ITUB20151009A1 - Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato - Google Patents
Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato Download PDFInfo
- Publication number
- ITUB20151009A1 ITUB20151009A1 ITUB2015A001009A ITUB20151009A ITUB20151009A1 IT UB20151009 A1 ITUB20151009 A1 IT UB20151009A1 IT UB2015A001009 A ITUB2015A001009 A IT UB2015A001009A IT UB20151009 A ITUB20151009 A IT UB20151009A IT UB20151009 A1 ITUB20151009 A1 IT UB20151009A1
- Authority
- IT
- Italy
- Prior art keywords
- network
- user
- connection
- telecommunications system
- access
- Prior art date
Links
- 230000005540 biological transmission Effects 0.000 title claims description 9
- 238000000034 method Methods 0.000 claims description 10
- 230000000694 effects Effects 0.000 claims description 6
- 230000002093 peripheral effect Effects 0.000 claims description 4
- 238000013475 authorization Methods 0.000 claims 1
- 238000004891 communication Methods 0.000 description 13
- 238000007726 management method Methods 0.000 description 8
- 230000008901 benefit Effects 0.000 description 3
- 230000009977 dual effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000013523 data management Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 101150012579 ADSL gene Proteins 0.000 description 1
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 1
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000008260 defense mechanism Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008447 perception Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Communication Control (AREA)
Description
SISTEMA DI TELECOMUNICAZIONI PER LA TRASMISSIONE SICURA DI DATI AL SUO INTERNO E DISPOSITIVO AD ESSO ASSOCIATO
La presente invenzione ? volta a proteggere un sistema di telecomunicazioni perfezionato, in particolare un sistema di telecomunicazioni in grado di operare su rete informatica pubblica e privata in parallelo ad una connessione internet convenzionale in modo sicuro e semplice per l?utenza.
Sono oltremodo noti nella tecnica sistemi di telecomunicazioni, comunemente commercializzati in negozi specializzati od associati all?offerta di operatori telefonici, volti meramente ad offrire uno strumento sistema di accesso alla rete telefonica, ovvero a rilevare e a trasmettere il segnale da e verso gli elaboratori. Sono inoltre previsti dispositivi specifici, disposti a valle del dispositivo di rilevamento e di traduzione del segnale, che hanno sostanzialmente lo scopo di adattare alle esigenze specifiche dell?utente la connettivit?, tipicamente limitandone le potenzialit? per esigenze di sicurezza. Tali dispositivi possono essere integrati ai dispositivi di rilevamento e traduzione, oppure disposti a valle di esso.
Per quanto la combinazione dei due dispositivi risolva di per s? le minime garanzie di accesso alla rete di telecomunicazioni con la sufficiente sicurezza, si ? costantemente riconosciuta la notevole difficolt? nella personalizzazione delle attivit? e dei servizi, in modo da ottenere, per qualunque tipologia di utenza, un vero e proprio server di connessione, con un sistema operativo personalizzato per la gestione dei flussi di dati, che permetta di fornire, in modo integrato, qualunque servizio, preconfigurato od installato su richiesta ottimizzando e risolvendo in tal modo i limiti presenti oggi nella strumentazione generalmente fornita per la connessione alla rete in genere. Gi? oggi sono utilizzate procedure informatiche per creare reti personalizzate per scopi diversi. Ad esempio ? definita VPN, (VPN = virtual private network), una rete costruita in modo da rendere obbligatoria l'autenticazione per chiunque voglia accedervi. Tuttavia tale modalit? di gestione della connettivit? ? limitata dall'hardware utilizzato dall'utente per la navigazione (computer, smartphone, tablet..) che deve essere configurato ad hoc e dal fatto che ? possibile accedervi solo da un unico punto: la rete internet aperta a tutti.
Infatti, le notizie di furto di documenti riservati conservati e comunicati via internet sono all'ordine del giorno.
Allo stesso modo, i sistemi di gestione dei dati sensibili che, teoricamente, dovrebbero prevedere meccanismi di protezione avanzati, hanno in pi? casi palesato la loro vulnerabilit?.
E? pertanto evidente che gli attuali sistemi convenzionali di sicurezza (c.d. policy di sicurezza), quali, ad esempio, l'autenticazione a due fattori, o l'implementazione di una VPN, non sono pi? adeguati alle esigenze dell'utenza. Scopo della presente invenzione ? pertanto di realizzare un sistema integrato di telecomunicazioni che sia in grado di superare le difficolt? ad oggi riscontrate nella predisposizione di reti. Tale sistema ? versatile ed in grado di soddisfare le esigenze pi? disparate nell?architettura di una rete di comunicazioni informatica. In tal modo ? possibile gestire e risolvere ogni problematica relativa alla sicurezza, senza trascurare qualunque personalizzazione finalizzata allo scopo.
Detto scopo ? ottenuto mediante un sistema di telecomunicazioni con le caratteristiche riportate nella rivendicazione principale, le rivendicazioni secondarie riguardando le caratteristiche preferibili del sistema.
Il sistema viene ora descritto con riferimento ad alcune forme d?esecuzione preferite, esemplificative delle sue propriet?, ma non limitative dell?ambito di protezione della soluzione stessa. A supporto della descrizione sono previste le figure allegate, in cui:
fig. 1 ? la vista schematica di un sistema di telecomunicazioni convenzionale semplificato;
fig. 2 ? la vista schematica di un sistema di telecomunicazioni secondo l?invenzione;
fig. 3 ? la vista schematica dell'architettura generica che accomuna tutte le varie tipologie di dispositivo adottato per la connessione all'interno della rete di telecomunicazioni secondo l'invenzione.
Convenzionalmente, come illustrato in fig. 1, si prevede che un sistema di telecomunicazioni presenti una connessione tra i diversi individui, appartenenti alla medesima rete, situati in sedi differenti. Per consentire tale operazione di collegamento, si deve prevedere un?architettura di rete che si appoggia sulla connessione internet: il server centrale consente le comunicazioni con le sedi periferiche. Tale architettura di rete, a seconda della dimensione che rappresenta, pu? essere riprodotta con un numero di servers proporzionale ai bisogni di traffico dati e di utenza fruente (i c.d servers di smistamento).
Secondo il sistema di telecomunicazioni previsto, come illustrato nelle figg.
3 e 4, l?architettura di rete viene profondamente modificata rispetto alla soluzione convenzionale mediante un dispositivo di gestione e controllo delle trasmissioni, costituito da un processore SOC (System On Chip ? Sistema su un singolo chip), cui sono associate le periferiche di supporto, opportune alla bisogna, quali schede di rete ethernet, WiFi e reti dati mobili.
Il processore SOC ? composto anche di una CPU che fornisce la capacit? elaborativa, di un proprio sistema operativo, aperto (ad esempio Linux), che pu? essere personalizzato e modificato secondo le specifiche necessit? dell?utente, in modo da ottenere le caratteristiche di sicurezza e computazionali desiderate. Inoltre, il dispositivo, facendo parte di una rete informatica pu? subire, da parte di un centro di controllo. Da remoto possono essere apportate le opportune modifiche di programmazione in ogni momento, al fine di estenderne e migliorarne le funzionalit?. Tutti i dispositivi necessari per la gestione in sicurezza degli accessi alla rete telematica possono essere aggiornati in ogni momento quando necessario.
Si pu? pertanto realizzare un sistema di telecomunicazioni protette: la particolare configurazione del dispositivo di connessione consente da un lato di identificare una o pi? reti cui possono accedere solo utenti dotati del dispositivo opportunamente programmato e dall'altro permette il facile controllo degli accessi riservato ai soli autorizzati da parte del singolo gestore della specifica rete (di seguito solo editore) di interesse.
Comprensibilmente, l'editore pu? definire i parametri di visibilit? della rete stessa, stabilendo personalmente l'uso che vuole darne: privato, pubblico, aperto a pochi, a tutti o solo ad alcuni, gratuita o a pagamento.
L'innovazione del sistema di cui oggetto del presente brevetto permette di apportare valide risposte alla crescente richiesta di sicurezza determinata dalla necessit?, di comunicare ed utilizzare servizi digitali in genere al riparo dalle pi? comuni minacce portate dai virus e da condotte di hackeraggio finalizzate a procurare danni: vere e proprie condotte criminose di ogni sorta. La soluzione siffatta, inoltre, permette al gestore della rete erogante i servizi internet, di identificare in modo certo il punto di connessione e pertanto il legittimo possessore del dispositivo di connessione stesso, tanto da definire in modo univoco il principio della responsabilit? personale nell'uso di internet e da porre solide basi per mettere al bando ogni condotta illegale, interrompendo tecnicamente, in modo facile e veloce, il punto di connessione illegale.
Il dispositivo di connessione diventa cos? esso stesso il gestore della connessione ad internet e come tale anche il garante dell' identificazione del proprietario e il garante di chi su internet offre servizi di vario genere, dal sito web alle comunicazioni interne ad aziende di grandi dimensioni.
Sono, infatti, previsti mezzi di tutela della sicurezza del dispositivo e, conseguentemente, dell?intero sistema, valutabili anche come prove certe nella ricostruzione della responsabilit? personale dell?utente nell?uso della rete. Cos? la presenza della chiave crittografica privata identifica in modo certo l?utente e consente di tracciare il suo traffico in caso di necessit? e, nello stesso tempo, consente di limitare l?accesso indesiderato di terzi alla rete difendendo in modo economico, diretto e veloce l'intero sistema di telecomunicazioni.
Per potere garantire la necessaria sicurezza, il dispositivo di connessione, quindi, si avvale di tutte le tecnologie informatiche note (virtualizzazione, sandboxing, minimi privilegi, protezione fornita dal sistema operativo sottostante e altre tecniche create apposta) importanti elementi programmati anche per garantire la sua stessa integrit?, diventando inviolabile anche dallo stesso possessore.
Sono anche previste misure di sicurezza fisico-meccaniche, quali sigilli esterni e dispositivi elettronici interni, atti a rilevare tentativi di apertura forzata del dispositivo stesso. Il sistema software ? programmato per operare in autonomia in caso di effrazione cancellando all'istante tutti i dati in esso contenuti e diventando, pertanto, inutilizzabile.
Si ? potuto constatare, inoltre, che uno dei punti di massimo rischio nelle attivit? di accesso fraudolento ad un dispositivo di connessione ? legato al fatto che nella maggior parte dei casi questo mantiene alcune porte di comunicazione sempre aperte per interventi di servizio come ad esempio effettuare aggiornamenti, o per controllare e verificare in genere le funzionalit? del sistema. Questa necessit? rende inevitabilmente la rete facilmente vulnerabile.
Pertanto, al fine di rendere minimo il rischio di attacchi indesiderati da parte di terzi e di garantire, comunque, all?utente anche inesperto l' accesso ai sistemi di aggiornamento e di manutenzione da remoto, si ? optato di associare al dispositivo di connessione un meccanismo di comando, che libera ? per il tempo necessario ? alcune porte del dispositivo di connessione. In questo modo ? sorvegliato anche dall'utente stesso, possessore dell'apparecchio di connessione, il periodo di intervento La sicurezza pertanto ? garantita da un comando volutamente attivato valido per un tempo determinato funzionale al solo intervento richiesto.
Tipicamente il dispositivo a comando ? un pulsante, un tastierino, o un sistema analogo. Il dispositivo a comando, inoltre, pu? essere associato allo sblocco di tutte le funzionalit? ritenute critiche per la sicurezza del dispositivo di comunicazione stesso, dei dati ivi custoditi e dell'integrit? delle reti a cui fornisce accesso.
La sicurezza della rete di comunicazione creata dal dispositivo in oggetto ? anche legata in modo imprescindibile a un processo di certificazione degli utenti. Similmente a quando si emette un certificato SSL per certificare un sito WEB, ogni utente del sistema di telecomunicazione accessibile solo per mezzo del dispositivo, va certificato dal gestore del sistema stesso tramite l'emissione di un certificato. Tale certificato informatico identifica il dispositivo per il quale ? stato emesso e il suo proprietario. Tale certificato pu? essere revocato e ci? comporta l'istantanea disconnessione e l'impossibilit? di ogni ulteriore utilizzo per un qualunque servizio ad esso associato. Il dispositivo infatti consente l'accesso solo a quelle reti di telecomunicazione per le quali abbia un certificato valido, emesso dai gestori delle reti stesse.
Per gestire le richieste di emissione e gestione dei certificati, la presente soluzione realizza una procedura innovativa di richiesta, acquisizione ed uso dei certificati digitali semplificata, che non richiede conoscenze tecniche specifiche, resa possibile dalle specifiche caratteristiche del dispositivo oggetto del brevetto, che permette all'utente finale di acquisire in tempi brevi, con passaggi semplificati e in modo trasparente i certificati da lui richiesti. Un importante immediato vantaggio derivante dalla gestione dei certificati cos? pensata, inventata e programmata ? quello di rendere accessibile la rete da ogni dove ci si connetta e con qualunque dispositivo si navighi.
L'attivit? di gestione della rete fornito da questo innovativo sistema di telecomunicazioni permette di personalizzare a piacimento la tipologia di accessi permessi senza alcun limite geografico e tecnologico di hardware utilizzato potendo intervenire, per eventuali ulteriori modifiche, in modo economico, sicuro e rapido.
Si possono, quindi, prevedere strutture pi? articolate e complesse, come, ad esempio, nel caso di una societ? di grandi dimensioni con esigenze di sicurezza particolarmente stringenti. In queste situazioni, di solito, la protezione dalla rete aperta al pubblico apportata dai convenzionali sistemi di connessione, prevede l?uso di SSL e di autenticazione tramite certificati installati tramite software presenti negli elaboratori e negli apparecchi in genere utilizzati dal dipendente per accedere alla rete aziendale e certificando, appunto, l'accesso ai servizi ivi presenti.
Questa procedura vincola completamente l'utilizzo di quello specifico apparecchio configurato complicando e rendendo impossibile la connessione un eventuale malfunzionamento dello stesso.
Con la soluzione ora descritta, invece, si riescono a superare gli ostacoli che di solito si presentano, quali ad esempio: la necessit? di installare i certificati client su tutti i dispositivi utilizzati, l?impossibilit? di accesso alla rete tramite i sistemi di telefonia cellulare, che non supportano l'autenticazione con certificato client. Si possono presentare quindi evidenti vulnerabilit? del web server, problemi di compatibilit? tra le applicazioni comunemente usate rendendo l'autenticazione con certificati un evidente ostacolo all'uso e alla perfetta gestione del fine per i quali sono installati: la sicurezza della rete. Il sistema innovativo ora realizzato consente di associare ad ogni terminale un dispositivo di comunicazione che autorizza l?accesso contemporaneo a rete internet e rete aziendale, senza la necessit? di strutture virtuali aggiuntive, mediante la convenzionale connessione. La comunicazione tra i singoli dispositivi e il server centrale avviene pertanto mediante un canale dedicato della rete telefonica, di fatto separato dalla connessione internet convenzionale. Quest?ultima avviene, comunque, e in contemporanea, ma su altro canale.
La configurazione del dispositivo di trasmissione dei dati consente pertanto all?utente di non avere alcuna percezione del sistema duale di comunicazioni, n? di dovere predisporre particolari accorgimenti sui dispositivi in suo uso. E? sufficiente la connessione convenzionale al gestore di rete cui ? abbonato.
Inoltre, il dispositivo di connessione ? strutturato per l'aggiunta di funzionalit? ad una connessione internet: esso pertanto ? predisposto per controllare costantemente il traffico entrante e uscente, al fine di identificare automaticamente anomalie che possano essere riconosciute come comportamenti attuati nel corso di attacco a sistemi informatici. Nel caso, il dispositivo blocca ogni tipo di traffico ? in entrata e in uscita ? che possa creare una qualsivoglia forma di preoccupazione. La scansione riguarda in particolare il traffico web, alla ricerca di malware o virus informatici, la posta elettronica, la trasmissione di allegati o la richiesta di accesso da sistemi remoti.
La principale funzionalit? del sistema ora realizzato ? quella di rendere semplice la creazione di reti di comunicazione protette con tecnologie di crittografia forte, basate sulla tecnologia delle chiavi pubblica e privata. Di seguito si descrivono dispositivi di connessione che consentono la creazione di reti sicure considerando un caso d'uso tipico. Tale caso d'uso si applica a reti di qualsiasi dimensione, dalla rete aziendale a quelle geografiche con molti datacenter, private o aperte al pubblico, gratuite o a pagamento.
Nella creazione di una rete con il dispositivo di connessione previsto per il sistema qui descritto esistono sempre tre attori:
1. L'utente finale, proprietario di un dispositivo di connessione dedicato. 2. Il gestore della rete a cui accedere.
3. I creatori del dispositivo di connessione che concedono in licenza la possibilit? di usarlo per accedere ad una rete di propriet?.
Dopo che l'utente finale ha acquistato un dispositivo di connessione dedicato, predisposto per il sistema di telecomunicazioni ora descritto, lo collega al suo router ADSL o lo connette in versione mobile (tramite sim dati inserita nel dispositivo) e accede all'interfaccia web per la configurazione iniziale. Completata questa prima fase, l'utente finale pu? navigare su internet in modo normale.
Quando l'utente finale decide di connettersi a una rete protetta, ad esempio che offra contenuti video o musica, l'utente nell'interfaccia di gestione del dispositivo di connessione dedicato seleziona la rete scelta tra le molte possibili e compila una richiesta di connessione comprendente i dati personali, un numero di telefono e una password monouso. Il dispositivo, a questo punto automatizza tutte le fasi tecnicamente complesse, della richiesta del certificato ed invia la richiesta CSR (Certificate Sign Request) al gestore della rete.
Il gestore della rete a quel punto riceve la richiesta di connessione con i dati, li verifica ed emette un certificato che autorizza l'utente a connettersi alla sua rete. Il dispositivo di connessione dedicato riceve, in modo trasparente all'utente, il certificato e chiede all'utente di inserire la password monouso per lo sblocco del certificato. A quel punto il dispositivo di connessione dedicato si connette alla rete scelta e consente all'utente di fruire liberamente non solo di internet ma anche della rete di specifico interesse, usando dei nomi opportuni. Ogni rete avr? dei toplevel domain dedicati, per distinguerla dalle altre.
Perch? la rete sia visibile ai proprietari dei vari dispositivi di connessione dedicato, ? necessario che il gestore ne richieda l?inserimento ai proprietari del sistema.
Il sistema di telecomunicazioni siffatto e la programmazione del relativo dispositivo di connessione dedicata, presentano meccanismi di difesa pensati per individuare i comportamenti scorretti e revocare i certificati di connessione con effetto immediato, al fine di bloccare i malintenzionati.
Nel caso di reti aziendali, il sistema ? relativamente pi? semplice, visto che gli attori sono solo il gestore della rete e l'utente finale.
Similmente a internet, nel caso di reti aziendali, il gestore della rete acquista un certo numero di dispositivi di connessione dedicato da distribuire ai dipendenti, per connettersi alla rete aziendale da casa o in viaggio, programmandoli in modo che siano gi? correttamente configurati per l?accesso ai server di connessione remota, ed emettendo un certificato per ogni utente. L'utente finale, mediante la connessione a internet, tramite un qualsivoglia modem ? ora connesso alla rete aziendale, in modo completamente trasparente e pu? comunque continuare a navigare su internet senza problemi particolari.
Si comprende che tutte le funzionalit? ora descritte vengono offerte in modo assolutamente trasparente all'utente finale a cui non sar? richiesta nessuna competenza tecnica specifica per fruire dei servizi del dispositivo che va a costituire l?elemento fondante del sistema secondo l?invenzione.
Si comprende altres? che la soluzione ora descritta rende possibile questo compito grazie al fatto di concentrare su un unico oggetto molteplici funzionalit? di sicurezza e controllo di accesso, che normalmente richiedono la configurazione e installazione di una moltitudine di dispositivi e/o software dedicati di non semplice utilizzo, ovvero da tutti quei dispositivi che accedono al medesimo dispositivo. Tipicamente, solo chi detiene un dispositivo secondo l?invenzione su cui viene installato un certificato da chi detiene il controllo degli accessi alla rete privata, potr? accedere a tale rete. In caso di furto o smarrimento, le procedure per la revoca sono semplicissime, simili a quelle nel caso di smarrimento di una carta di credito.
Inoltre, la particolare conformazione del dispositivo predisposto per il sistema di telecomunicazioni qui descritto, ? tale da rendere sostanzialmente nullo il rischio di infrazioni telematiche: la sicurezza informatica viene infatti venduta in un dispositivo. Esso ? infatti predisposto per poter bloccare ogni attivit? inconsapevole di D-DOS (Distributed Denial Of Service) tipicamente utilizzati da organizzazioni eversive per mettere offline siti web o altro genere di servizi.
In sintesi, il sistema di telecomunicazioni cos? realizzato gli scopi prefissati, ed altri vantaggi imprevisti, ma non meno validi. In particolare, si ottiene un accesso sicuro a risorse normalmente disponibili su reti informatiche TCP/IP quali Internet. L?accesso, grazie al sistema ora descritto, avviene in modo trasparente a una o pi? reti private con autenticazione forte basata su certificati digitali ed eventuale revoca tramite CRL (certificate revocation list) pubblica. Tutti i servizi di rete disponibili diventano cos? fruibili in condizioni di sicurezza, senza bisogno di particolari accorgimenti o competenze tecniche. In caso di smarrimento del dispositivo la revoca dei certificati installati garantisce l'impossibilit? di riutilizzarlo in modo malevolo a danno dell'azienda proprietaria dello stesso.
Si riesce ad ottenere un sistema di connessione duale, in cui il dispositivo separa le comunicazioni con la rete aziendale dalla connessione ad internet, senza che sia evidentemente identificabile agli occhi dell?utente una differenza di gestione dei dati.
Il sistema prevede di riconoscere quali dispositivi siano associati al sistema duale di connessione, e quali siano predisposti per la connessione ad una sola delle reti. E? inoltre previsto che per il dispositivo autorizzato alla connessione tramite il sistema di telecomunicazioni ora descritto un sistema di cloud crittografato. Diversamente dai cloud per la conservazione di dati esistenti, la crittografia viene eseguita sul dispositivo di connessione, non sui server remoti. Il vantaggio di questo e dato dal non dover conservare le chiavi crittografiche sui server remoti, ma solo ed esclusivamente sul dispositivo.
Il dispositivo in questione fornisce anche altre funzionalit? di sicurezza, secondarie si, ma utili in un contesto in cui le necessit? di sicurezza siano massime.
E? possibile, sfruttando il dispositivo di comunicazione unitamente ad una rete dedicata allo scopo, rendere anonima la connessione vera, basata su NAT, senza bisogno di basarsi su proxy di vario livello. Il servizio viene erogato col supporto di server esterni, sempre in modo trasparente per l'utente e senza limitazioni particolari tipici di altri servizi di anonimato tipo TOR. Diversamente dalle reti illegali di anonimizzazione esistenti, la rete del dispositivo in questione ? perfettamente legale, in quanto gli utenti passeranno attraverso i meccanismi di identificazione precedentemente esposti.
Si ? inoltre previsto che i proprietari possano utilizzare una webmail a proprio uso esclusivo tramite una interfaccia WEB. In questo modo si ottiene l'invio di email firmate elettronicamente tramite certificato digitale S-MIME. Di norma, la funzionalit? di firma delle email ? complessa e insicura, in quanto si prevede obbligatoriamente che i certificati di firma siano inviati sui server su cui la webmail viene ospitata, e pertanto non si ha il possesso esclusivo del certificato di firma: questa procedura rallenta la diffusione delle email firmate digitalmente.
Col dispositivo oggetto del brevetto, sia la webmail che il certificato si trovano esclusivamente sul dispositivo stesso e le email vengono firmate automaticamente, senza difficolt? tecniche. Il certificato di firma pu? essere richiesto con le stesse, semplici modalit? dei certificati di connessione al centro di controllo a cui afferiscono tutti i dispositivi.
I certificati di firma all'interno del dispositivo possono essere utilizzati anche per la firma di documenti elettronici tramite una interfaccia web o un software installabile su personal computer, tablet o cellulare.
Le funzionalit? aggiuntive previste possono essere sottoposte al controllo del dispositivo di comando, in modo da impedire che la funzionalit? sia utilizzata da male intenzionati all'insaputa dell'utente.
Tutte le funzionalit? aggiuntive esposte possono essere fruite tramite la rete telematica, su cavo o senza fili instaurata tra il dispositivo e il personal computer o equivalente dell'utente.
Per consentire la comunicazione tra i server, i vari terminali delle sedi centrale e delle sedi periferiche, superando i relativi problemi di velocit? legata all?uso della banda da parte degli altri utenti e di sicurezza, ? sufficiente configurare il dispositivo secondo la modalit? IP-bridge. Si ottiene, infatti, in modo semplice e trasparente, l?associazione di un ip pubblico ai server di interesse, che sono in questo modo raggiungibili da qualunque punto del mondo.
Infine, il sistema cos? realizzato pu? prevedere l?uso di un dispositivo fisico da interporre tra una rete informatica casalinga o aziendale e internet, oppure essere integrato all'interno dei dispositivi elettronici necessari per l?accesso e la fruizione del sistema di telecomunicazioni stesso, quali personal computer, cellulari, tablet, modem, router e dispositivi di accesso a internet in generale.
Riassumendo il nuovo sistema consente di:
- Ridurre gli attacchi informatici, in quanto i dispositivi coinvolti vengono disattivati tempestivamente revocando i certificati di connessione, in questo modo non possono pi? connettersi alle reti protette;
- Ridurre lo spam aggressivo, grazie alla revocazione dei certificati nel caso di mancato rispetto delle norme di netiquette;
- Annullare il furto di identit?, prevedendo che la connessione avvenga solo dopo identificazione certa, ad esempio mediante documenti emessi da enti pubblici;
- Limitare l?attacco ai siti web, dal momento che l?utente che opera con il sistema oggetto dell?invenzione viene identificato;
- Limitare l?utilizzo inconsapevole delle risorse di un computer grazie all?immediata segnalazione da parte del gestore della rete all?utente dell?avvenuta infezione del proprio elaboratore;
- Limitare il numero di server su cui gestire la sicurezza in modo approfondito da parte dei gestori delle reti, semplificando cos? la gestione e riducendo il rischio di attacchi massivi.
- semplificare la creazione di una infrastruttura di rete con accessi basati su certificati digitali
- dare ampia diffusionie all'uso dei certificati digitali per le connessioni protette e per la firma digitale di email e documenti.
Si comprende che il sistema ora descritto pu? subire varianti e modifiche, qui non riportate. Queste sono da considerarsi rientrare nell?ambito di protezione della presente invenzione, che ? definita nelle rivendicazioni allegate.
Claims (5)
- RIVENDICAZIONI 1) Sistema di telecomunicazioni del tipo composto da una serie di terminali connessi tra loro tramite un server ed una rete di trasmissione di dati caratterizzato dal fatto che sono ulteriormente previsti mezzi per la gestione ed il controllo della trasmissione dei dati all?interno della rete, detti mezzi essendo costituiti da un unico dispositivo di connessione costituito da un processore SOC (System on Chip) cui sono associate le periferiche di supporto richieste.
- 2) Sistema di telecomunicazioni come in 1) caratterizzato da ci? che ? previsto un sistema di chiave crittografata privata univoca di identificazione dell?utente.
- 3) Sistema di telecomunicazioni come in 1) o in 2) caratterizzato da ci? che ? previsto un sistema di doppia autenticazione a chiave pubblicaprivata e a password d?accesso.
- 4) Sistema di telecomunicazioni come in una qualsiasi rivendicazione precedente caratterizzato da ci? che detto processore SOC ? provvisto di un sistema operativo aperto che pu? essere oggetto di personalizzazione secondo le specifiche esigenze dell?utente.
- 5) Sistema come in 4) caratterizzato da ci? che detto processore SOC ? atto a riconoscere le reti protette presenti in rete e a stabilire la connessione con le reti protette per cui dispone di autorizzazione 6) Sistema come in una qualsiasi rivendicazione precedente caratterizzato da ci? che su detti mezzi per la gestione ed il controllo della trasmissione dei dati sono previsti dispositivi a comando di apertura di porte per l'accesso da remoto a detti mezzi per la gestione ed il controllo della trasmissione di dati. 7) Sistema come in una qualsiasi rivendicazione precedente caratterizzato da ci? che sono previsti mezzi di sicurezza fisica, quali sigilli esterni e dispositivi elettronici interni, atti a rilevare tentativi di apertura fisica del dispositivo e a procedere con la cancellazione di tutti i dati in esso contenuti. 8) Sistema come in una qualsiasi rivendicazione precedente caratterizzato da ci? che l?attivit? crittografica ? eseguita sul suddetto dispositivo di connessione. 9) Sistema come in una qualsiasi rivendicazione precedente caratterizzato da una procedura di richiesta, acquisizione ed uso dei certificati digitali, semplificata che non richiede conoscenze tecniche specifiche. 10) Sistema come al punto 9) caratterizzato da una procedura di richiesta e acquisizione dei certificati digitali innovativa resa possibile dalle caratteristiche del dispositivo oggetto del brevetto.
Priority Applications (9)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ITUB2015A001009A ITUB20151009A1 (it) | 2015-05-26 | 2015-05-26 | Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato |
BR112017025301A BR112017025301A2 (pt) | 2015-05-26 | 2016-05-26 | ?sistema de telecomunicação, dispositivo de identificação e validação de credencial de usuário unívocas, e, método de atribuição unívoca das credenciais de um usuário? |
RU2017145668A RU2722393C2 (ru) | 2015-05-26 | 2016-05-26 | Телекоммуникационная система для осуществления в ней защищенной передачи данных и устройство, связанное с этой системой |
CN201680044113.9A CN107925653B (zh) | 2015-05-26 | 2016-05-26 | 用于安全传输其中数据的电信***以及与该电信***相关联的设备 |
US15/576,924 US11265312B2 (en) | 2015-05-26 | 2016-05-26 | Telecommunication system for the secure transmission of data therein and device associated therewith |
PCT/IB2016/053084 WO2016189487A1 (en) | 2015-05-26 | 2016-05-26 | Telecommunication system for the secure transmission of data therein and device associated therewith |
EP16739548.2A EP3304859A1 (en) | 2015-05-26 | 2016-05-26 | Telecommunication system for the secure transmission of data therein and device associated therewith |
IL255911A IL255911B (en) | 2015-05-26 | 2017-11-26 | A telecommunications system for the secure transmission of information and a device associated with it |
HK18112496.4A HK1253215A1 (zh) | 2015-05-26 | 2018-09-28 | 用於安全傳輸其中數據的電信系統以及與該電信系統相關聯的設備 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
ITUB2015A001009A ITUB20151009A1 (it) | 2015-05-26 | 2015-05-26 | Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato |
Publications (1)
Publication Number | Publication Date |
---|---|
ITUB20151009A1 true ITUB20151009A1 (it) | 2016-11-26 |
Family
ID=53901024
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ITUB2015A001009A ITUB20151009A1 (it) | 2015-05-26 | 2015-05-26 | Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato |
Country Status (1)
Country | Link |
---|---|
IT (1) | ITUB20151009A1 (it) |
-
2015
- 2015-05-26 IT ITUB2015A001009A patent/ITUB20151009A1/it unknown
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2765567C2 (ru) | Провайдер доступа к базовой сети | |
Ertaul et al. | Security Challenges in Cloud Computing. | |
CN1719834B (zh) | 防火墙***、加入***的设备以及更新防火墙规则的方法 | |
Souppaya et al. | Guide to enterprise telework, remote access, and bring your own device (BYOD) security | |
KR101762876B1 (ko) | 클라우드 컴퓨팅 서비스에서의 보안 시스템 | |
EP3412001B1 (en) | A method of data transfer and cryptographic devices | |
US9306953B2 (en) | System and method for secure unidirectional transfer of commands to control equipment | |
Mackay et al. | Security-oriented cloud computing platform for critical infrastructures | |
Lonea et al. | Identity management for cloud computing | |
EP2532132A1 (en) | Improved identity management | |
Zhang | Integrated security framework for secure web services | |
Li | Security Architecture in the Internet | |
Koilpillai | Software defined perimeter (SDP) a primer for cios | |
Simpson et al. | Resolving network defense conflicts with zero trust architectures and other end-to-end paradigms | |
Sagar et al. | Information security: safeguarding resources and building trust | |
ITUB20151009A1 (it) | Sistema di telecomunicazioni per la trasmissione sicura di dati al suo interno e dispositivo ad esso associato | |
Raggett | Tackling data security and privacy challenges for the Internet of Things | |
Hussein et al. | Towards a decentralized access control system for IoT platforms based on blockchain technology | |
Sabbari et al. | A security model and its strategies for web services | |
Milenkovic et al. | Chapter 5: Security and Management | |
Bouazza et al. | Surveing the challenges and requirements for identity in the cloud | |
MCGOWAN | Addressing the Cybersecurity Threat. | |
Арустамов et al. | Профессиональный иностранный язык для специалистов в области компьютерной безопасности: учебное пособие | |
Zeng et al. | Best practices in cybersecurity for utilities: Secure remote access | |
RU2722393C2 (ru) | Телекоммуникационная система для осуществления в ней защищенной передачи данных и устройство, связанное с этой системой |