ITUB20151009A1 - Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato - Google Patents

Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato Download PDF

Info

Publication number
ITUB20151009A1
ITUB20151009A1 ITUB2015A001009A ITUB20151009A ITUB20151009A1 IT UB20151009 A1 ITUB20151009 A1 IT UB20151009A1 IT UB2015A001009 A ITUB2015A001009 A IT UB2015A001009A IT UB20151009 A ITUB20151009 A IT UB20151009A IT UB20151009 A1 ITUB20151009 A1 IT UB20151009A1
Authority
IT
Italy
Prior art keywords
network
user
connection
telecommunications system
access
Prior art date
Application number
ITUB2015A001009A
Other languages
English (en)
Inventor
Tommaso Frigerio
Luca Rizzuti
Original Assignee
Areawfi Integrated System S R L
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Areawfi Integrated System S R L filed Critical Areawfi Integrated System S R L
Priority to ITUB2015A001009A priority Critical patent/ITUB20151009A1/it
Priority to BR112017025301A priority patent/BR112017025301A2/pt
Priority to RU2017145668A priority patent/RU2722393C2/ru
Priority to CN201680044113.9A priority patent/CN107925653B/zh
Priority to US15/576,924 priority patent/US11265312B2/en
Priority to PCT/IB2016/053084 priority patent/WO2016189487A1/en
Priority to EP16739548.2A priority patent/EP3304859A1/en
Publication of ITUB20151009A1 publication Critical patent/ITUB20151009A1/it
Priority to IL255911A priority patent/IL255911B/en
Priority to HK18112496.4A priority patent/HK1253215A1/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Communication Control (AREA)

Description

SISTEMA DI TELECOMUNICAZIONI PER LA TRASMISSIONE SICURA DI DATI AL SUO INTERNO E DISPOSITIVO AD ESSO ASSOCIATO
La presente invenzione ? volta a proteggere un sistema di telecomunicazioni perfezionato, in particolare un sistema di telecomunicazioni in grado di operare su rete informatica pubblica e privata in parallelo ad una connessione internet convenzionale in modo sicuro e semplice per l?utenza.
Sono oltremodo noti nella tecnica sistemi di telecomunicazioni, comunemente commercializzati in negozi specializzati od associati all?offerta di operatori telefonici, volti meramente ad offrire uno strumento sistema di accesso alla rete telefonica, ovvero a rilevare e a trasmettere il segnale da e verso gli elaboratori. Sono inoltre previsti dispositivi specifici, disposti a valle del dispositivo di rilevamento e di traduzione del segnale, che hanno sostanzialmente lo scopo di adattare alle esigenze specifiche dell?utente la connettivit?, tipicamente limitandone le potenzialit? per esigenze di sicurezza. Tali dispositivi possono essere integrati ai dispositivi di rilevamento e traduzione, oppure disposti a valle di esso.
Per quanto la combinazione dei due dispositivi risolva di per s? le minime garanzie di accesso alla rete di telecomunicazioni con la sufficiente sicurezza, si ? costantemente riconosciuta la notevole difficolt? nella personalizzazione delle attivit? e dei servizi, in modo da ottenere, per qualunque tipologia di utenza, un vero e proprio server di connessione, con un sistema operativo personalizzato per la gestione dei flussi di dati, che permetta di fornire, in modo integrato, qualunque servizio, preconfigurato od installato su richiesta ottimizzando e risolvendo in tal modo i limiti presenti oggi nella strumentazione generalmente fornita per la connessione alla rete in genere. Gi? oggi sono utilizzate procedure informatiche per creare reti personalizzate per scopi diversi. Ad esempio ? definita VPN, (VPN = virtual private network), una rete costruita in modo da rendere obbligatoria l'autenticazione per chiunque voglia accedervi. Tuttavia tale modalit? di gestione della connettivit? ? limitata dall'hardware utilizzato dall'utente per la navigazione (computer, smartphone, tablet..) che deve essere configurato ad hoc e dal fatto che ? possibile accedervi solo da un unico punto: la rete internet aperta a tutti.
Infatti, le notizie di furto di documenti riservati conservati e comunicati via internet sono all'ordine del giorno.
Allo stesso modo, i sistemi di gestione dei dati sensibili che, teoricamente, dovrebbero prevedere meccanismi di protezione avanzati, hanno in pi? casi palesato la loro vulnerabilit?.
E? pertanto evidente che gli attuali sistemi convenzionali di sicurezza (c.d. policy di sicurezza), quali, ad esempio, l'autenticazione a due fattori, o l'implementazione di una VPN, non sono pi? adeguati alle esigenze dell'utenza. Scopo della presente invenzione ? pertanto di realizzare un sistema integrato di telecomunicazioni che sia in grado di superare le difficolt? ad oggi riscontrate nella predisposizione di reti. Tale sistema ? versatile ed in grado di soddisfare le esigenze pi? disparate nell?architettura di una rete di comunicazioni informatica. In tal modo ? possibile gestire e risolvere ogni problematica relativa alla sicurezza, senza trascurare qualunque personalizzazione finalizzata allo scopo.
Detto scopo ? ottenuto mediante un sistema di telecomunicazioni con le caratteristiche riportate nella rivendicazione principale, le rivendicazioni secondarie riguardando le caratteristiche preferibili del sistema.
Il sistema viene ora descritto con riferimento ad alcune forme d?esecuzione preferite, esemplificative delle sue propriet?, ma non limitative dell?ambito di protezione della soluzione stessa. A supporto della descrizione sono previste le figure allegate, in cui:
fig. 1 ? la vista schematica di un sistema di telecomunicazioni convenzionale semplificato;
fig. 2 ? la vista schematica di un sistema di telecomunicazioni secondo l?invenzione;
fig. 3 ? la vista schematica dell'architettura generica che accomuna tutte le varie tipologie di dispositivo adottato per la connessione all'interno della rete di telecomunicazioni secondo l'invenzione.
Convenzionalmente, come illustrato in fig. 1, si prevede che un sistema di telecomunicazioni presenti una connessione tra i diversi individui, appartenenti alla medesima rete, situati in sedi differenti. Per consentire tale operazione di collegamento, si deve prevedere un?architettura di rete che si appoggia sulla connessione internet: il server centrale consente le comunicazioni con le sedi periferiche. Tale architettura di rete, a seconda della dimensione che rappresenta, pu? essere riprodotta con un numero di servers proporzionale ai bisogni di traffico dati e di utenza fruente (i c.d servers di smistamento).
Secondo il sistema di telecomunicazioni previsto, come illustrato nelle figg.
3 e 4, l?architettura di rete viene profondamente modificata rispetto alla soluzione convenzionale mediante un dispositivo di gestione e controllo delle trasmissioni, costituito da un processore SOC (System On Chip ? Sistema su un singolo chip), cui sono associate le periferiche di supporto, opportune alla bisogna, quali schede di rete ethernet, WiFi e reti dati mobili.
Il processore SOC ? composto anche di una CPU che fornisce la capacit? elaborativa, di un proprio sistema operativo, aperto (ad esempio Linux), che pu? essere personalizzato e modificato secondo le specifiche necessit? dell?utente, in modo da ottenere le caratteristiche di sicurezza e computazionali desiderate. Inoltre, il dispositivo, facendo parte di una rete informatica pu? subire, da parte di un centro di controllo. Da remoto possono essere apportate le opportune modifiche di programmazione in ogni momento, al fine di estenderne e migliorarne le funzionalit?. Tutti i dispositivi necessari per la gestione in sicurezza degli accessi alla rete telematica possono essere aggiornati in ogni momento quando necessario.
Si pu? pertanto realizzare un sistema di telecomunicazioni protette: la particolare configurazione del dispositivo di connessione consente da un lato di identificare una o pi? reti cui possono accedere solo utenti dotati del dispositivo opportunamente programmato e dall'altro permette il facile controllo degli accessi riservato ai soli autorizzati da parte del singolo gestore della specifica rete (di seguito solo editore) di interesse.
Comprensibilmente, l'editore pu? definire i parametri di visibilit? della rete stessa, stabilendo personalmente l'uso che vuole darne: privato, pubblico, aperto a pochi, a tutti o solo ad alcuni, gratuita o a pagamento.
L'innovazione del sistema di cui oggetto del presente brevetto permette di apportare valide risposte alla crescente richiesta di sicurezza determinata dalla necessit?, di comunicare ed utilizzare servizi digitali in genere al riparo dalle pi? comuni minacce portate dai virus e da condotte di hackeraggio finalizzate a procurare danni: vere e proprie condotte criminose di ogni sorta. La soluzione siffatta, inoltre, permette al gestore della rete erogante i servizi internet, di identificare in modo certo il punto di connessione e pertanto il legittimo possessore del dispositivo di connessione stesso, tanto da definire in modo univoco il principio della responsabilit? personale nell'uso di internet e da porre solide basi per mettere al bando ogni condotta illegale, interrompendo tecnicamente, in modo facile e veloce, il punto di connessione illegale.
Il dispositivo di connessione diventa cos? esso stesso il gestore della connessione ad internet e come tale anche il garante dell' identificazione del proprietario e il garante di chi su internet offre servizi di vario genere, dal sito web alle comunicazioni interne ad aziende di grandi dimensioni.
Sono, infatti, previsti mezzi di tutela della sicurezza del dispositivo e, conseguentemente, dell?intero sistema, valutabili anche come prove certe nella ricostruzione della responsabilit? personale dell?utente nell?uso della rete. Cos? la presenza della chiave crittografica privata identifica in modo certo l?utente e consente di tracciare il suo traffico in caso di necessit? e, nello stesso tempo, consente di limitare l?accesso indesiderato di terzi alla rete difendendo in modo economico, diretto e veloce l'intero sistema di telecomunicazioni.
Per potere garantire la necessaria sicurezza, il dispositivo di connessione, quindi, si avvale di tutte le tecnologie informatiche note (virtualizzazione, sandboxing, minimi privilegi, protezione fornita dal sistema operativo sottostante e altre tecniche create apposta) importanti elementi programmati anche per garantire la sua stessa integrit?, diventando inviolabile anche dallo stesso possessore.
Sono anche previste misure di sicurezza fisico-meccaniche, quali sigilli esterni e dispositivi elettronici interni, atti a rilevare tentativi di apertura forzata del dispositivo stesso. Il sistema software ? programmato per operare in autonomia in caso di effrazione cancellando all'istante tutti i dati in esso contenuti e diventando, pertanto, inutilizzabile.
Si ? potuto constatare, inoltre, che uno dei punti di massimo rischio nelle attivit? di accesso fraudolento ad un dispositivo di connessione ? legato al fatto che nella maggior parte dei casi questo mantiene alcune porte di comunicazione sempre aperte per interventi di servizio come ad esempio effettuare aggiornamenti, o per controllare e verificare in genere le funzionalit? del sistema. Questa necessit? rende inevitabilmente la rete facilmente vulnerabile.
Pertanto, al fine di rendere minimo il rischio di attacchi indesiderati da parte di terzi e di garantire, comunque, all?utente anche inesperto l' accesso ai sistemi di aggiornamento e di manutenzione da remoto, si ? optato di associare al dispositivo di connessione un meccanismo di comando, che libera ? per il tempo necessario ? alcune porte del dispositivo di connessione. In questo modo ? sorvegliato anche dall'utente stesso, possessore dell'apparecchio di connessione, il periodo di intervento La sicurezza pertanto ? garantita da un comando volutamente attivato valido per un tempo determinato funzionale al solo intervento richiesto.
Tipicamente il dispositivo a comando ? un pulsante, un tastierino, o un sistema analogo. Il dispositivo a comando, inoltre, pu? essere associato allo sblocco di tutte le funzionalit? ritenute critiche per la sicurezza del dispositivo di comunicazione stesso, dei dati ivi custoditi e dell'integrit? delle reti a cui fornisce accesso.
La sicurezza della rete di comunicazione creata dal dispositivo in oggetto ? anche legata in modo imprescindibile a un processo di certificazione degli utenti. Similmente a quando si emette un certificato SSL per certificare un sito WEB, ogni utente del sistema di telecomunicazione accessibile solo per mezzo del dispositivo, va certificato dal gestore del sistema stesso tramite l'emissione di un certificato. Tale certificato informatico identifica il dispositivo per il quale ? stato emesso e il suo proprietario. Tale certificato pu? essere revocato e ci? comporta l'istantanea disconnessione e l'impossibilit? di ogni ulteriore utilizzo per un qualunque servizio ad esso associato. Il dispositivo infatti consente l'accesso solo a quelle reti di telecomunicazione per le quali abbia un certificato valido, emesso dai gestori delle reti stesse.
Per gestire le richieste di emissione e gestione dei certificati, la presente soluzione realizza una procedura innovativa di richiesta, acquisizione ed uso dei certificati digitali semplificata, che non richiede conoscenze tecniche specifiche, resa possibile dalle specifiche caratteristiche del dispositivo oggetto del brevetto, che permette all'utente finale di acquisire in tempi brevi, con passaggi semplificati e in modo trasparente i certificati da lui richiesti. Un importante immediato vantaggio derivante dalla gestione dei certificati cos? pensata, inventata e programmata ? quello di rendere accessibile la rete da ogni dove ci si connetta e con qualunque dispositivo si navighi.
L'attivit? di gestione della rete fornito da questo innovativo sistema di telecomunicazioni permette di personalizzare a piacimento la tipologia di accessi permessi senza alcun limite geografico e tecnologico di hardware utilizzato potendo intervenire, per eventuali ulteriori modifiche, in modo economico, sicuro e rapido.
Si possono, quindi, prevedere strutture pi? articolate e complesse, come, ad esempio, nel caso di una societ? di grandi dimensioni con esigenze di sicurezza particolarmente stringenti. In queste situazioni, di solito, la protezione dalla rete aperta al pubblico apportata dai convenzionali sistemi di connessione, prevede l?uso di SSL e di autenticazione tramite certificati installati tramite software presenti negli elaboratori e negli apparecchi in genere utilizzati dal dipendente per accedere alla rete aziendale e certificando, appunto, l'accesso ai servizi ivi presenti.
Questa procedura vincola completamente l'utilizzo di quello specifico apparecchio configurato complicando e rendendo impossibile la connessione un eventuale malfunzionamento dello stesso.
Con la soluzione ora descritta, invece, si riescono a superare gli ostacoli che di solito si presentano, quali ad esempio: la necessit? di installare i certificati client su tutti i dispositivi utilizzati, l?impossibilit? di accesso alla rete tramite i sistemi di telefonia cellulare, che non supportano l'autenticazione con certificato client. Si possono presentare quindi evidenti vulnerabilit? del web server, problemi di compatibilit? tra le applicazioni comunemente usate rendendo l'autenticazione con certificati un evidente ostacolo all'uso e alla perfetta gestione del fine per i quali sono installati: la sicurezza della rete. Il sistema innovativo ora realizzato consente di associare ad ogni terminale un dispositivo di comunicazione che autorizza l?accesso contemporaneo a rete internet e rete aziendale, senza la necessit? di strutture virtuali aggiuntive, mediante la convenzionale connessione. La comunicazione tra i singoli dispositivi e il server centrale avviene pertanto mediante un canale dedicato della rete telefonica, di fatto separato dalla connessione internet convenzionale. Quest?ultima avviene, comunque, e in contemporanea, ma su altro canale.
La configurazione del dispositivo di trasmissione dei dati consente pertanto all?utente di non avere alcuna percezione del sistema duale di comunicazioni, n? di dovere predisporre particolari accorgimenti sui dispositivi in suo uso. E? sufficiente la connessione convenzionale al gestore di rete cui ? abbonato.
Inoltre, il dispositivo di connessione ? strutturato per l'aggiunta di funzionalit? ad una connessione internet: esso pertanto ? predisposto per controllare costantemente il traffico entrante e uscente, al fine di identificare automaticamente anomalie che possano essere riconosciute come comportamenti attuati nel corso di attacco a sistemi informatici. Nel caso, il dispositivo blocca ogni tipo di traffico ? in entrata e in uscita ? che possa creare una qualsivoglia forma di preoccupazione. La scansione riguarda in particolare il traffico web, alla ricerca di malware o virus informatici, la posta elettronica, la trasmissione di allegati o la richiesta di accesso da sistemi remoti.
La principale funzionalit? del sistema ora realizzato ? quella di rendere semplice la creazione di reti di comunicazione protette con tecnologie di crittografia forte, basate sulla tecnologia delle chiavi pubblica e privata. Di seguito si descrivono dispositivi di connessione che consentono la creazione di reti sicure considerando un caso d'uso tipico. Tale caso d'uso si applica a reti di qualsiasi dimensione, dalla rete aziendale a quelle geografiche con molti datacenter, private o aperte al pubblico, gratuite o a pagamento.
Nella creazione di una rete con il dispositivo di connessione previsto per il sistema qui descritto esistono sempre tre attori:
1. L'utente finale, proprietario di un dispositivo di connessione dedicato. 2. Il gestore della rete a cui accedere.
3. I creatori del dispositivo di connessione che concedono in licenza la possibilit? di usarlo per accedere ad una rete di propriet?.
Dopo che l'utente finale ha acquistato un dispositivo di connessione dedicato, predisposto per il sistema di telecomunicazioni ora descritto, lo collega al suo router ADSL o lo connette in versione mobile (tramite sim dati inserita nel dispositivo) e accede all'interfaccia web per la configurazione iniziale. Completata questa prima fase, l'utente finale pu? navigare su internet in modo normale.
Quando l'utente finale decide di connettersi a una rete protetta, ad esempio che offra contenuti video o musica, l'utente nell'interfaccia di gestione del dispositivo di connessione dedicato seleziona la rete scelta tra le molte possibili e compila una richiesta di connessione comprendente i dati personali, un numero di telefono e una password monouso. Il dispositivo, a questo punto automatizza tutte le fasi tecnicamente complesse, della richiesta del certificato ed invia la richiesta CSR (Certificate Sign Request) al gestore della rete.
Il gestore della rete a quel punto riceve la richiesta di connessione con i dati, li verifica ed emette un certificato che autorizza l'utente a connettersi alla sua rete. Il dispositivo di connessione dedicato riceve, in modo trasparente all'utente, il certificato e chiede all'utente di inserire la password monouso per lo sblocco del certificato. A quel punto il dispositivo di connessione dedicato si connette alla rete scelta e consente all'utente di fruire liberamente non solo di internet ma anche della rete di specifico interesse, usando dei nomi opportuni. Ogni rete avr? dei toplevel domain dedicati, per distinguerla dalle altre.
Perch? la rete sia visibile ai proprietari dei vari dispositivi di connessione dedicato, ? necessario che il gestore ne richieda l?inserimento ai proprietari del sistema.
Il sistema di telecomunicazioni siffatto e la programmazione del relativo dispositivo di connessione dedicata, presentano meccanismi di difesa pensati per individuare i comportamenti scorretti e revocare i certificati di connessione con effetto immediato, al fine di bloccare i malintenzionati.
Nel caso di reti aziendali, il sistema ? relativamente pi? semplice, visto che gli attori sono solo il gestore della rete e l'utente finale.
Similmente a internet, nel caso di reti aziendali, il gestore della rete acquista un certo numero di dispositivi di connessione dedicato da distribuire ai dipendenti, per connettersi alla rete aziendale da casa o in viaggio, programmandoli in modo che siano gi? correttamente configurati per l?accesso ai server di connessione remota, ed emettendo un certificato per ogni utente. L'utente finale, mediante la connessione a internet, tramite un qualsivoglia modem ? ora connesso alla rete aziendale, in modo completamente trasparente e pu? comunque continuare a navigare su internet senza problemi particolari.
Si comprende che tutte le funzionalit? ora descritte vengono offerte in modo assolutamente trasparente all'utente finale a cui non sar? richiesta nessuna competenza tecnica specifica per fruire dei servizi del dispositivo che va a costituire l?elemento fondante del sistema secondo l?invenzione.
Si comprende altres? che la soluzione ora descritta rende possibile questo compito grazie al fatto di concentrare su un unico oggetto molteplici funzionalit? di sicurezza e controllo di accesso, che normalmente richiedono la configurazione e installazione di una moltitudine di dispositivi e/o software dedicati di non semplice utilizzo, ovvero da tutti quei dispositivi che accedono al medesimo dispositivo. Tipicamente, solo chi detiene un dispositivo secondo l?invenzione su cui viene installato un certificato da chi detiene il controllo degli accessi alla rete privata, potr? accedere a tale rete. In caso di furto o smarrimento, le procedure per la revoca sono semplicissime, simili a quelle nel caso di smarrimento di una carta di credito.
Inoltre, la particolare conformazione del dispositivo predisposto per il sistema di telecomunicazioni qui descritto, ? tale da rendere sostanzialmente nullo il rischio di infrazioni telematiche: la sicurezza informatica viene infatti venduta in un dispositivo. Esso ? infatti predisposto per poter bloccare ogni attivit? inconsapevole di D-DOS (Distributed Denial Of Service) tipicamente utilizzati da organizzazioni eversive per mettere offline siti web o altro genere di servizi.
In sintesi, il sistema di telecomunicazioni cos? realizzato gli scopi prefissati, ed altri vantaggi imprevisti, ma non meno validi. In particolare, si ottiene un accesso sicuro a risorse normalmente disponibili su reti informatiche TCP/IP quali Internet. L?accesso, grazie al sistema ora descritto, avviene in modo trasparente a una o pi? reti private con autenticazione forte basata su certificati digitali ed eventuale revoca tramite CRL (certificate revocation list) pubblica. Tutti i servizi di rete disponibili diventano cos? fruibili in condizioni di sicurezza, senza bisogno di particolari accorgimenti o competenze tecniche. In caso di smarrimento del dispositivo la revoca dei certificati installati garantisce l'impossibilit? di riutilizzarlo in modo malevolo a danno dell'azienda proprietaria dello stesso.
Si riesce ad ottenere un sistema di connessione duale, in cui il dispositivo separa le comunicazioni con la rete aziendale dalla connessione ad internet, senza che sia evidentemente identificabile agli occhi dell?utente una differenza di gestione dei dati.
Il sistema prevede di riconoscere quali dispositivi siano associati al sistema duale di connessione, e quali siano predisposti per la connessione ad una sola delle reti. E? inoltre previsto che per il dispositivo autorizzato alla connessione tramite il sistema di telecomunicazioni ora descritto un sistema di cloud crittografato. Diversamente dai cloud per la conservazione di dati esistenti, la crittografia viene eseguita sul dispositivo di connessione, non sui server remoti. Il vantaggio di questo e dato dal non dover conservare le chiavi crittografiche sui server remoti, ma solo ed esclusivamente sul dispositivo.
Il dispositivo in questione fornisce anche altre funzionalit? di sicurezza, secondarie si, ma utili in un contesto in cui le necessit? di sicurezza siano massime.
E? possibile, sfruttando il dispositivo di comunicazione unitamente ad una rete dedicata allo scopo, rendere anonima la connessione vera, basata su NAT, senza bisogno di basarsi su proxy di vario livello. Il servizio viene erogato col supporto di server esterni, sempre in modo trasparente per l'utente e senza limitazioni particolari tipici di altri servizi di anonimato tipo TOR. Diversamente dalle reti illegali di anonimizzazione esistenti, la rete del dispositivo in questione ? perfettamente legale, in quanto gli utenti passeranno attraverso i meccanismi di identificazione precedentemente esposti.
Si ? inoltre previsto che i proprietari possano utilizzare una webmail a proprio uso esclusivo tramite una interfaccia WEB. In questo modo si ottiene l'invio di email firmate elettronicamente tramite certificato digitale S-MIME. Di norma, la funzionalit? di firma delle email ? complessa e insicura, in quanto si prevede obbligatoriamente che i certificati di firma siano inviati sui server su cui la webmail viene ospitata, e pertanto non si ha il possesso esclusivo del certificato di firma: questa procedura rallenta la diffusione delle email firmate digitalmente.
Col dispositivo oggetto del brevetto, sia la webmail che il certificato si trovano esclusivamente sul dispositivo stesso e le email vengono firmate automaticamente, senza difficolt? tecniche. Il certificato di firma pu? essere richiesto con le stesse, semplici modalit? dei certificati di connessione al centro di controllo a cui afferiscono tutti i dispositivi.
I certificati di firma all'interno del dispositivo possono essere utilizzati anche per la firma di documenti elettronici tramite una interfaccia web o un software installabile su personal computer, tablet o cellulare.
Le funzionalit? aggiuntive previste possono essere sottoposte al controllo del dispositivo di comando, in modo da impedire che la funzionalit? sia utilizzata da male intenzionati all'insaputa dell'utente.
Tutte le funzionalit? aggiuntive esposte possono essere fruite tramite la rete telematica, su cavo o senza fili instaurata tra il dispositivo e il personal computer o equivalente dell'utente.
Per consentire la comunicazione tra i server, i vari terminali delle sedi centrale e delle sedi periferiche, superando i relativi problemi di velocit? legata all?uso della banda da parte degli altri utenti e di sicurezza, ? sufficiente configurare il dispositivo secondo la modalit? IP-bridge. Si ottiene, infatti, in modo semplice e trasparente, l?associazione di un ip pubblico ai server di interesse, che sono in questo modo raggiungibili da qualunque punto del mondo.
Infine, il sistema cos? realizzato pu? prevedere l?uso di un dispositivo fisico da interporre tra una rete informatica casalinga o aziendale e internet, oppure essere integrato all'interno dei dispositivi elettronici necessari per l?accesso e la fruizione del sistema di telecomunicazioni stesso, quali personal computer, cellulari, tablet, modem, router e dispositivi di accesso a internet in generale.
Riassumendo il nuovo sistema consente di:
- Ridurre gli attacchi informatici, in quanto i dispositivi coinvolti vengono disattivati tempestivamente revocando i certificati di connessione, in questo modo non possono pi? connettersi alle reti protette;
- Ridurre lo spam aggressivo, grazie alla revocazione dei certificati nel caso di mancato rispetto delle norme di netiquette;
- Annullare il furto di identit?, prevedendo che la connessione avvenga solo dopo identificazione certa, ad esempio mediante documenti emessi da enti pubblici;
- Limitare l?attacco ai siti web, dal momento che l?utente che opera con il sistema oggetto dell?invenzione viene identificato;
- Limitare l?utilizzo inconsapevole delle risorse di un computer grazie all?immediata segnalazione da parte del gestore della rete all?utente dell?avvenuta infezione del proprio elaboratore;
- Limitare il numero di server su cui gestire la sicurezza in modo approfondito da parte dei gestori delle reti, semplificando cos? la gestione e riducendo il rischio di attacchi massivi.
- semplificare la creazione di una infrastruttura di rete con accessi basati su certificati digitali
- dare ampia diffusionie all'uso dei certificati digitali per le connessioni protette e per la firma digitale di email e documenti.
Si comprende che il sistema ora descritto pu? subire varianti e modifiche, qui non riportate. Queste sono da considerarsi rientrare nell?ambito di protezione della presente invenzione, che ? definita nelle rivendicazioni allegate.

Claims (5)

  1. RIVENDICAZIONI 1) Sistema di telecomunicazioni del tipo composto da una serie di terminali connessi tra loro tramite un server ed una rete di trasmissione di dati caratterizzato dal fatto che sono ulteriormente previsti mezzi per la gestione ed il controllo della trasmissione dei dati all?interno della rete, detti mezzi essendo costituiti da un unico dispositivo di connessione costituito da un processore SOC (System on Chip) cui sono associate le periferiche di supporto richieste.
  2. 2) Sistema di telecomunicazioni come in 1) caratterizzato da ci? che ? previsto un sistema di chiave crittografata privata univoca di identificazione dell?utente.
  3. 3) Sistema di telecomunicazioni come in 1) o in 2) caratterizzato da ci? che ? previsto un sistema di doppia autenticazione a chiave pubblicaprivata e a password d?accesso.
  4. 4) Sistema di telecomunicazioni come in una qualsiasi rivendicazione precedente caratterizzato da ci? che detto processore SOC ? provvisto di un sistema operativo aperto che pu? essere oggetto di personalizzazione secondo le specifiche esigenze dell?utente.
  5. 5) Sistema come in 4) caratterizzato da ci? che detto processore SOC ? atto a riconoscere le reti protette presenti in rete e a stabilire la connessione con le reti protette per cui dispone di autorizzazione 6) Sistema come in una qualsiasi rivendicazione precedente caratterizzato da ci? che su detti mezzi per la gestione ed il controllo della trasmissione dei dati sono previsti dispositivi a comando di apertura di porte per l'accesso da remoto a detti mezzi per la gestione ed il controllo della trasmissione di dati. 7) Sistema come in una qualsiasi rivendicazione precedente caratterizzato da ci? che sono previsti mezzi di sicurezza fisica, quali sigilli esterni e dispositivi elettronici interni, atti a rilevare tentativi di apertura fisica del dispositivo e a procedere con la cancellazione di tutti i dati in esso contenuti. 8) Sistema come in una qualsiasi rivendicazione precedente caratterizzato da ci? che l?attivit? crittografica ? eseguita sul suddetto dispositivo di connessione. 9) Sistema come in una qualsiasi rivendicazione precedente caratterizzato da una procedura di richiesta, acquisizione ed uso dei certificati digitali, semplificata che non richiede conoscenze tecniche specifiche. 10) Sistema come al punto 9) caratterizzato da una procedura di richiesta e acquisizione dei certificati digitali innovativa resa possibile dalle caratteristiche del dispositivo oggetto del brevetto.
ITUB2015A001009A 2015-05-26 2015-05-26 Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato ITUB20151009A1 (it)

Priority Applications (9)

Application Number Priority Date Filing Date Title
ITUB2015A001009A ITUB20151009A1 (it) 2015-05-26 2015-05-26 Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato
BR112017025301A BR112017025301A2 (pt) 2015-05-26 2016-05-26 ?sistema de telecomunicação, dispositivo de identificação e validação de credencial de usuário unívocas, e, método de atribuição unívoca das credenciais de um usuário?
RU2017145668A RU2722393C2 (ru) 2015-05-26 2016-05-26 Телекоммуникационная система для осуществления в ней защищенной передачи данных и устройство, связанное с этой системой
CN201680044113.9A CN107925653B (zh) 2015-05-26 2016-05-26 用于安全传输其中数据的电信***以及与该电信***相关联的设备
US15/576,924 US11265312B2 (en) 2015-05-26 2016-05-26 Telecommunication system for the secure transmission of data therein and device associated therewith
PCT/IB2016/053084 WO2016189487A1 (en) 2015-05-26 2016-05-26 Telecommunication system for the secure transmission of data therein and device associated therewith
EP16739548.2A EP3304859A1 (en) 2015-05-26 2016-05-26 Telecommunication system for the secure transmission of data therein and device associated therewith
IL255911A IL255911B (en) 2015-05-26 2017-11-26 A telecommunications system for the secure transmission of information and a device associated with it
HK18112496.4A HK1253215A1 (zh) 2015-05-26 2018-09-28 用於安全傳輸其中數據的電信系統以及與該電信系統相關聯的設備

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ITUB2015A001009A ITUB20151009A1 (it) 2015-05-26 2015-05-26 Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato

Publications (1)

Publication Number Publication Date
ITUB20151009A1 true ITUB20151009A1 (it) 2016-11-26

Family

ID=53901024

Family Applications (1)

Application Number Title Priority Date Filing Date
ITUB2015A001009A ITUB20151009A1 (it) 2015-05-26 2015-05-26 Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato

Country Status (1)

Country Link
IT (1) ITUB20151009A1 (it)

Similar Documents

Publication Publication Date Title
RU2765567C2 (ru) Провайдер доступа к базовой сети
Ertaul et al. Security Challenges in Cloud Computing.
CN1719834B (zh) 防火墙***、加入***的设备以及更新防火墙规则的方法
Souppaya et al. Guide to enterprise telework, remote access, and bring your own device (BYOD) security
KR101762876B1 (ko) 클라우드 컴퓨팅 서비스에서의 보안 시스템
EP3412001B1 (en) A method of data transfer and cryptographic devices
US9306953B2 (en) System and method for secure unidirectional transfer of commands to control equipment
Mackay et al. Security-oriented cloud computing platform for critical infrastructures
Lonea et al. Identity management for cloud computing
EP2532132A1 (en) Improved identity management
Zhang Integrated security framework for secure web services
Li Security Architecture in the Internet
Koilpillai Software defined perimeter (SDP) a primer for cios
Simpson et al. Resolving network defense conflicts with zero trust architectures and other end-to-end paradigms
Sagar et al. Information security: safeguarding resources and building trust
ITUB20151009A1 (it) Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato
Raggett Tackling data security and privacy challenges for the Internet of Things
Hussein et al. Towards a decentralized access control system for IoT platforms based on blockchain technology
Sabbari et al. A security model and its strategies for web services
Milenkovic et al. Chapter 5: Security and Management
Bouazza et al. Surveing the challenges and requirements for identity in the cloud
MCGOWAN Addressing the Cybersecurity Threat.
Арустамов et al. Профессиональный иностранный язык для специалистов в области компьютерной безопасности: учебное пособие
Zeng et al. Best practices in cybersecurity for utilities: Secure remote access
RU2722393C2 (ru) Телекоммуникационная система для осуществления в ней защищенной передачи данных и устройство, связанное с этой системой