicho módulo puede estar formado por varios equipos funcionando en paralelo. En una realización preferente, dicho módulo es un servidor convencional con el software informático correspondiente. En otra realización, dicho módulo puede ser un equipo con varias tarjetas programables FPGAs (Field Programable Gate Array) de gran capacidad de cálculo, y el correspondiente hardware y software de control.
La Figura 2 representa un esquema modular de una realización de la invención propuesta. Consta de varios módulos, que realizan el procedimiento detallado más adelante. Dichos módulos se implementan sobre uno o varios equipos físicos (típicamente PCs o servidores) donde se ejecuta un programa informático que realiza el proceso especificado. Dichos equipos no se especifican en esta figura, ya que se pretende mostrar la arquitectura modular del procedimiento y no una posible solución física de la implementación.
La solución consta de tres módulos principales para la gestión y el control, de varios módulos o servidores y de tres tablas de datos principales.
Los módulos de gestión y control, indicados en la figura 2 son:
- Módulo de control de acceso a recursos 170: módulo que realiza el control de paquetes desde/a los equipos cliente de la red inalámbrica. El control es dinámico y en función de varios parámetros que pueden variar en el tiempo, según los principios de la invención.
- Módulo de gestión dinámica de permisos 200: módulo donde se procesa la información del estado de los usuarios en cada momento, y se decide el permiso de acceso a recursos para cada uno de ellos, según dicha información. Este módulo se encarga de informar de los cambios de permiso al módulo de control de acceso a recursos, para que éste los aplique.
- Módulo de privacidad de localización 215: módulo encargado de realizar las peticiones de información de localización actual de los usuarios a los servidores de localización que corresponda, y traducir la información de localización a perfiles genéricos, para asegurar la privacidad de este dato de usuario. Además, permite generalizar la información de localización y usar múltiples sistemas de localización en la solución.
Los servidores de información y autenticación representados son:
- Servidor de autenticación 205: se encarga de gestionar la autenticación de usuario cada vez que éste se conecta a la red inalámbrica, informando de la identidad de éste y de su conexión activa.
- Servidores de localización 220: son los encargados de calcular la localización del usuario, mediante el método que corresponda. Debe existir al menos un servidor de localización, pero se permiten más servidores o sistemas, para permitir el uso de múltiples tecnologías de localización.
- Otros servidores de información 210: se pueden incluir otros servidores o módulos que generen información del estado del usuario o su contexto, en caso de utilizarse otros parámetros para seleccionar el permiso de usuario, según el vector de características 235, tal y como se detallará más adelante.
Las principales tablas de información que incluye la invención y han sido representadas en la figura son:
- Tabla de perfiles de zona 225: relaciona las zonas físicas en las que puede encontrarse el usuario (y que son controladas por el sistema) y unos perfiles de zona, que indican el nivel de seguridad que se desea asignar a cada zona. Es consultada por el módulo de privacidad de localización, y se define en una etapa previa de configuración del sistema.
- Tabla de perfiles de usuario 245: relaciona los identificadores unívocos de usuario con uno de los perfiles de usuario, que indican el nivel de privilegio o acceso que tendrá dicho tipo o perfil de usuario. Es consultada por el módulo de gestión dinámica de permisos y se define en una etapa previa de registro de usuarios.
- Tabla multidimensional de asignación de permisos 230: relaciona el vector de características de usuario 235 (entrada) con el permiso 240 que se asigna a dicho vector (salida). Es consultada por el módulo de gestión dinámica de permisos y se define en una etapa previa de configuración del sistema.
La Figura 3 representa el proceso general según los principios de esta invención (caso genérico). Después del inicio 300, se comprueba si hay nuevos usuarios que piden acceso a la red inalámbrica (paso 310). En primera instancia, el servidor de autenticación es el encargado de la autenticación y el control del acceso de los usuarios a la red Wi-Fi (paso 320). El control de dicho acceso a la red inalámbrica se realiza en base únicamente a la identidad del usuario. Cuando un usuario intenta conectarse a la red Wi-Fi a través de un punto de acceso, éste bloquea el tráfico de datos del usuario, permitiendo únicamente el tráfico de autenticación hacia y desde el servidor de autenticación. El punto de acceso solicita al usuario que envíe sus credenciales para poder conectarse a la red. En la realización preferente, estas credenciales consistirán en un identificador de usuario (login) asociado a una contraseña, aunque otro tipo de credenciales pueden considerarse, tales como certificados digitales, tokens, o datos biométricos. Una vez el punto de acceso recibe esta información del usuario, la reenvía al servidor de autenticación. El servidor recibe esta información y accede a una base de datos o repositorio de usuarios para obtener las credenciales del usuario que ha solicitado la conexión. El servidor de autenticación compara las credenciales enviadas por el usuario con las que ha obtenido de la base de datos o repositorio y envía el resultado de esta comparación al punto de acceso. Si las credenciales coinciden, el punto de acceso permite que el usuario se conecte a la red y desbloquea el tráfico de datos; en caso contrario, el punto de acceso denegará la conexión y el usuario quedará desconectado del mismo. Si, previamente, el usuario rechazase enviar sus credenciales, el punto de acceso denegaría automáticamente su conexión. En este caso el servidor de autenticación no intervendría en el proceso.
El procedimiento descrito anteriormente está implementado en el estándar IEEE 802.1X. Aunque desarrollado con anterioridad, fue adoptado en el estándar IEEE 802.11i para proporcionar un marco sobre el que desplegar mecanismos de control de acceso, autenticación y gestión de claves. Como se ha comentado anteriormente, el mecanismo de control definido en el estándar 802.1X actúa en el punto de acceso bloqueando el tráfico proveniente del equipo cliente, permitiendo únicamente el tráfico de autenticación entre el cliente y el servidor de autenticación. El intercambio de credenciales entre el cliente y el servidor de autenticación se realiza a través del protocolo EAP (Extensible Authentication Protocol, Protocolo de Autenticación Extensible), definido por el IETF (Internet Engineering Task Forcé) en el RFC (Request for Comments) 3748. EAP es un protocolo flexible usado como marco de soporte de múltiples modos de autenticación (por ejemplo, basados en usuario-contraseña, certificados digitales, tarjetas inteligentes, contraseñas de un solo uso...). El punto de acceso no interviene en el proceso de autenticación, se limita a reenviar el tráfico EAP entre el cliente y el servidor de autenticación.
Los detalles acerca de la comunicación entre el punto de acceso y el servidor de autenticación no se recogen en el estándar 802.1X. Sin embargo, está admitido de facto que el tráfico EAP se encapsule utilizando RADIUS (Remote Authentication Dial-In User Server). RADIUS es un protocolo, definido en el RFC 2865, que se emplea para llevar a cabo procesos de autenticación, autorización y contabilidad, lo que en la literatura especializada se conoce como procesos AAA (Authentication, Authorization y Accounting).
En la realización preferente, los puntos de acceso y el servidor de autenticación implementan el protocolo RADIUS para llevar a cabo los procesos de control de acceso y autenticación de usuarios, aunque otros protocolos pueden utilizarse, como DIAMETER, al que se hace mención en el estándar 802.1X.
Si el procedimiento de autenticación descrito anteriormente concluye con éxito, el usuario queda conectado a la red Wi-Fi a través de el equipo cliente. Esto implica que se permite que el equipo de usuario se comunique con otros equipos en la red no segura, la red de acceso inalámbrico. Sin embargo, por defecto no tiene permitido el acceso a los recursos de la red segura (si bien este modo por defecto se podría configurar a otro modo, como acceso a una subred de cuarentena, etc.).
Tras la autenticación correcta, y según los principios de esta invención, se hace disponible la información de identidad del usuario y de autenticación correcta, de modo que el módulo de gestión dinámica de permisos pueda conocer dicha información. Además, el servidor de autenticación proporciona información para identificar la comunicación de dicho usuario (paso 330). En una realización preferente, el servidor de autenticación proporciona para ello información de identificación del equipo desde el que el usuario se ha conectado. En otra realización, se identifica directamente la comunicación del usuario (en vez del equipo físico que se está conectando) con la dirección IP asignada al conceder el acceso Wi-Fi.
La información de identificación del equipo de usuario puede ofrecerse de varias formas. En una realización preferente, el equipo del usuario se identifica mediante la dirección MAC de la interfaz Wi-Fi, si bien se podrían emplear otros métodos para identificar el equipo, como los ofrecidos por un módulo TPM (Trusted Platform Module) incluido en el equipo u otros.
La Figura 4 representa el proceso de identificación, autenticación y autorización de usuario al acceder a la red Wi-Fi, según una realización preferente en la que el módulo de autenticación comunica que un nuevo usuario se ha autenticado a través de la inclusión de una nueva entrada en una tabla de una base de datos, que será monitorizada por el módulo de gestión dinámica de permisos. En esta realización, la información que se incluye sobre el usuario es su identificador único y la MAC del adaptador inalámbrico utilizado en la comunicación.
La columna 400 representa los pasos ejecutados por la base de datos y la columna 410 los pasos ejecutados por el servidor de autenticación. En el paso 420 se presenta un nuevo usuario Wi-Fi que intenta acceder al a red. Durante el proceso de autenticación 430, junto con las credenciales del usuario, el servidor de autenticación recibe, desde el punto de acceso al que se conecta el usuario, información adicional del equipo con el que éste está intentando acceder a la red, en concreto la dirección MAC del adaptador Wi-Fi. Una vez que se ha determinado que el proceso de autenticación ha concluido con éxito (paso 440), el mismo servidor accede a la base de datos y registra la dirección MAC asociándola con la identidad del usuario que se ha autenticado (pasos 450 y 460). El módulo de gestión monitoriza la base de datos, de modo que detecta el momento en el que el servidor de autenticación lleva a cabo esta operación. Por último, el servidor notifica al punto de acceso de que la autenticación ha sido correcta y éste permite la conexión del usuario a la red (paso 470), concluyendo el proceso de autenticación (paso 480). En caso de que las credenciales del usuario no sean correctas (paso 440), el servidor notificará al punto de acceso de esta circunstancia, que denegará el acceso a la red por parte del usuario, dándose por finalizado el proceso de autenticación
(paso 480).
En otra realización, el módulo de autenticación comunica directamente al módulo de gestión de permisos dinámicos que un nuevo usuario se ha autenticado correctamente, indicando la identidad de usuario y del equipo cliente o la identificación de la comunicación. Dicha comunicación se puede realizar a través de diversos métodos, como el uso de "sockets", de tecnología "webservice", o de otros protocolos de comunicación entre aplicaciones.
En otra realización, es el módulo de gestión de permisos dinámicos el que interroga de forma periódica al módulo de autenticación, para preguntar por los nuevos usuarios autenticados en el sistema. En este caso, el módulo de autenticación debe mantener una tabla donde guardar la identidad del usuario y su equipo cliente o la identificación de la comunicación.
El módulo de gestión dinámica de permisos es el elemento central de la invención, donde reside la parte principal de la lógica de decisión del sistema. Su misión es decidir qué permisos de acceso tienen los usuarios conectados en cada momento, en base a su vector de características. Como se ha explicado previamente, el módulo de gestión es capaz de detectar que un usuario se ha autenticado y conectado correctamente consultando en la base de datos, o preguntando periódicamente al servidor de autenticación, o bien puede ser el propio servidor de autenticación quien envíe una notificación al módulo de gestión avisando de esta circunstancia. Una vez que el módulo de gestión ha detectado la conexión de un nuevo usuario, inicializa los valores asociados necesarios y el vector de características (paso 340), y pasa a controlar los parámetros variables presentes en su vector de características (perfil de la zona en la que se encuentra, restricciones horarias u otros parámetros de control), actualizándolos periódicamente (paso 350). El módulo de gestión lleva a cabo este control con todos los usuarios que se encuentran conectados en cada momento. Para actualizar el valor de los parámetros del vector de características, el módulo de gestión consulta a los servidores de información o la información generada por éstos (en tablas, repositorios, bases de datos, etc.). Entre estos servidores de información se encuentran los servidores de localización. Una vez actualizados los vectores de características de todos los usuarios, el módulo de gestión consulta la tabla multidimensional de asignación de permisos para saber qué permiso le corresponde a cada usuario según el valor que tomen los parámetros de su vector de características (paso 360). El resultado obtenido se lo comunica al módulo de control de acceso (paso 370) para que actúe en consecuencia cambiando los permisos de acceso de los usuarios (paso 380). Los pasos anteriormente descritos se repiten constantemente en un proceso iterativo. Resulta obvio que este mismo proceso se puede realizar actualizando el vector de características y consultando la tabla multidimensional de asignación de permisos usuario por usuario, dando lugar al mismo resultado. En función de la forma específica en que se realice dicha consulta, uno u otro método será más eficiente, y por tanto, preferido.
La Figura 5 representa el proceso de gestión dinámica de permisos y actualización de los mismos, según una realización preferente, donde el módulo de gestión dinámica de permisos obtiene la información de nuevos usuarios conectados mediante la monitorización de una tabla en la base de datos. Además, el vector de características está formado en esta realización por el perfil de usuario y el perfil de zona, de modo que solo este último parámetro varía en el tiempo en una comunicación, y es el que hay que monitorizar preguntando al módulo de privacidad de localización.
La columna 500 representa los pasos ejecutados por el módulo de gestión dinámica de permisos, columna 510 los pasos ejecutados por las tablas/base de datos, columna 520 los pasos ejecutados por el módulo de privacidad de localización y la columna 530 los pasos ejecutados por el módulo de control de acceso de recursos. Después de un paso inicial 535 de configuración de sistema y registro de datos, el módulo de gestión dinámica de permisos comprueba (paso 540) si un usuario se ha autenticado recientemente. La forma en que lo hace es comprobando periódicamente una tabla en una base de datos, donde el servidor de autenticación ha registrado el identificador de usuario y la dirección MAC del adaptador Wi-Fi que utiliza en la comunicación actual, en el momento en el que el usuario se ha autenticado correctamente. La base de datos procesa la búsqueda (paso 545). Además de estos dos valores, el módulo de gestión de permisos requiere conocer otros parámetros asociados al usuario: el perfil del usuario, el sistema de localización asociado al usuario, y la posible información requerida por el sistema de localización. Dichos datos se asocian a un identificador de usuario en un proceso previo de registro de usuario (que puede ser el mismo que se utilice para registrar los usuarios en el módulo de autenticación). En esta realización, dicha información se registra en una tabla de la base de datos. Así, cuando el módulo de gestión detecta que hay una nueva entrada en la tabla de usuarios autenticados (paso 550), incluye como activo al nuevo usuario en el sistema, pidiendo la información que necesita del mismo (paso 555) a la base de datos: el identificador unívoco del usuario y la dirección MAC del adaptador Wi-Fi (datos que rellenó el servidor de autenticación en una tabla de la base de datos), el sistema de localización asignado al usuario y la información de localización necesaria (datos que se asignaron en el proceso de registro, en otra tabla de la base de datos). La base de datos proporciona la información al módulo de gestión (paso 560) y éste la registra (paso 565).
La invención contempla el uso de varios sistemas de localización, entre los que se encuentran sistemas de localización en interiores (ILS: Indoor Location Systems, Sistemas de Localización en Interiores), u otros sistemas de localización como los basados en redes celulares, GPS mejorado, etc. Puesto que la invención se aplica a áreas cerradas (edificios, etc), el sistema de localización debe ser capaz de operar en interiores, por lo que sistemas de posicionamiento global convencionales no son válidos. Los usuarios tendrán asignado uno u otro sistema de localización según sus características o sus necesidades. Para evitar incongruencias de información, cada usuario sólo puede tener asignado un sistema de localización (aunque es obvio que puede haber muchos usuarios a los que se asigne el mismo sistema de localización, si éste soporta localizar a múltiples usuarios).
En una realización preferente, para cada usuario se indica en una tabla de una base de datos qué sistema de localización usa, así como la información que el ILS necesita para localizarlo (dirección física o identificador del dispositivo de localización empleado). Así pues, los datos de localización le permiten saber al módulo de gestión qué ILS se debe consultar para localizar a cada usuario y la información que debe proporcionarle.
Una vez que el módulo de gestión dispone de la información del nuevo usuario autenticado, inicializa por primera vez su vector de características (paso 565), que en esta realización preferente está compuesto por su perfil de usuario y el perfil de la zona en la que se encuentra. Otras realizaciones pueden incluir otros campos, como el método de autenticación utilizado (o su nivel de seguridad asignado), la fiabilidad de la localización (% de probabilidad de error en la localización, o confianza en el sistema de localización), un parámetro de análisis de comportamiento esperado del usuario, la hora y día de acceso, etc. El perfil de usuario se inicializa al valor correspondiente indicado en la tabla de la base de datos donde se guardan los usuarios registrados en el sistema (en el proceso de registro previo, mencionado más arriba).
Después de haber comprobado e incluido los nuevos usuarios autenticados, el módulo de gestión actualiza los parámetros variables del vector de características de todos los usuarios conectados (nuevos y antiguos). En esta realización preferente, el único parámetro a actualizar es el perfil de la zona en la que se encuentra cada usuario, puesto que el perfil de usuario permanece fijo mientras el usuario está conectado. Para obtener el perfil de la zona, el módulo de gestión se comunica (paso 570) con el módulo de privacidad de localización y le envía los datos requeridos para la localización del usuario, esto es: el ILS utilizado y el identificador del dispositivo de localización del usuario (por ejemplo, el identificador de una etiqueta en el caso de un sistema RFID, o la MAC del propio adaptador Wi-Fi en el caso de un ILS basado en esta tecnología). El módulo de privacidad de localización devolverá (paso 575) el perfil de la zona en la que el ILS localizó al usuario, junto con una marca de tiempo que indica la fecha y la hora de esa localización. Hay que hacer notar que el módulo de gestión no conoce la localización específica del usuario, sino únicamente de qué tipo de zona se trata (por ejemplo: zona común, zona de acceso restringido, zona insegura...). Éste nivel de información es suficiente para la selección de permisos, y permite asegurar un cierto nivel en la privacidad de la información de localización del usuario.
En el siguiente paso de esta realización, el módulo de gestión evalúa la validez de la información de localización proporcionada por el módulo de privacidad de localización. Para ello se establece un umbral de tiempo como parámetro configurable en el módulo de gestión. La validez de la información de localización se determina en base a la relación entre el umbral de tiempo configurado y la marca de tiempo proporcionada por el módulo de privacidad de localización. En función del resultado obtenido, se consideran dos estados en los que puede encontrarse el usuario: localizable y no localizable. Si la diferencia entre la hora actual y la marca de tiempo es mayor que el umbral de tiempo, se considera que la información de localización es obsoleta y por tanto inválida, el usuario se encontrará en estado no localizable. Por el contrario, se considera que la información de localización es válida si la diferencia entre la hora actual y la marca de tiempo es menor que el umbral de tiempo, en este caso, el usuario se encontrará en estado localizable. Si, por cualquier circunstancia, no se dispone de información de localización del usuario, se considerará en estado no localizable.
Una vez que se determina el estado en el que se encuentra el usuario, el módulo de gestión actualiza los permisos que le corresponde a cada usuario (paso 585) y envía las órdenes pertinentes al módulo de control de acceso a recursos (paso 590). Estos pasos sólo se efectuarán si el estado del usuario o su vector de características han cambiado desde la última vez que se comprobó. Si el usuario estaba en estado no localizable y permanece en dicho estado, el módulo de gestión no llevará a cabo ninguna acción. Si el usuario pasa de estado no localizable a estado localizable o, estando en estado localizable, cambia su vector de características, el módulo de gestión consultará en la tabla multidimensional de asignación de permisos qué permiso le corresponde al usuario en función de su vector de características (que en este caso estará compuesto por su perfil de usuario y el perfil de la zona en la que se encuentre). El módulo de gestión enviará al módulo de control de acceso a recursos el permiso asignado al usuario junto con la dirección MAC de su adaptador Wi-Fi. Con esta información, el módulo de control de acceso actualiza las reglas de permisos de usuarios (paso 595).
Según los principios de esta invención, el permiso a asignar al usuario si uno de los parámetros del vector de características no está disponible es en general configurable por el administrador, en una etapa previa de configuración. En una realización preferente, el permiso asignado es de no permitir su acceso a ningún recurso de la red protegida (red de acceso seguro). Sin embargo, otras opciones son posibles, como permitir el acceso únicamente a un cierto servidor web de información, a una subred de cuarentena, etc. Así, en esta realización preferente, en el caso en el que el usuario pasa de estado localizable a estado no localizable, el módulo de gestión envía al módulo de control de acceso la dirección MAC de su adaptador Wi-Fi indicándole que elimine los permisos asignados a esa dirección MAC. El comportamiento por defecto del módulo de control de acceso establece una restricción total de acceso a los recursos para aquellas direcciones MAC que no tengan un permiso asignado. Por tanto, un usuario cuya información de localización no sea válida o no esté disponible se considerará no localizable y no tendrá acceso a ningún recurso de la red segura.
El módulo de privacidad de localización tiene dos funciones principales. La primordial es mantener oculta la ubicación real de los usuarios, proporcionando únicamente información sobre el perfil asignado a la zona en la que se encuentran, y asegurando así la privacidad de la localización del usuario. La segunda función es servir de interfaz con los sistemas de localización a emplear en la realización. La invención considera el uso de múltiples sistemas de localización basados en cualquier tecnología de localización que se considere adecuada para el entorno de aplicación. El módulo de privacidad contiene la lógica necesaria para adecuarse a las características específicas de cada sistema de localización y obtener la información requerida. Por tanto, consta de un interfaz de comunicación para cada uno de los sistemas de localización que se desean incluir.
En la realización preferente, la petición que recibe el módulo de privacidad de localización desde el módulo de gestión dinámica de permisos incluye información sobre el sistema de localización que se desea consultar y el dispositivo que se desea localizar (por ejemplo, el identificador de una etiqueta en el caso de un sistema RFID, o la MAC del propio adaptador Wi-Fi en el caso de un ILS basado en esta tecnología). El módulo de privacidad de localización consulta al sistema de localización indicado en la petición especificándole el dispositivo que se desea localizar. Como respuesta recibirá el identificador de la zona (por ejemplo: "sala1", "escalera", etc.) en la que se encuentra el dispositivo de localización asignado al usuario, y la marca de tiempo que indica el momento en el que el ILS obtuvo dicha información. El dispositivo o método de localización se asigna al usuario en un proceso previo de registro de usuario. A continuación, el módulo de privacidad obtiene de la tabla de perfiles de zona, el perfil de zona que corresponde al identificador de la zona en la que se encuentra el usuario. El módulo de privacidad responde la petición del módulo de gestión especificándole el perfil de la zona en la que se localizó al usuario y la marca de tiempo.
El módulo de control de acceso a recursos contemplado en la invención es el responsable, en última instancia, de filtrar el tráfico de red que fluye entre la red insegura (red Wi-Fi y otros equipos no securizados) y la red segura, que contiene varios recursos con distintos niveles de seguridad. Los criterios de filtrado son independientes para cada usuario y cambian dinámicamente en función de las órdenes recibidas desde el módulo de gestión. Cuando el módulo de gestión decide cambiar el permiso asignado a un usuario, y por tanto los recursos a los que puede acceder, se lo comunica al módulo de control de acceso especificando el permiso asignado y un parámetro que identifica la conexión del usuario. Cada permiso de usuario se indica con un identificador unívoco. El módulo de control de acceso mantiene una relación entre los permisos de usuario contemplados y los recursos a los que da derecho cada uno de los permisos. Dicha relación se define en un proceso de configuración previo a la operación, si bien puede variarse en caso de ser necesario (añadiendo, eliminando o cambiando identificadores de permisos) y sus recursos asociados.
En una realización preferente, cada recurso viene definido por su dirección IP (en formato X.X.X.X, donde X es un número entre 0 y 255.). En el caso de que un recurso se refiera a un conjunto de direcciones IP dentro de una misma subred, éste podrá indicarse mediante la dirección IP acompañada del prefijo de la subred (en formato X.X.X.X/Y, donde Y es un número entre 0 y 32 e indica el prefijo de subred). En otra realización, los recursos se definen por su nombre de red (hostname). Las conexiones de los usuarios se identifican por la dirección MAC del adaptador Wi-Fi con el que se conectan a la red. En otras realizaciones pueden emplearse otras formas de identificar las conexiones, por ejemplo, a través de la dirección IP. Para cada uno de los permisos establecidos se puede especificar una o más direcciones IP (o de subred) de aquellos recursos a los que el permiso da acceso. La política de filtrado por defecto del módulo de control de acceso es la de no permitir ningún tipo de tráfico entre las dos redes (insegura y segura). Cada usuario tendrá acceso, únicamente, a aquellos recursos cuya dirección IP haya sido explícitamente definida en el permiso que tiene asignado dicho usuario en ese momento. Los usuarios que no tengan ningún permiso asignado no podrán acceder a ningún recurso de la red segura.
En esta realización preferente, el filtrado que lleva a cabo el módulo de control de acceso está basado en el marcado de paquetes. Para cada uno de los permisos establecidos se crean tantas reglas de filtrado como direcciones IP haya definidas en dicho permiso. Cada regla se define de forma que sólo permite el paso de los paquetes que tengan una determinada marca y vayan dirigidos a la dirección IP correspondiente. Todas las reglas definidas para un mismo permiso tendrán la misma marca, que identifica al permiso de forma unívoca. Estas reglas de filtrado permanecen invariables mientras no se cambien los permisos que se hayan definido.
Cuando el módulo de control de acceso recibe una orden desde el módulo de gestión indicando el permiso a asignar a una determinada dirección MAC, se crea, de forma dinámica, una regla de marcado de paquetes. La función de esta regla es marcar todos los paquetes cuya dirección de origen o destino coincida con esa dirección MAC. La marca coincidirá con la marca que identifica al permiso asignado a esa dirección MAC.
El módulo de control de acceso lleva un registro de los permisos asignados a cada una de las direcciones MAC, de forma que cuando el módulo de gestión asigna un nuevo permiso a una dirección MAC, el módulo de control actualiza la regla aplicada a dicha dirección para que la marca coincida con la del permiso asignado.
Como se ha comentado anteriormente, en esta realización preferente la política de filtrado por defecto del módulo de control de acceso es la de no permitir ningún tipo de tráfico entre las dos redes (insegura y segura). Sólo aquellas direcciones MAC que tengan asignado un permiso (y por tanto una regla de marcado de paquetes) tendrán acceso a los recursos de la red segura definidos en el permiso asignado. Por tanto los paquetes no marcados no pasarán a la red segura.
La invención incluye una interfaz de comunicación para administración, de modo que un administrador pueda configurar las diversas opciones de la invención y dé de alta, baja o cambie características de los usuarios del sistema. Dicha interfaz permite representar de forma gráfica el estado de la red, los permisos asignados y los usuarios dados de alta en el sistema, así como los activos en cada momento.
En una realización preferente, dicha interfaz gráfica consta de un apartado de gestión de usuarios y permisos y otro apartado de monitorización. El apartado de usuarios y permisos permite dar de alta o baja usuarios en el sistema, o variar las características asignadas (como el tipo de ILS asignado, el perfil de usuario, etc). También permite definir los permisos a asignar en función del vector de características, y los recursos disponibles para cada permiso definido. El apartado de monitorización muestra el estado del sistema en cada momento, incluyendo situaciones anómalas (como usuarios que no se pueden localizar durante un largo periodo de tiempo, etc). También se puede mostrar, bajo petición, un mapa de la zona cubierta por la red Wi-Fi donde se presentan las zonas definidas, y un listado de los usuarios activos junto con sus permisos asignados. Por último, también se permite mostrar un listado de los eventos en el sistema y el instante en que se produjeron (cambios de zona de usuarios, cambios de permiso, etc), así como la opción de crear un archivo de registro de eventos. En otras realizaciones, otras informaciones o apartados pueden estar disponibles, como la definición de zonas, información de los equipos en la red, etc.
La aplicación industrial de la invención es la de controlar el acceso a recursos de red para el caso de redes con acceso inalámbrico, de forma segura, dinámica y teniendo en cuenta múltiples factores, entre los que destacan la identidad del usuario y la localización del mismo.
El principal ejemplo de caso de uso es la mejora de la seguridad en redes corporativas, cuando incluyen un acceso inalámbrico. También se mejora el control de acceso a redes inalámbricas de zonas o edificios con red inalámbrica en los que se quieren ofrecer diferentes niveles o políticas de acceso a recursos, como hoteles, embajadas, aeropuertos, etc.
Aunque la invención se ha ilustrado y descrito en detalle en los dibujos y en la descripción anterior, tales ilustraciones y descripciones han de considerarse ilustrativas o ejemplares y no restrictivas; la invención no se limita a las realizaciones dadas a conocer.
Por ejemplo, aunque la realización preferente de la invención utiliza el protocolo IEEE 802.11 se puede extender la invención a otros tipos de tecnologías de acceso inalámbricas no celulares, como WiMAX u otras por identificar o definir en un futuro.
Otras variaciones a las realizaciones dadas a conocer pueden entenderse y llevarse a cabo por los expertos en la técnica al poner en práctica la invención reivindicada, a partir de un estudio de los dibujos, la descripción y las reivindicaciones adjuntas. En las reivindicaciones, la expresión "que comprende" no excluye otros elementos o etapas, y el artículo indefinido "un" o "una" no excluye una pluralidad. Un único procesador u otra unidad pueden cumplir las funciones de varios elementos citados en las reivindicaciones. El mero hecho de que ciertas medidas se citen en reivindicaciones dependientes diferentes entre sí no indica que no pueda utilizarse una combinación de estas medidas de manera más ventajosa. Un programa informático puede almacenarse/distribuirse sobre un medio adecuado, tal como un medio de almacenamiento óptimo o un medio de estado sólido suministrado junto con o como parte de otro hardware, pero también puede distribuirse de otras formas, tal como a través de Internet y otros sistemas de telecomunicación cableada o inalámbrica. Cualquier signo de referencia en las reivindicaciones no debería interpretarse como limitativo del alcance.

Claims (19)

1. Un procedimiento para controlar el acceso a recursos de red seguros a través de una red inalámbrica (110), de forma diferenciada según el nivel de seguridad que se requiera para cada recurso, en el que se valoran una serie de parámetros de seguridad asociados a un usuario previamente autenticado, caracterizado porque incluye los pasos
de:
- obtener información (555) de la identidad de cada usuario que se conecta a través de un dispositivo inalámbrico (140) a partir de un proceso previo de autenticación;
- obtener información (570) relativa al contexto y/o el estado del usuario;
- generar (565,580) un vector de características (235) para cada usuario, que está formado por la información relativa al contexto y/o al estado del usuario y un perfil de usuario, que depende de la identidad del usuario;
- asignar (585) permisos a cada usuario, determinando el tipo de recursos de red seguros a los que se permite acceso a cada usuario, en función de su vector de características;
- realizar (595) un control de acceso a los recursos de red seguros, permitiendo la transferencia de datos sólo hacia/desde recursos permitidos para cada usuario, en función de los permisos asignados;
- actualizar (580) el vector de características, en concreto, la información relativa al contexto y/o al estado del usuario, y repetir de forma iterativa los pasos previos de asignar permisos (585) a cada usuario y de realizar (595) un control de acceso a los recursos de red seguros, así consiguiendo un cambio dinámico del tipo de recursos de red seguros a los que se permite acceso a cada usuario.
2. El procedimiento según la reivindicación 1, caracterizado porque la información relativa al contexto y/o al estado del usuario comprende información relativa a la localización del usuario.
3. El procedimiento según la reivindicación 2, caracterizado porque la información relativa a la localización del usuario es información sobre un tipo de zona en la que se encuentra el usuario obtenida mediante la conversión de información de localización absoluta del usuario.
4. El procedimiento según la reivindicación 2 o 3 caracterizado porque se utiliza una marca de tiempo indicando cuándo se obtuvo la información relativa a la localización del usuario, y se determina la validez de dicha información en base a la relación entre un umbral de tiempo y la marca de tiempo.
5. El procedimiento según cualquiera de las reivindicaciones anteriores caracterizado porque la información relativa al contexto y/o al estado del usuario comprende al menos uno de los siguientes parámetros: el análisis del comportamiento esperado del usuario, el día y/o la hora de acceso, la confianza en la identidad del usuario, el punto de acceso desde el que accede a la red y la probabilidad de acierto en la estimación de localización.
6. El procedimiento según cualquiera de las reivindicaciones anteriores caracterizado porque se obtiene la identidad del usuario en el proceso previo de autenticación basado en un identificador de usuario y contraseña en una red inalámbrica del tipo Wi-Fi, siguiendo el protocolo RADIUS.
7. El procedimiento según cualquiera de las reivindicaciones anteriores caracterizado porque a partir del proceso previo de autenticación se obtiene además de la identidad de usuario, un identificador del equipo o de la comunicación del usuario.
8. El procedimiento según la reivindicación 7 caracterizado porque un servidor de autenticación (205) comunica la identidad de usuario y el identificador del equipo (140) o de la comunicación de usuarios nuevos conectados mediante la inclusión de una entrada en una tabla de un repositorio o base de datos, que es monitorizado continuamente por un módulo de gestión dinámica de permisos (200).
9. El procedimiento según la reivindicación 7 caracterizado porque un servidor de autenticación envía la identidad de usuario y el identificador del equipo o de la comunicación de usuarios nuevos conectados directamente a un módulo de gestión dinámica de permisos.
10. El procedimiento según la reivindicación 7 caracterizado porque un módulo de gestión dinámica de permisos pregunta periódicamente a un servidor de autenticación la identidad de usuario y el identificador del equipo o de la comunicación de usuarios nuevos conectados.
11. El procedimiento según cualquiera de las reivindicaciones 7-10 caracterizado porque a partir del proceso previo de autenticación se obtiene el identificador del equipo y porque el identificador del equipo es la dirección MAC del adaptador de red inalámbrica del equipo.
12. El procedimiento según cualquiera de las reivindicaciones 7-10 caracterizado porque a partir del proceso previo de autenticación se obtiene el identificador de la comunicación y porque el identificador de la comunicación es la dirección IP asignada en la red inalámbrica al usuario, tras la autenticación.
13. El procedimiento según cualquiera de las reivindicaciones anteriores caracterizado porque la determinación del tipo de recursos de red seguros a los que se permite acceso a cada usuario en función del vector de características de usuario se realiza consultando una tabla multidimensional de permisos (230), que se especifica en un proceso previo de configuración, y que relaciona de forma unívoca cada posible vector de características con un identificador de recurso de red.
14. El procedimiento según la reivindicación 13 caracterizado porque los recursos de red se concretan mediante una o un conjunto de direcciones IP.
15. El procedimiento según la reivindicación 13 caracterizado porque los recursos de red se concretan mediante su nombre de red.
16. El procedimiento según cualquiera de las reivindicaciones anteriores caracterizado porque el control de acceso se realiza mediante marcado dinámico de paquetes según el permiso asignado, en función de la dirección MAC de dichos paquetes, y mediante filtrado de dichos paquetes en función de la marca.
17. El procedimiento según cualquiera de las reivindicaciones anteriores caracterizado porque por defecto los usuarios sin permiso asignado no tienen acceso a ninguno de los recursos de red seguros.
18. Un programa de ordenador que comprende medios de código adaptados para realizar las etapas de cualquiera de las reivindicaciones anteriores, cuando dicho programa se ejecuta en un ordenador.
19. Un sistema para controlar el acceso a recursos de red seguros a través de una red inalámbrica (110), de forma diferenciada según el nivel de seguridad que se requiera para cada recurso, en el que se valoran una serie de parámetros de seguridad asociados a un usuario previamente autenticado, caracterizado porque incluye un módulo de gestión dinámica de permisos (200) que de forma iterativa realiza los siguientes pasos:
- obtener información de la identidad de cada usuario que se conecta a través de un dispositivo inalámbrico a partir de un proceso previo de autenticación;
- obtener información relativa al contexto y/o el estado del usuario;
- actualizar un vector de características para cada usuario, que está formado por la información relativa al contexto y/o al estado del usuario y un perfil de usuario, que depende de la identidad del usuario;
- asignar permisos a cada usuario, determinando el tipo de recursos de red seguros a los que se permite acceso a cada usuario, en función de su vector de características;
y un módulo de control de accesos (170) para:
- realizar un control de acceso a los recursos de red seguros, permitiendo la transferencia de datos sólo hacia/desde recursos permitidos para cada usuario, en función de los permisos asignados.
ES200802990A 2008-10-22 2008-10-22 S de red seguros basado en el contextoprocedimiento y sistema para controlar el acceso inalambrico a recurso. Expired - Fee Related ES2337437B8 (es)

Priority Applications (8)

Application Number Priority Date Filing Date Title
ES200802990A ES2337437B8 (es) 2008-10-22 2008-10-22 S de red seguros basado en el contextoprocedimiento y sistema para controlar el acceso inalambrico a recurso.
BRPI0919779A BRPI0919779A2 (pt) 2008-10-22 2009-10-21 método e sistema para controlar o acesso sem fio a recursos de rede seguras baseado no contexto
PCT/ES2009/070447 WO2010046515A1 (es) 2008-10-22 2009-10-21 Procedimiento y sistema para controlar el acceso inalámbrico a recursos de red seguros basado en el contexto
UY0001032193A UY32193A (es) 2008-10-22 2009-10-21 Procedimiento y sistema para controlar el acceso inalambrico a recursos de red seguros basado en el contexto
US13/125,065 US8448257B2 (en) 2008-10-22 2009-10-21 Method and system for controlling context-based wireless access to secured network resources
EP09821630.2A EP2352323A4 (en) 2008-10-22 2009-10-21 METHOD AND SYSTEM FOR CONTROLLING CONTEXT-BASED WIRELESS ACCESS TO SECURED NETWORK RESOURCES
ARP090104055A AR073915A1 (es) 2008-10-22 2009-10-22 Procedimiento y sistema para controlar el acceso a recursos de red seguros a traves de una red inalambrica, y programa de ordenador
PA20098846501A PA8846501A1 (es) 2008-10-22 2009-10-22 Procedimiento y sistema para controlar el acceso inalambrico a recursos de red seguros basado en el contexto

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ES200802990A ES2337437B8 (es) 2008-10-22 2008-10-22 S de red seguros basado en el contextoprocedimiento y sistema para controlar el acceso inalambrico a recurso.

Publications (3)

Publication Number Publication Date
ES2337437A1 true ES2337437A1 (es) 2010-04-23
ES2337437B2 ES2337437B2 (es) 2011-02-07
ES2337437B8 ES2337437B8 (es) 2011-08-02

Family

ID=42082774

Family Applications (1)

Application Number Title Priority Date Filing Date
ES200802990A Expired - Fee Related ES2337437B8 (es) 2008-10-22 2008-10-22 S de red seguros basado en el contextoprocedimiento y sistema para controlar el acceso inalambrico a recurso.

Country Status (8)

Country Link
US (1) US8448257B2 (es)
EP (1) EP2352323A4 (es)
AR (1) AR073915A1 (es)
BR (1) BRPI0919779A2 (es)
ES (1) ES2337437B8 (es)
PA (1) PA8846501A1 (es)
UY (1) UY32193A (es)
WO (1) WO2010046515A1 (es)

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8225106B2 (en) * 2008-04-02 2012-07-17 Protegrity Corporation Differential encryption utilizing trust modes
US9124642B2 (en) * 2009-10-16 2015-09-01 Qualcomm Incorporated Adaptively streaming multimedia
US8639934B2 (en) 2010-06-10 2014-01-28 Empire Technology Development Llc Radio channel metrics for secure wireless network pairing
CN103370955B (zh) * 2011-02-14 2017-03-08 诺基亚技术有限公司 无缝wi‑fi订购修复
WO2012116717A1 (en) * 2011-03-03 2012-09-07 Telefonica, S.A. A method for querying a resource metadata and/or related information
US8671185B2 (en) * 2011-05-03 2014-03-11 Facebook, Inc. Data transmission between devices based on bandwidth availability
US8590018B2 (en) 2011-09-08 2013-11-19 International Business Machines Corporation Transaction authentication management system with multiple authentication levels
US8832798B2 (en) * 2011-09-08 2014-09-09 International Business Machines Corporation Transaction authentication management including authentication confidence testing
US9348985B2 (en) 2011-11-23 2016-05-24 Elwha Llc Behavioral fingerprint controlled automatic task determination
US8713704B2 (en) 2011-09-24 2014-04-29 Elwha Llc Behavioral fingerprint based authentication
US9015860B2 (en) 2011-09-24 2015-04-21 Elwha Llc Behavioral fingerprinting via derived personal relation
US9825967B2 (en) 2011-09-24 2017-11-21 Elwha Llc Behavioral fingerprinting via social networking interaction
US9298900B2 (en) 2011-09-24 2016-03-29 Elwha Llc Behavioral fingerprinting via inferred personal relation
US20130133054A1 (en) * 2011-09-24 2013-05-23 Marc E. Davis Relationship Based Trust Verification Schema
US8869241B2 (en) * 2011-09-24 2014-10-21 Elwha Llc Network acquired behavioral fingerprint for authentication
US9621404B2 (en) 2011-09-24 2017-04-11 Elwha Llc Behavioral fingerprinting with social networking
US8689350B2 (en) 2011-09-24 2014-04-01 Elwha Llc Behavioral fingerprint controlled theft detection and recovery
US9729549B2 (en) 2011-09-24 2017-08-08 Elwha Llc Behavioral fingerprinting with adaptive development
US9083687B2 (en) 2011-09-24 2015-07-14 Elwha Llc Multi-device behavioral fingerprinting
US10146956B2 (en) * 2012-05-07 2018-12-04 Nokia Technologies Oy Method and apparatus for providing location privacy
US9226124B2 (en) 2012-12-31 2015-12-29 Motorola Solutions, Inc. Method and apparatus for receiving a data stream during an incident
US9425966B1 (en) * 2013-03-14 2016-08-23 Amazon Technologies, Inc. Security mechanism evaluation service
US10057289B2 (en) * 2013-08-12 2018-08-21 International Business Machines Corporation Adjusting multi-factor authentication using context and pre-registration of objects
US9426137B2 (en) * 2014-07-15 2016-08-23 Verizon Patent And Licensing Inc. Mobile device user authentication based on user behavior information
US9307451B1 (en) * 2014-12-02 2016-04-05 International Business Machines Corporation Dynamic enterprise boundary determination for external mobile devices
DE102015201516A1 (de) * 2015-01-29 2016-08-04 Siemens Aktiengesellschaft Vorrichtung und Verfahren zum dynamischen Anpassen eines Zugriffs eines Clients auf einen Server
US10009329B2 (en) * 2015-06-23 2018-06-26 Microsoft Technology Licensing, Llc Learned roving authentication profiles
US9762595B2 (en) * 2015-08-11 2017-09-12 Raytheon Company Secure cross domain solution systems and methods
US10097996B2 (en) 2016-08-01 2018-10-09 At&T Intellectual Property I, L.P. Method and system to dynamically authenticate and grant access to non-trusted anonymous Wi-Fi
US11044240B2 (en) 2016-08-01 2021-06-22 At&T Intellectual Property I, L.P. Method and system to manage access to a wireless local area network
WO2018024922A1 (es) * 2016-08-05 2018-02-08 Telefonica, S.A. Sistema y método de control de datos personales de un usuario de redes de telecomunicaciones
US10225261B2 (en) 2016-08-29 2019-03-05 International Business Machines Corporation Adaptive enhanced environment-aware authentication for IoT devices
US10803189B2 (en) 2016-08-31 2020-10-13 Microsoft Technology Licensing, Llc Location-based access control of secured resources
US20190207946A1 (en) * 2016-12-20 2019-07-04 Google Inc. Conditional provision of access by interactive assistant modules
WO2018202284A1 (en) * 2017-05-03 2018-11-08 Telefonaktiebolaget Lm Ericsson (Publ) Authorizing access to user data
US11436417B2 (en) 2017-05-15 2022-09-06 Google Llc Providing access to user-controlled resources by automated assistants
US10127227B1 (en) 2017-05-15 2018-11-13 Google Llc Providing access to user-controlled resources by automated assistants
ES2797253T3 (es) 2017-07-25 2020-12-01 Telefonica Digital Espana Slu Un método y un sistema para encriptar comunicaciones inalámbricas que incluyen autenticación
CN109191274A (zh) * 2018-06-27 2019-01-11 深圳市买买提信息科技有限公司 一种审核方法和风控平台
US10686800B2 (en) * 2018-07-10 2020-06-16 Dell Products L.P. System and method of utilizing augmented reality in various contexts
EP3682345B1 (en) 2018-08-07 2021-11-24 Google LLC Assembling and evaluating automated assistant responses for privacy concerns
TWI694694B (zh) * 2018-10-12 2020-05-21 顯赫資訊股份有限公司 網路環境管理系統及其網路環境管理之方法
CN111527506B (zh) * 2018-12-03 2023-09-29 戴斯数字有限责任公司 利用动态关系认知的数据交互平台
EP3840302A1 (de) * 2019-12-17 2021-06-23 Siemens Aktiengesellschaft Zugriffsrechtemanagement bei technischen anlagen
US11824881B2 (en) 2020-04-15 2023-11-21 T-Mobile Usa, Inc. On-demand security layer for a 5G wireless network
US11799878B2 (en) 2020-04-15 2023-10-24 T-Mobile Usa, Inc. On-demand software-defined security service orchestration for a 5G wireless network
US11070982B1 (en) 2020-04-15 2021-07-20 T-Mobile Usa, Inc. Self-cleaning function for a network access node of a network
US11444980B2 (en) 2020-04-15 2022-09-13 T-Mobile Usa, Inc. On-demand wireless device centric security for a 5G wireless network
US10749910B1 (en) * 2020-04-24 2020-08-18 Cyberark Software Ltd. Multidimensional vectors for analyzing and visually displaying identity permissions
US11115824B1 (en) 2020-05-14 2021-09-07 T-Mobile Usa, Inc. 5G cybersecurity protection system
US11057774B1 (en) 2020-05-14 2021-07-06 T-Mobile Usa, Inc. Intelligent GNODEB cybersecurity protection system
US11206542B2 (en) 2020-05-14 2021-12-21 T-Mobile Usa, Inc. 5G cybersecurity protection system using personalized signatures

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1720370A1 (en) * 2005-03-31 2006-11-08 Newbury Networks Inc. Method and apparatus for location-based control of access privileges

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6092199A (en) * 1997-07-07 2000-07-18 International Business Machines Corporation Dynamic creation of a user account in a client following authentication from a non-native server domain
US6308273B1 (en) * 1998-06-12 2001-10-23 Microsoft Corporation Method and system of security location discrimination
US6470453B1 (en) * 1998-09-17 2002-10-22 Cisco Technology, Inc. Validating connections to a network system
US20030018915A1 (en) * 2001-07-19 2003-01-23 Louis Stoll Method and system for user authentication and authorization of services
EP1562343A1 (fr) * 2004-02-09 2005-08-10 France Telecom Procédé et système de gestion d'autorisation d'accès d'un utilisateur au niveau d'un domaine administratif local lors d'une connexion de l'utilisateur à un réseau IP
US20060230438A1 (en) * 2005-04-06 2006-10-12 Ericom Software Ltd. Single sign-on to remote server sessions using the credentials of the local client
WO2007010427A1 (en) * 2005-07-22 2007-01-25 Koninklijke Philips Electronics N.V. Digital inheritance
WO2007058207A1 (ja) * 2005-11-15 2007-05-24 Kabushiki Kaisha Toshiba コンテンツ管理システム及びその管理方法
US20070150934A1 (en) * 2005-12-22 2007-06-28 Nortel Networks Ltd. Dynamic Network Identity and Policy management

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1720370A1 (en) * 2005-03-31 2006-11-08 Newbury Networks Inc. Method and apparatus for location-based control of access privileges

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ARIEL HERNANDEZ HERNANDEZ, et al. Nuevo Sistema De Autenticación Y Autorización Wi-Fi, Basado En Localización En Interiores Para Entornos Seguros. XXII Congreso URSI 2007: Simposium Nacional De La Unión Científica Internacional De Radio 20.09.2007. Todo el documento. *

Also Published As

Publication number Publication date
US20110239276A1 (en) 2011-09-29
ES2337437B2 (es) 2011-02-07
UY32193A (es) 2010-05-31
PA8846501A1 (es) 2010-05-26
ES2337437B8 (es) 2011-08-02
EP2352323A1 (en) 2011-08-03
WO2010046515A1 (es) 2010-04-29
US8448257B2 (en) 2013-05-21
AR073915A1 (es) 2010-12-09
EP2352323A4 (en) 2014-12-24
BRPI0919779A2 (pt) 2015-12-08

Similar Documents

Publication Publication Date Title
ES2337437B2 (es) S de red seguros basado en el contextoprocedimiento y sistema para controlar el acceso inalambrico a recurso.
US11129021B2 (en) Network access control
ES2673938T3 (es) Procedimiento y elemento de red para acceso mejorado a redes de comunicación
US20160366183A1 (en) System, Apparatus And Method For Access Control List Processing In A Constrained Environment
CN107005442B (zh) 用于远程接入的方法和装置
US8631471B2 (en) Automated seamless reconnection of client devices to a wireless network
ES2333862T3 (es) Gestion de configuracion de unidad movil para wlans.
EP2846586B1 (en) A method of accessing a network securely from a personal device, a corporate server and an access point
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
ES2359637T3 (es) Sistema cortafuegos para proteger una comunidad de aparatos, aparato participante del sistema y método para actualización de las reglas de cortafuegos dentro del sistema.
ES2794723B2 (es) Metodo y sistema de comunicacion segura por proxificacion de sockets de red
IL258598A (en) System and method for method control
JP2006304285A (ja) 無線クライアントのロケーションに基づいて無線ネットワーク・アクセス特権を制御する方法および装置
US20180013722A1 (en) Distributed firewall device and system
KR100714367B1 (ko) 인증 서버와 연동되는 네트워크 보안 시스템 및 그 방법
US11038849B1 (en) Private programmable mesh network
Sengul Privacy, consent and authorization in IoT
JP2022519433A (ja) 無線周波数環境の挙動ベースの監視のためのゼロ・トラスト・ワイヤレス監視システム及び方法
Zahra et al. Assessing the services, security threats, challenges and solutions in the Internet of Things
US20150020148A1 (en) Identity Based Connected Services
WO2006001647A1 (en) Network integrated management system
EP2741465B1 (en) Method and device for managing secure communications in dynamic network environments
KR20060044494A (ko) 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버
Anton et al. Putting things in context: Securing industrial authentication with context information
JP5888749B2 (ja) ネットワークの接続認証方法及びシステム

Legal Events

Date Code Title Description
EC2A Search report published

Date of ref document: 20100423

Kind code of ref document: A1

FG2A Definitive protection

Ref document number: 2337437

Country of ref document: ES

Kind code of ref document: B2

Effective date: 20110126

FD2A Announcement of lapse in spain

Effective date: 20180924