11 Número de publicación: Int. Cl. 7 : H04Q 7/ Agente: Díez de Rivera de Elzaburu, Alfonso

Transcripción

1 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 Número de publicación: Int. Cl. 7 : H04Q 7/22 H04L 12/24 12 TRADUCCIÓN DE PATENTE EUROPEA T3 86 Número de solicitud europea: Fecha de presentación: Número de publicación de la solicitud: Fecha de publicación de la solicitud: Título: Método y disposición para asegurar el acceso a una red de comunicaciones. Prioridad: SE Titular/es: Alice Systems AB. c/o Northstream AB Smidesvägen -12, 4tr S Solna, SE 4 Fecha de publicación de la mención BOPI: Inventor/es: Lantto, Jörgen y Ensuque, Guilhem 4 Fecha de la publicación del folleto de la patente: Agente: Díez de Rivera de Elzaburu, Alfonso ES T3 Aviso: En el plazo de nueve meses a contar desde la fecha de publicación en el Boletín europeo de patentes, de la mención de concesión de la patente europea, cualquier persona podrá oponerse ante la Oficina Europea de Patentes a la patente concedida. La oposición deberá formularse por escrito y estar motivada; sólo se considerará como formulada una vez que se haya realizado el pago de la tasa de oposición (art del Convenio sobre concesión de Patentes Europeas). Venta de fascículos: Oficina Española de Patentes y Marcas. C/Panamá, Madrid

2 DESCRIPCIÓN Método y disposición para asegurar el acceso a una red de comunicaciones. 2 Campo de la invención La presente invención se refiere a un método y a una disposición en un sistema de comunicaciones de datos en entornos de Protocolo de Internet (IP - Internet Protocol ) de acuerdo con el preámbulo de las reivindicaciones independientes. Más específicamente, ésta se refiere a un acceso a distancia y seguro a una red de comunicaciones de datos, tal como una Intranet de empresa o corporación, a través de un dispositivo denominado de Tecnología Pseudo-Carente de Conexiones (PCT - Pseudo-Connectionless Technology ), tal como un Servicio General de Radio en Paquetes (GPRS - General Packet Radio Service ). Descripción de la técnica relacionada En un futuro muy cercano, cuando se introduzca el GPRS comercial y otros servicios similares, el personal móvil o itinerante de las empresas, por ejemplo, los ejecutivos comerciales, los consultores, el personal de ventas, las flotas de suministro, etc., serán capaces de acceder a su red corporativa mientras se desplazan, de una forma económica por lo que respecta a los costes, en contraposición a los datos conmutados en circuito del anterior Sistema Global para Comunicaciones Móviles (GSM - Global System for Mobile Communications ), que conllevaban unos elevados cargos por minuto con independencia de si los datos eran verdaderamente transmitidos. (Se encontrará una lista de acrónimos al final de la descripción). Con el fin de lograr el acceso a distancia, se requieren diversos procedimientos para el almacenamiento y el manejo de la información de configuración, así como para el establecimiento dinámico de canales de comunicación. Más específicamente, la información de configuración y los procedimientos de establecimiento dinámico pertenecen a tres áreas diferentes: - Enlace de datos entre un dispositivo de computación y un dispositivo móvil de comunicaciones de datos. - Canales de comunicaciones públicos, es decir, servicios de datos tales como, por ejemplo, el GPRS, Internet, que utilizan el denominado conjunto de protocolos IP Canales de comunicaciones privados seguros, tales como las Redes Privadas Virtuales (VPN - Virtual Private Networks ), los Servicios de Autentificación, etc. En el documento WO 98/321, por ejemplo, se describen un sistema y un método para el acceso a distancia de una computadora central o principal a una red privada a través de un teléfono de GPRS. Acceso a distancia a redes de datos Los denominados clientes de marcación manual y gestores de conexión hacen posible configurar y gestionar automáticamente conexiones de red para computadoras, por ejemplo, PC s de sobremesa, computadoras portátiles, Asistentes Digitales Personales (PDA s - Personal Digital Assistants ), etc. Más generalmente, dicho software o programación puede ser incorporado dentro de cualquier dispositivo electrónico de consumidor o industrial, por ejemplo, una consola para juegos, una cámara digital, una máquina expendedora, un dispositivo de medida digital, etc., que se sirva de un dispositivo de comunicaciones interno o externo para el acceso a una red de datos a través de una red de telecomunicaciones diferente, a menudo pública. Existen principalmente dos clases de programación que se utilizan para el acceso a distancia a redes de datos: - Programación para conectividad de marcación manual básica, y - Programación para gestores de marcación manual. El primer tipo de software o programación proporciona los componentes básicos que se requieren por parte de una computadora o un dispositivo de comunicaciones integrado para el acceso a Internet utilizando un módem a través de una red pública de telecomunicaciones, generalmente el teléfono fijo por cable y analógico, o un servicio de telefonía móvil, ya sea analógica o digital. Dicha programación comprende: 6 - Procedimientos de control por módem, que permiten marcar un número de teléfono destinado al Punto de Presencia (POP - Point Of Presence ) del Proveedor de Servicios de Internet (ISP - Internet Service Provider ), una instalación que proporciona una pasarela entre la red telefónica e Internet a través de la red privada del ISP, y que permiten controlar subsiguientemente la conexión. 2

3 - El formateado de los datos para su transferencia adecuada a través de las líneas telefónicas, con el uso del Protocolo de Punto a Punto (PPP - Point to Point Protocol ). - Mecanismos básicos de autentificación de usuario, que se sirven de protocolos estandarizados, por ejemplo, el Protocolo de Identificación de Palabra de Paso (PAP - Password Identification Protocol ), el Protocolo de Autentificación para Iniciación de Diálogo de Interrogación o Demanda (CHAP - Challenge Handshake Authentication Protocol ), o de algoritmos de propietario (por ejemplo, el MS-CHAP, de Microsoft TM, el Protocolo de Identificación de Palabra de Paso de Shiva TM (SPAP - Shiva s TM Password Identification Protocol ), y Securid de RSA TM ). - Funciones de sistema, destinadas a enlazar las diferentes funciones, el apilamiento o pila de protocolos de comunicaciones de datos dentro del sistema, por ejemplo, el Protocolo de Control de Transmisión (TCP - Transmission Control Protocol ) / IP, y las denominadas aplicaciones de capa superior. El segundo tipo de programación, los gestores de marcación manual, se construye sobre la funcionalidad del primero proporcionando algunas funciones de valor añadido, tales como: - Proporcionar información estadística y de sesión al usuario, tal como el tiempo consumido durante la conexión, el volumen de datos transferido, el estado de la comunicación, la información referente a las direcciones de red, etc Mantener una lista de los números de teléfono para los POP s del ISP en todo el mundo, es decir, una libreta de teléfonos. - Gestionar todos los establecimientos de comunicaciones para las diferentes posiciones o servicios, y configurar automáticamente todo ello dependiendo de la posición y del servicio seleccionados por el usuario. - Permitir la exportación o importación de establecimientos de comunicaciones, por ejemplo, al objeto de habilitar a un gestor de IT para la distribución de perfiles de establecimiento a usuarios finales de corporación o empresa. Tecnologías de Datos Móviles Existe una extensa variedad de tecnologías de comunicaciones de datos fijas y móviles. Todas estas tecnologías tienen en común el hecho de que siempre están conectadas pero requieren una cierta información de establecimiento compleja. En lo que sigue, se hará referencia a estas características como pseudo-carentes de conexiones. Estas tecnologías tienen, además, en común el hecho de que se sirven de una red de acceso especializada y utilizan pasarelas dedicadas, o de uso exclusivo, para acceder a Internet. Estas tecnologías se denominarán en lo que sigue Tecnologías Pseudo-carentes de Conexiones (PCT - Pseudo-Connectionless Technologies ). Una de tales tecnologías de comunicaciones móviles de datos es la denominada tecnología de GPRS. El GPRS es un servicio de telecomunicaciones que está especialmente destinado a redes celulares digitales tales como la de GSM, la del Sistema Universal de Telecomunicaciones Móviles (UMTS - Universal Mobile Telecommunications System ) y la de Acceso Múltiple por División en el Tiempo (TDMA - Time Division Multiple Access ), que son los servicios móviles digitales con presencia en los Estados Unidos y en otros mercados, y que operan en la banda de frecuencias de 800 y MHz. El GPRS hace uso del principio de la radio en paquetes y se utiliza para transferir datos por medio de, por ejemplo, los protocolos IP y X.2, desde un terminal de GPRS a otros terminales de GPRS o redes de datos externas. El GPRS ha sido estandarizado o normalizado en el Instituto Europeo de Normalización de las Telecomunicaciones (ETSI - European Telecommunication Standarisation Institute ) (GSM del ETSI 09.61, 07.07, 04. para las tecnologías de GPRS y GSM), y en el Proyecto de Sociedad de Participantes de Tercera Generación (3GPP - third Generation Partnership Project ), por ejemplo, en la especificación 23.0 del 3GPP. El GPRS hace uso de una técnica de datos en paquetes para transmitir datos a alta velocidad y datos a baja velocidad de una forma eficaz, a través, por ejemplo, redes de radio de GSM. El GPRS optimiza el uso de los recursos de las redes y de los recursos de radio. Se obtiene una separación estricta de los subsistemas de radio y los subsistemas de red, lo que da lugar a que los subsistemas de red puedan ser reutilizados por otras tecnologías de acceso de radio. El GPRS es, en consecuencia, un servicio de datos conmutados en paquetes que proporciona una transmisión móvil de datos a alta velocidad que utiliza eficientemente el ancho de banda disponible. En teoría, puede lograr velocidades de transmisión de hasta varios centenares de kb/s. Con una interfaz de enlace aéreo de tercera generación, tal como la de Acceso Múltiple por División en Código de Banda Ancha (WCDMA - Wideband Code Division Multiple Access ), como la utilizada en el UMTS global, la transferencia o flujo estándar de datos en bruto o sin procesar puede alcanzar los kb/s, en comparación con los 9,6 kb/s que puede proporcionar el GSM en la actualidad. La transmisión de datos a través de GSM puede llevarse a cabo de dos formas diferentes: la conmutada en circuito, como en las transmisiones de voz actuales, o conmutada en paquetes, como en el GPRS. Sin embargo, otras tecnologías de comunicaciones de datos fijas o móviles pueden satisfacer un papel de soporte similar y comparten algunas características con el GPRS, tales como el hecho de que son pseudo-carentes de conexiones, y se sirven de una red de acceso dedicada y especializada, así como de pasarelas dedicadas, para acceder a Internet. Un ejemplo son los Datos en Paquetes Digitales Celulares (CDPD - Cellular Digital Packet Data ), los cuales hacen referencia a la tecnología normalizada del TR-4.6 (IS-732 e IS-732-A) de la Asociación de la Industria de las Telecomunicaciones (TIA - Telecommunications Industry Association ) para CDPD. Una tecnología pseudo- 3

4 carente de conexiones similar, pero de línea fija, es la Línea de Abonado Digital Asimétrica (ADSL - Asymetric Digital Subscriber Line ). La programación de marcación manual requiere ser adaptada a las características de pseudo-carencia de conexiones de estas tecnologías, e incorporar parámetros de configuración y procedimientos de establecimiento de sesión específicos de estas tecnologías. Las implementaciones actuales vuelven a utilizar la programación existente desarrollada para la marcación manual de la Red Telefónica Pública Conmutada (PSTN - Public Switched Telephone Network ), y utilizan ciertos trucos o manipulaciones para gestionar la conexión de GPRS desde un dispositivo de computación. Esto se describirá más adelante. Programación de Red Privada Virtual (VPN - Virtual Private Network ) de Acceso a Distancia El establecimiento de redes seguras cubre tres áreas: Autentificación: existen técnicas que permiten garantizar que ambos extremos de la sesión, el usuario y el servidor de acceso de red a distancia, son realmente quienes afirman que son. Esto se consigue de un cierto número de maneras, si bien requiere generalmente que el usuario proporcione alguna entrada, por ejemplo, una palabra de paso, una tarjeta inteligente, etc., y que las máquinas lleven a cabo un cierto tratamiento criptográfico, por ejemplo, funciones de fragmentación. Ejemplos de técnicas de autentificación estándar que existen en el mercado son el Protocolo de Autentificación de Palabra de Paso (PAP - Password Authentication Protocol ), el Protocolo de Autentificación para Iniciación de Diálogo de Interrogación o Demanda (CHAP - Challenge Handshake Authentication Protocol ), el Protocolo de Autentificación Extensible (EAP - Extensible Authentication Protocol ), el algoritmo de Compendio de Mensajes número (MD-) y la Infraestructura de Clave Pública (PKI - Public Key Infrastructure ). Cifrado o encriptación: con el uso de un algoritmo de cifrado previamente acordado, las máquinas pueden tratar los datos que intercambian alterándolos o distorsionándolos de tal manera que sean capaces de detectar cualquier intento de utilización indebida o no autorizada de los mismos, así como garantizar la confidencialidad de extremo a extremo. Sin embargo, esto requiere generalmente que las dos máquinas tengan un conjunto idéntico de material criptográfico o claves para engendrar el algoritmo de cifrado. Existe un cierto número de algoritmos de cifrado, tales como la Norma de Cifrado de Datos (DES - Data Encryption Standard ), la 3-DES, el algoritmo de Blowfish, el de Carlisle Adams y Stafford Tavares (CAST), la Norma Internacional de Cifrado de Datos (IDEA - International Data Encryption Standard ), el Código de Ron (RC-/128), etc., así como un cierto número de mecanismos de intercambio de claves, tales como el de Intercambio de Clave en Internet (IKE - Internet Key Exchange ), el de Diffie-Helhnan, el algoritmo de cifrado de clave pública de Rivest, Chamir y Aldeman (RSA), etc., con diversos parámetros de entre los cuales los usuarios pueden escoger. Encaminamiento en túnel o Redes Privadas Virtuales (VPN s): En los últimos tiempos, las redes privadas, por ejemplo, de corporaciones, requieren ser aisladas de la red pública Internet. Sin embargo, los usuarios de comunicaciones móviles a distancia se comunican a través de una red pública, que en general es Internet. En consecuencia, el establecimiento de redes seguras requiere un protocolo que oculte el hecho de que el tráfico entre las islas privadas se transfiere a través del océano público de Internet. Esto se ilustra en la Figura 1. Ello es necesario debido a que el tráfico de salida desde una computadora local 0, dentro de una red privada 1, y que se transfiere a una computadora 2 conectada a distancia, debe conducirse a través de una pasarela de seguridad dedicada 3, por ejemplo, un dispositivo de direccionamiento ( router ) de VPN, que aplique un tratamiento criptográfico al tráfico de datos. Con el fin de lograr esto, se requiere el denominado protocolo de encaminamiento en túnel. Este protocolo proporciona la ilusión de que una computadora distante 2 se encuentra conectada directamente a la red privada 1. Esto evita que las máquinas locales envíen datos de una forma inteligible a través de una pasarela pública 4 no segura, cuando respondan a una computadora distante. En lugar de ello, los datos enviados a la computadora distante son interceptados por la pasarela segura 3, por ejemplo, mediante el uso de un Protocolo de Resolución (o determinación) de Dirección (ARP - Address Resolution Protocol ), cifrados opcionalmente y encapsulados a continuación, y encaminados por último, a través de la red Internet, a la computadora distante 2. Este tráfico de datos privado y seguro se indica en la Figura 1 con una línea discontinua 6. De nuevo, existe a la elección de los usuarios una variedad de protocolos, cada uno de los cuales tiene sus propias particularidades y requiere datos de configuración específicos. Las normas del Grupo de Trabajo de Ingeniería de Internet (IETF - Internet Engineering Task Force ), tales como el IP Seguro (IPSec - Secure IP ), el Protocolo de Encaminamiento en Túnel de Capa 2 (L2TP - Layer 2 Tunneling Protocol ), el Encapsulado de Direccionamiento General (GRE - General Routing Encapsulation ), etc., constituyen ejemplos de dichos protocolos. La programación de cliente de VPN comercial y segura comprende, generalmente, dos componentes: 6 - Un dispositivo de accionamiento en el modo de Kernel, que se encuentra instalado en el sistema operativo de la máquina e intercepta todo el tráfico de red y lleva a cabo las transformaciones adecuadas, tales como el formateo de los encabezamientos de paquete, las sumas de comprobación, la numeración secuencial, el cifrado, etc. - Una herramienta de configuración en el modo de usuario, que permite establecer los parámetros para el dispositivo 4

5 de accionamiento de protocolo de VPN particular, así como establecer la política o criterios relativos a la seguridad, por ejemplo, cuál es el tráfico que debe hacerse seguro, en qué condiciones, con el uso de qué técnicas, etc. Escenario de uso típico con las técnicas actuales En un futuro muy cercano, cuando se introduzca el GPRS comercial y otros servicios similares, el personal móvil o itinerante de una empresa o corporación que necesite acceder a su red corporativa al tiempo que se está desplazando, se enfrentará con dos alternativas: - llevar a cabo la instalación y la configuración del software o programación y los parámetros de comunicación adecuados, y - lanzar o poner en marcha diversas aplicaciones y llevar a cabo diversos procedimientos de introducción de información de acceso cada vez que desee acceder a su red corporativa distante. En lo que sigue se proporciona una visión global de las etapas de instalación y configuración que se requieren con las técnicas actuales: 1. Instalar y configurar un módem en el PC, quizá mediante el uso de algunos dispositivos de accionamiento adicionales y/o guiones proporcionados por el fabricante del equipo o terminal de mano de GPRS. 2. Definir un contexto de uno o varios Protocolos de Datos de Paquete (PDP). Esto puede lograrse de diversas maneras, tales como: La configuración estadística por medio de ajustes de fábrica en el equipo o terminal de mano. - Definición por parte del operador de GPRS en el instante de provisión del servicio, por medio de la activación del Módulo de Identidad de Abonado (SIM - Subscriber Identity Module ), o por la activación a través de un enlace aéreo. - Tecleo manual directo de los datos de contexto de PDP en el equipo o terminal de mano, con el uso de menús. - A través del PC, por medio de la introducción de órdenes de iniciación estándar específicas de GPRS, como la AT+CGDCON=0,IP,internet.gprs.telia.se,.0,1 (definición de contexto de PDP) en los parámetros del módem, o mediante el uso de una sesión Hpper Terminal TM y la comunicación de los parámetros el terminal de mano a través de una puerta o acceso en serie del PC. Esta etapa de definición de PDP puede llevarse a cabo también en el instante de establecimiento de la sesión (véase la siguiente sub-sección). 3. Configurar un nombre de usuario y una palabra de paso en el terminal de mano. Esto es opcional y, de nuevo, puede lograrse de varias maneras: - Introducción por tecleo manual de estos credenciales de autentificación. - Ajustes de fábrica efectuados por el fabricante del terminal de mano de GPRS. - Ajuste por parte del operador de GPRS durante el procedimiento de provisión del servicio, por ejemplo, activación por tarjeta SIM o activación por enlace aéreo. 4. Crear y configurar una conexión de establecimiento de red por marcación manual con una cadena de servicio de GPRS proporcionada con la forma *98**#, en lugar del número de teléfono. Este es el denominado truco o manipulación de compatibilidad de módem, que ha de ser capaz de utilizar la programación de marcación manual ya existente.. Instalar la programación de VPN, por ejemplo, desde un Disco Compacto (CD - Compact Disk ), y configurar a continuación las opciones de direccionamiento y de autentificación apropiadas, las cuales pueden implicar la instalación y la configuración de programación adicional, por ejemplo, el SecurID de RSA, que importa un certificado digital. Cuando un usuario o usuaria desea acceder a una red, por ejemplo, a su red corporativa, mediante el uso del servicio de GPRS, el procedimiento que se sigue en la actualidad es el que se expone en lo que sigue: 1. Enlazar físicamente el PC y el terminal de mano, por ejemplo, con el uso de un cable en serie, o bien mediante la activación del enlace de infrarrojos existente en el terminal de mano. 2. Opcionalmente, arrancar una programación o guión específico de GPRS con el fin de llevar a cabo la etapa 2 anterior (definición del contexto de PDP), y seleccionar el contexto de PDP que ha de ser activado.

6 3. Arrancar o poner en marcha la programación de marcación manual. Esto activa el contexto de PDP Introducir un nombre de usuario y una palabra de paso se invita a ello. Estos son los que se establecieron en la etapa 3 anterior.. Esperar el establecimiento de la conexión, y poner en marcha a continuación el software o programación de VPN. 6. Introducir, si se invita a ello, credenciales de autentificación, por ejemplo, nombre de usuario / palabra de paso, tarjeta inteligente / código de Número de Identificación Personal (PIN - Personal Identification Number ). Como puede apreciarse en el Escenario de uso típico expuesto anteriormente, la instalación y el establecimiento de sesión pueden ser bastante complejos y constituir un obstáculo para la aceptación inicial por parte de los usuarios corporativos y para una utilización masiva adicional de los servicios de GPRS. Es notable que la configuración requiere una gran cantidad de información que se ha de introducir por tecleo manual en el terminal de mano, así como la configuración manual de la programación en numerosos lugares del sistema operativo y de la programación de marcación manual / VPN. Esto requiere unos profundos conocimientos técnicos de los que carecerán la mayor parte de los usuarios finales. Asimismo, el procedimiento de establecimiento de la sesión requiere que el usuario ponga en marcha diferentes aplicaciones y efectúe múltiples introducciones de combinaciones de nombre de usuario / palabra de paso, así como que siga opcionalmente un guión de algún tipo con el fin de configurar los parámetros de sesión de GPRS específicos (datos de contexto de PDP). Esto consume tiempo y requiere unos extensos conocimientos técnicos de los que carecerán la mayor parte de los usuarios finales. Además, el modo actual de configurar y establecer dicho acceso a distancia de GPRS no es flexible y no permite aprovechar las capacidades futuras de, por ejemplo, los terminales de GPRS, tales como el soporte de contexto de PDP, el ojeo o navegación utilizando un Nombre de Punto de Acceso visitado (APN - Access Point Name ), el soporte de ISP alternativo y la calidad de las opciones del servicio. Esto se debe principalmente al hecho de que los datos de contexto de PDP se configuran, bien en el terminal de mano o bien con el uso de órdenes o instrucciones de inicialización de módem. Por esta razón, dependiendo del sistema operativo del PC y de las capacidades o prestaciones del terminal de mano de GPRS, tan solo puede almacenarse un conjunto de información de contexto de PDP, o, en caso contrario, el soporte varias resultará embarazoso. En resumen, las desventajas del acceso a distancia actual a una red privada de comunicaciones de datos, a través de un dispositivo de PCT, consisten en que la gestión de los parámetros de sesión de PCT (por ejemplo, el contexto de PDP de GPRS) carecen de flexibilidad. Sumario de la invención El objeto de la invención consiste en superar las desventajas anteriormente mencionadas y proporcionar un modo de acceso a distancia y seguro a una red privada de comunicaciones de datos, a través de un dispositivo de PCT, el cual se facilita adicionalmente al usuario. Esto se consigue de conformidad con el método y la disposición que se exponen en las partes caracterizadoras de las reivindicaciones independientes. 0 Gracias a la provisión del sistema de Introducción de Información para el Acceso a Distancia, la información y las instrucciones que se necesitan para la configuración y el establecimiento de la sesión de red segura se juntan o combinan en una sola interfaz, y gracias a la provisión del método de introducción de información para el acceso a distancia, un único acto de conexión por parte de un usuario llevará a cabo el acceso a distancia y seguro. En las reivindicaciones dependientes se exponen realizaciones preferidas. Una ventaja de la presente invención es que los procedimientos para el establecimiento de la sesión son más cortos y requieren una menor intervención por parte del usuario. 6 Otra ventaja de la presente invención es que la configuración se hace más fácil. Una ventaja adicional de la presente invención es que la gestión flexible del contexto de PDP permite escenarios o situaciones de uso que no son posibles de una forma directa o inmediata con la utilización de programación actual, tales como la obtención de servicios de GPRS cuando se está navegando, con el uso de un denominado APN visitado, la modificación sencilla de la Calidad de los parámetros del servicio, por ejemplo, cuando se utilizan diferentes terminales de mano, y el acceso al servicio de otro Proveedor de Servicios de Internet diferente al que se proporciona por defecto en el terminal de mano. 6

7 Breve descripción de los dibujos La Figura 1 muestra un diagrama de bloques de un sistema de comunicaciones de acuerdo con la técnica anterior. La Figura 2 muestra un diagrama de bloques de los componentes de programación implicados de acuerdo con la invención. La Figura 3 muestra un diagrama de flujo del método de acuerdo con la invención. La Figura 4 muestra secuencias de señalización de acuerdo con la invención. Descripción de realizaciones preferidas La presente invención puede ser descrita brevemente como un marcador o dispositivo de marcación de acceso a distancia para marcación manual, integrado en un cliente de VPN segura y que está dotado de características para el soporte de dispositivos y servicios de la denominada Tecnología Pseudo-carente de Conexiones (PCT - Pseudo- Connectionless Technology ), tales como dispositivos y servicios de GPRS, así como una interfaz de usuario mejorada para lograr una mayor capacidad utilización. La invención, que comprende lógica de software o programación y componentes de programación, se implementa en una computadora, por ejemplo, un Computador Personal (PC - Personal Computer ) -una computadora de sobremesa o una computadora portátil, un Asistente Digital Personal (PDA - Personal Digital Assistant ) o cualquier otro dispositivo electrónico industrial o de consumo que presente capacidades de comunicación o de conexión intermedia o interfaz, y que se denominará en lo sucesivo sistema de Introducción de Información para Acceso a Distancia (RAL - Remote Access Login ). La Figura 2 ilustra una visión general de los componentes de programación implicados en un cliente de acceso a distancia de GPRS seguro, de acuerdo con la presente invención. Los componentes de programación de RAL de acuerdo con la presente invención se representan por la referencia numérica 1, y el resto de los componentes de programación de la Figura 2 pertenecen a la técnica anterior. Las líneas discontinuas representan el flujo de datos de configuración, las líneas continuas gruesas representan el camino o recorrido seguido por los diagramas de datos de usuario, desde las aplicaciones de capa superior, a través de los componentes de Kernel y en dirección al terminal de mano de GPRS. Se utiliza como ejemplo el sistema operativo Windows TM de Microsoft, si bien la presente invención puede aplicarse también en combinación con otros sistemas operativos, tales como el OS de Mac TM, el OS de Palm TM, el EPOC TM, etc. Las zonas verticales de la Figura representan el modo de usuario 2, los dispositivos de accionamiento 3 de transporte del modo de Kernel, así como los dispositivos de accionamiento 4 Especificación de Interfaz de Dispositivo de Accionamiento de Red (NDIS - Network Driver Interface Specification ) del modo de Kernel, y están separadas por líneas horizontales de puntos y rayas. Los componentes de programación que intervienen son, comenzando desde la capa inferior, los dispositivos de accionamiento de NDIS 4 del modo de Kernel, que son los Dispositivos de Accionamiento Asíncronos / de Puerta en Serie, el Proxy 6 de Dispositivo de Accionamiento de Red (ND - Network Driver ), el denominado adaptador de marcación manual, la Red de Área Extensa (WAN) 7 de NDIS de PPP, el adaptador virtual (que utiliza la red Ethernet (IEEE 802.3)) 8, el componente 9 de Protocolo de Encaminamiento en Túnel de Punto a Punto / Protocolo de Encaminamiento en Túnel de Capa 2 (PPTP / L2TP), provisto de un adaptador virtual 218, y dos instancias de un dispositivo de accionamiento 2 de IPSec de Terceras Partes y su adaptador virtual 211. Este IPSec de Terceras Partes es un dispositivo de accionamiento de NDIS proporcionado por un suministrador de programación independiente. El adaptador virtual 211 cumple un papel similar al del adaptador virtual anteriormente mencionado. Cuando funciona en el denominado modo de túnel, la segunda instancia del dispositivo de accionamiento de IPSec de Terceras Partes debe asemejarse a una tarjeta de Interfaz de Red (NIC - Network Interface Card ) desde el punto de vista de la primera instancia del dispositivo de accionamiento de IPSec de Terceras Partes. Los componentes de programación implicados en los dispositivos de accionamiento 3 de transporte del modo de Kernel son el IPSec 212 de Microsoft TM y el dispositivo de accionamiento de protocolo 213 de Protocolo de Control de Transmisión / Protocolo de Internet (TCP / IP), y el UNImodem 217. Los componentes de programación implicados en el modo de usuario 2 son la Interfaz de Programación de Aplicación de Telecomunicación (TAPI - Telecommunication Application Programming Interface ) 214, el Servicio de Acceso a Distancia (RAS - Remote Access Service ) 2 y la aplicación de capa superior 216, por ejemplo, un ojeador o buscador de web. El modo de usuario 2 comprende adicionalmente el sistema de RAL 1, es decir, los componentes de programación de acuerdo con la presente invención, los cuales se describirán a continuación con más detalle. 6 Comenzando por las capas inferiores, estos componentes de modo de usuario 2 incluyen principalmente: Una Interfaz de Programación de Aplicación (API) en conexión con dispositivos de GPRS 2 y una API en conexión con dispositivos de VPN 221. Con el fin de proporcionar soporte a dispositivos que no están normalizados para 7

8 el sistema operativo, el sistema de RAL comprende API s de componentes que permiten abstraer un comportamiento genérico de estos dispositivos de cara a los otros componentes de programación superiores. Este comportamiento genérico se materializa por medio de un conjunto normalizado de órdenes para cada uno de los dispositivos de GPRS y el dispositivo de VPN, que serán enviadas por los componentes de capa superior y traducidas a señales específicas de dispositivo o de sistema, que se indican por las flechas 222 y 223, impartidas a los dispositivos de Kernel subyacentes adecuados. Si se requiere, un conjunto de funciones de RAS 224 para VNP s y GPRS, debido a las posibles limitaciones del sistema operativo. Estos componentes permiten llevar a cabo procedimientos de establecimiento de sesión específicos que no están cubiertos por la programación existente, por ejemplo, funciones de GPRS específicas, tales como la definición del contexto de PDP. Una Base de Datos 22 de Perfiles de usuario. El sistema de RAL 1 mantiene una base de datos que contiene todos los datos relevantes para la cadena de extremo a extremo de datos de configuración que se requiere, por parte de los diferentes componentes de programación fuera del sistema de RAL 1, con el fin de establecer una conexión de datos de comunicaciones móviles segura. De manera notoria, permite gestionar con flexibilidad los datos de contexto de PDP. Cuando sea conveniente, los datos se harán pasar o transferirán a componentes situados fuera del sistema de RAL, por ejemplo, al RAS, para los parámetros de marcación manual, tales como los números de teléfono, etc. Las API s genéricas se dan en dos formas: - API s 226 de plataforma, que proporcionan soporte a plataformas de Sistema Operativo múltiple, por ejemplo, Windows TM, Palm TM, EPOC TM, Mac TM, etc., y que tan solo son relevantes en el contexto de la implementación del código de programación. - API s de enchufe o enganche, que son un conjunto de órdenes y parámetros públicos que la RAL comprende o genera para el soporte de enganches autónomos 229. El núcleo de procesamiento 227 es la parte de control del sistema de RAL 1. Éste traduce la entrada proporcionada por el usuario, tal como un texto, números, marcaciones con el ratón, etc., tomados de la Interfaz Gráfica de Usuario (GUI - Graphical User Interface ) 228, a señales para los componentes subyacentes apropiados, y coordina y activa los diferentes procedimientos de acuerdo con la lógica apropiada, por ejemplo, definir un contexto de PDP de sesión de PCT, hacer pasar el contexto de la sesión al dispositivo de PCT, activar el establecimiento de una conexión de marcación manual, y establecer a continuación la conexión de VPN. La GUI 228 del sistema de RAL combina en la misma aplicación todas las interfaces necesarias para la configuración y el establecimiento de una sesión de conexión a red a través de dispositivos de soporte pseudo-carentes de conexiones, por ejemplo, de GPRS, o de dispositivos de soporte de marcación manual estándar, por ejemplo, de PSTN, de Red Digital de Servicios Integrados (ISDN - Integrated Services Digital Network ). Un ejemplo de una GUI del sistema de RAL comprende una ventana de control genérica, la cual permite la gestión de la sesión y proporciona acceso a perfiles de sesión para las tres capas implicadas en la conexión a red de comunicación móvil segura, VPN, GPRS (PDP), y dispositivo móvil (marcación manual por módem). Un cuadro de fondo expandido comprende los ajustes de la configuración particular del perfil seleccionado. Un elemento de información permite enlazar unas con otras las tres capas, con lo que se hace posible automatizar el establecimiento para una sesión concreta de extremo a extremo. Como añadido al sistema de RAL principal 1, pueden ponerse en comunicación diversos módulos de enganche autónomos 229 con la RAL 1 a través de una parte genérica de API 226, con el fin de llevar a cabo funciones de valor añadido que hacen uso de características o funciones especiales de la conexión de PCT o del dispositivo de PCT. En el caso de GPRS, un tal módulo de enganche 229 podría consistir, por ejemplo, en un dispositivo de medición que registrase el volumen de datos transferido y lo tradujese a la cantidad de dinero que el usuario habría de pagar al operador de GPRS (éste último carga el uso por unidad de volumen de datos transferidos); la cantidad de dinero se presenta entonces visualmente, de forma inmediata o en tiempo real, ante el usuario, por medio de una GUI implementada en el código de programación de enganche 229, que es independiente del sistema de RAL principal 1. Los principios que rigen dichos enganches son que éstos son completamente autónomos y están basados únicamente en la API 226. La Figura 3 muestra un diagrama de flujo del establecimiento de una sesión de acceso a distancia y seguro desde una computadora, que comprende la lógica de programación y los componentes de programación del sistema de RAL, a una red privada de comunicaciones de datos, a través de un dispositivo de la denominada Tecnología Pseudocarente de Conexiones (PCT - Pseudo-Connectionless Technology ), por ejemplo, un dispositivo de Servicio General de Radio en Paquetes (GPRS - General Packet Radio Service ). El método incluye las siguientes etapas: 1. Un usuario de la computadora lleva a cabo un único acto de conexión, por ejemplo, una marcación o clic 8

9 con el ratón, lo que activa o dispara automáticamente el sistema de RAL para que lleve a cabo las siguientes etapas: 2. Definir un contexto de Protocolo de Datos en Paquetes (PDP - Packet Data Protocol ) de sesión de PCT, que comprende características pseudo-carentes de conexiones de una sesión de PCT. 3. Hacer pasar o transferir el contexto de sesión que se ha definido al dispositivo de PCT. 4. Activar el establecimiento de una conexión de marcación manual, y. Activar el establecimiento de una sesión de Red Privada Virtual (VPN - Virtual Private Network ) segura. El método se implementa por medio de un producto de programación informática que comprende las porciones de código de programación destinadas a llevar a cabo las etapas del método. El producto de programación informática se carga, bien directamente o bien desde un medio susceptible de ser utilizado por una computadora, tal como un disquete, un CD, Internet, etc. La instalación y la configuración que se requieren para el sistema de RAL - Deberá instalarse y configurarse un módem en una computadora, quizá con el uso de algunos dispositivos de accionamiento y/o guiones adicionales proporcionados por el fabricante del equipo o terminal de mano de GPRS (tal y como se ha expuesto anteriormente en la parte de Descripción de la técnica relacionada ). - El usuario instala la programación del sistema de RAL en la computadora El usuario configura perfiles de sesión pseudo-carentes de conexiones, con todos los Elementos de Información (IE s - Information Elements ) necesarios para el establecimiento de la sesión de conexión a red móvil de extremo a extremo y segura. La RAL proporciona una única ventana para el acceso a todos los IE s relevantes. Dos métodos posibles son: 1. El usuario crea un perfil y lo rellena o cumplimenta utilizando información proporcionada por el operador de GPRS o por el departamento de IT de la corporación o empresa. 2. El usuario lleva a cabo una configuración de un solo clic, al importar un archivo de configuración distribuido por el operador de GPRS o por el departamento de IT de la corporación o empresa. - Opcionalmente, configura credenciales de autentificación en el terminal de mano si éstos no pueden ser configurados utilizando el sistema de RAL como consecuencia de las limitaciones del terminal de mano de GPRS. El establecimiento de la sesión de acuerdo con el sistema de RAL Cuando un usuario de una computadora desea acceder a su red corporativa a través del servicio de GPRS, utilizando el sistema de RAL, se seguirá el procedimiento siguiente: - El usuario enlaza físicamente la computadora y el terminal de mano, ya sea con el uso de un cable en serie, ya sea mediante la activación del enlace de infrarrojos existente en el terminal de mano, tal y como se ha descrito anteriormente bajo el epígrafe de la descripción de la técnica relacionada. - El usuario pone en marcha o arranca la programación para el sistema de RAL; opcionalmente, el sistema de RAL puede ponerse en marcha automáticamente con el arranque de la computadora, y - marca o hace clic con un cursor sobre un icono de conexión contenido en la GUI o un símbolo de marcación equivalente de la GUI, por ejemplo, presiona el botón de intro de un teclado que actúa sobre la computadora. Las tecnologías futuras pueden hacer posibles otras metáforas o simbolizaciones de interfaz, por ejemplo, órdenes de voz, movimientos de los ojos, etc. El diagrama de la Figura 4 esboza lo que ocurre en la red una vez que el usuario hace clic en conectar. Las redes implicadas son el bus troncal 4 de la Red Móvil Terrestre Pública (PLMN - Public Land Mobile Network ) de GPRS, la red de Internet Pública 4 y la Red de IP Privada 4. El procedimiento puede dividirse en las cuatro partes principales siguientes: 2. Definir un contexto de Protocolo de Datos en Paquetes (PDP - Packet Data Protocol ) de sesión de GPRS, el cual comprende características pseudo-carentes de conexiones de una sesión de GPRS. 3. Transferir el contexto de sesión definido al dispositivo de GPRS. 4. Activar el establecimiento de una conexión de marcación manual por medio de la activación del contexto de PDP, y 9

10 . Activar el establecimiento de una sesión de Red Privada Virtual (VPN - Virtual Private Network ) segura. Una vez que el usuario ha hecho clic en conectar, la programación de sistema de RAL, contenida en la computadora 1, comunicará en primer lugar un mensaje 2 al dispositivo de GPRS 3, comprendiendo el mensaje 2 los parámetros de sesión de GPRS que se configuraron cuando se creó el perfil de la sesión. Estos parámetros definen las características pseudo-carentes de conexiones de la sesión de GPRS, y forman el denominado contexto de PDP. Estos parámetros son, por ejemplo, el Tipo de PDP, el Nombre de Punto de Acceso (APN), las opciones de compresión, la dirección de IP y la calidad de las opciones del servicio. Todos estos parámetros son opcionales en un mensaje de definición del contexto de PDP. En el caso de que no se hayan establecido explícitamente, es posible establecerlos más tarde, ya sea por la computadora 1 durante la fase de negociación del PPP, proporcionado por la red de GPRS en la etapa de interrogación 7 sobre el Registro de Ubicación de Domicilio (HLR - Home Location Register ), ya sea por establecimiento por defecto en el terminal de mano 3. Con los actuales terminales de GPRS, el mensaje 2 se transfiere con el uso de una orden de AR estándar, que se envía al terminal a través de una interfaz periférica del PC, tal como, por ejemplo: - una puerta o acceso en serie, - una puerta o acceso en paralelo, - una interfaz de Asociación Internacional de Tarjetas de Memoria para Computadores Personales (PCMCIA - Personal Computer Memory Card International Association ), 2 - un bus de computación, por ejemplo, de Arquitectura de Canal Micro (MCA - Micro Channel Architecture ), de Arquitectura Industrial Normalizada (ISA - Industry Standard Architecture ), ISA Mejorada (EISA - Enhanced ISA ), un bus local de Asociación de Normalizaciones Electrónicas y de Vídeo (VESA - Video Electronics Standards Association ), una Interconexión de Componentes Periféricos (PCI - Peripheral Component Interconnect ) una mini- PCI, una Interfaz de Sistema Informático Pequeño (SCSI - Small Computer System Interface ), un Canal de Fibra, un Protocolo de Bus en Serie con una capa física de Firewire conforme a la IEEE 1394, - una puerta de Bus en Serie Universal (USB - Universal Serial Bus ), una interfaz de Asociación de Datos de Infrarrojos (IrDA - Infrared Data Association ), - una interfaz de radio de corta distancia de tecnología Bluetooth. A continuación, la lógica de programación del sistema de RAL 1 apela a las capacidades de marcación manual del Sistema Operativo en el que reside. Para el Windows TM 98, NT ó 00, ésta hace uso de las funciones proporcionadas por el componente de Servicio de Acceso a Distancia (RAS). De forma alternativa, dicho sistema operativo puede ser cualquiera de los existentes, tales como el Palm TM, el EPOC TM, el Mac TM, el Unix TM ; en cuyo caso dichas capacidades de marcación manual hacen uso de facultades proporcionadas por funciones de OS equivalentes al RAS, o por funciones proporcionadas por programación de terceras partes independientes. Los parámetros que se transfieren al RAS son parámetros de marcación manual, por ejemplo, el protocolo de autentificación, la política o criterios de asignación de las direcciones, la compresión, etc., así como credenciales de autentificación que se utilizan opcionalmente para el caso del acceso no transparente de GPRS. En el Windows TM, la lógica de programación del sistema de RAL inscribe los parámetros de marcación manual en un archivo del sistema, un archivo denominado libreta de teléfonos, que se encuentra entonces listo para el RAS cuando éste lleve a cabo el procedimiento de conexión de marcación manual. La lógica de programación del sistema de RAL indica también el RAS en el cual se ha de leer el archivo cuando ésta active la marcación manual de RAS. Este archivo contiene también, con una codificación robusta, la cadena de servicio, es decir, el número de teléfono, para el GPRS, por ejemplo, *98**1#. Los credenciales de autentificación se sitúan en una posición de memoria opaca (Memoria de Acceso Aleatorio (RAM - Random Access Memory )) por parte de la lógica de programación del sistema de RAL, de donde serán recuperados más tarde por el RAS con el uso de funciones estándar del Sistema Operativo (OS - Operating System ). Se transfiere un puntero que indica esta posición al RAS. Una vez que se ha activado o puesto en marcha el RAS, éste lleva a cabo las siguientes operaciones sin la intervención de la lógica de programación del sistema de RAL: Enviar una orden de Marcación 4 al dispositivo de GPRS 3 con la cadena de servicio de GPRS. Introducir la denominada fase de negociación de PPP (que termina en 414), etapa que comprende, a su vez, tres etapas consecutivas: 1. Protocolo de Control de Enlace (LCP - Link Control Protocol ) de PPP: la computadora 1 y el dispositivo de GPRS 3 intercambian diversos mensajes con el fin de negociar parámetros de enlace, por ejemplo, la Unidad de

11 Recepción Máxima (MRU - Maximum Receive Unit ), el Protocolo de Autentificación. 2. Autentificación de PPP: opcionalmente, el componente de RAS 2 de la computadora 1 recupera los credenciales de autentificación de la RAM y los transfiere a través del teléfono de GPRS Protocolo de Control de Red de PPP (NCP - Network Control Protocol ) / Protocolo de Control de IP (IPCP - IP Control Protocol ): el RAS solicita ciertos parámetros de red de IP (tal como a tenor de los requerimientos comunicados por el sistema de RAL) en un mensaje de solicitud de configuración de IPCP de TTP. Estos parámetros comprenden, por ejemplo, los criterios de asignación de las direcciones de IP, los servidores de nombre, la compresión de extremo a extremo, etc. Esta tercera etapa activa, a su vez, el terminal de mano de GPRS 3, a fin de iniciar, en 6, un procedimiento de activación de contexto de PDP con el Nodo de Soporte de GPRS en Servicio (SGSN - Serving GPRS Support Node ) de la red de GPRS. Este mensaje de Activación de Solicitud de Contexto de PDP 6 contiene el APN y, opcionalmente, los credenciales de autentificación. La fase de configuración de IPCP de PPP finalizará cuando la red de GPRS confirme el final del procedimiento 413 de activación de contexto de PDP. El terminal de mano retornará entonces a la computadora 1 una confirmación de configuración de IPCP de PPP 414, la cual notifica al RAS la conclusión del establecimiento de la sesión. El foco del control regresa entonces al sistema de RAL. Dependiendo del escenario del servicio, el procedimiento de activación del contexto de PDP dentro de la red de GPRS será más o menos complejo. 2 3 Son posibles aquí diversas combinaciones de casos, por ejemplo, el caso Transparente o No Transparente, y el caso de Navegación o de No Navegación. El comportamiento de la red viene determinado por el APN que se transfiere a través del Nodo de Soporte de GPRS en Servicio (SGSN) y del Nodo de Soporte de GPRS de Pasarela (GGSN - Gateway GPRS Support Node ) en el instante de la activación del contexto de PDP. Éste es independiente del sistema de RAL. Es el SGSN el que determina, basándose en el APN, el comportamiento con respecto a la navegación, estableciendo a continuación el SGSN un túnel de Protocolo de Encaminamiento en Túnel de GPRS (GPT - GPRS Tunnelling Protocol ) y haciendo pasar el APN al GGSN, que es el que determina en comportamiento con respecto a la transparencia del acceso. Por ejemplo, en el caso más complicado, que es el del acceso de navegación no transparente: - El SGSN interrogará, 7, al HLR con el fin de comprobar los parámetros de activación del contexto de PDP con los registros del abonado, permitiendo de esta forma impedir un uso fraudulento y rellenando o cumplimentando los parámetros opcionales que puedan no haber sido definidos con anterioridad. - El SGSN interrogará, 8, al Servicio de Nombre de Dominio (DNS - Domain Name Service ) sobre el APN El DNS retornará una dirección de IP destinada a ser utilizada por el GGSN, esto es, el GGSN de domicilio o un GGSN perteneciente a la red visitada, dependiendo de los criterios de navegación del operador implementados en el DNS. - El SGSN envía un mensaje, 9, de Creación de Solicitud del Contexto de PDP, el cual contiene el APN y los credenciales de autentificación, al GGSN. - Basándose en el APN, el GGSN determina que tiene que llevar a cabo un procedimiento de acceso no transparente. En consecuencia, contacta con un servidor 4 ubicado en la red corporativa privada (por ejemplo, un Servicio de Usuario de Marcación de Autentificación a Distancia (RADIUS - Remote Authentication Dial-in User Service ) y/o un Protocolo de Configuración Dinámica de Computadora Principal (DHCP - Dinamic Host Configuration Protocol )), al objeto de obtener una dirección de IP, que éste asigna a la Estación Móvil que activó el contexto de PDP en primer lugar, El GGSN retorna un mensaje 412 de generar aceptación de contexto de PDP, que contiene la dirección de IP que asignó al terminal de mano de GPRS 3 y a la computadora 1. - El SGSN transfiere este mensaje al terminal de mano de GPRS 3 en un mensaje 413 de activación de respuesta de contexto de PDP. 6 - El terminal de mano de GPRS 3 genera un mensaje 414 de confirmación de configuración de IPCP de PPP, que transfiere al RAS de la computadora a través de, por ejemplo, el enlace en serie o por infrarrojos. Este mensaje 414 comprende los ajustes de IP. 11

12 2 Una vez que el RAS recibe este mensaje 414 de confirmación de configuración de IPCP de PPP, éste configura correctamente el apilamiento o pila de TCP / IP del Sistema Operativo de la computadora 1 y lo une o asocia a los dispositivos de accionamiento de NDIS de nivel inferior para la marcación manual de la NDISWAN -Véase la Figura 2. El RAS genera a continuación una respuesta hacia el software o programación del sistema de RAL, a fin de confirmar que la conexión de GPRS ha sido establecida de forma satisfactoria. En los casos en los que se hayan de utilizar los componentes de VPN, conforme se indica en el perfil definido por el usuario, el sistema de RAL activa entonces la siguiente etapa, con los procedimientos necesarios para establecer una sesión de VPN segura. Por ejemplo, basándose en los parámetros de configuración de usuario que almacena, el sistema de RAL selecciona un dispositivo de VPN, por ejemplo, el IPSec 212 de Microsoft TM, que se ilustra en la Figura 2, y el L2TP 9 de Microsoft TM, o bien un dispositivo de accionamiento 2 de IPSec de Terceras Partes, y transfiere, ya sea a través del RAS, 2, ya sea directamente, 223, los parámetros adicionales requeridos, tales como el Nombre de Pasarela de VPN o la dirección de IP, el protocolo de autentificación, el puntero que señala a los credenciales de autentificación, por ejemplo, los certificados digitales o el nombre de usuario / palabra de paso, los cuales pueden haber sido definidos utilizando el sistema de RAL. La programación de VPN llevará entonces a cabo las etapas necesarias para establecer la conexión segura por medio de la negociación de claves de encriptación o cifrado en masa con la pasarela de VPN 4, con el uso del Protocolo de Intercambio de Clave de Internet (IKE - Internet Key Exchange ) de Ipsec 416, y para establecer a continuación el túnel de VPN, por ejemplo, el L2TP 417, y autentificar el usuario 418, lo cual puede implicar, opcionalmente, una Interrogación 419 de RADIUS / Autentificación, Autorización, Cómputo (AAA). La invención no está limitada a las realizaciones anteriormente descritas. Es posibles utilizar diversas alternativas, modificaciones y equivalentes. En consecuencia, las realizaciones anteriores no han de considerarse como limitativas del ámbito de la invención, el cual se define por las reivindicaciones que se acompañan. Acrónimos GPP AAA ADSL API APN ARP CAST CD CDPD CHAP DECT DES DHCP DNS EAP EISA ETSI Proyecto de Sociedad Participativa de Tercera Generación. Autentificación, Autorización, Cómputo, por extensión del conjunto de protocolos del IETF para llevar a cabo estas funciones. Línea de Abonado Digital Asimétrica. Interfaz de Programación de Aplicación. Nombre de Punto de Acceso. Protocolo de Determinación de Dirección. Carlisle Adams y Stafford Tavares. Disco Compacto. Datos de Paquetes Digitales Celulares. Protocolo de Autentificación para Iniciación de Diálogo de Interrogación o Demanda. Teléfono Inalámbrico Digital Mejorado. Norma de Cifrado de Datos. Protocolo de Configuración Dinámica de Computadora Principal. Servicio de Nombre de Dominio. Protocolo de Autentificación Extensible. ISA Mejorada. Instituto Europeo de Normalización de las Telecomunicaciones. 12

13 2 3 GGSN GPRS GRE GSM GTP GUI HLR IDEA IE IETF IKE IP IPSec IPCP IrDA ISA ISDN ISP L2TP LCP MCA Nodo de Soporte de GPRS de Pasarela. Servicio General de Radio en Paquetes. Encapsulado de Direccionamiento General. Sistema Global para Comunicaciones Móviles. Protocolo de Encaminamiento en Túnel de GPRS. Interfaz Gráfica de Usuario. Registro de Ubicación de Domicilio. Algoritmo Internacional de Cifrado de Datos. Elemento de Información. Grupo de Trabajo de Ingeniería de Internet. Intercambio de Clave en Internet. Protocolo de Internet. IP Seguro (según el IETF). Protocolo de Control de IP. Asociación de Datos de Infrarrojos. Arquitectura Industrial Normalizada. Red Digital de Servicios Integrados. Proveedor de Servicios de Internet. Protocolo de Encaminamiento en Túnel de Capa 2 (según el IETF). Protocolo de Control de Enlace. Arquitectura de Micro Canal. MD- Algoritmo de Compendio de Mensajes número MRU MS-CHAP MSC NCP ND NDIS NIC OS PAP PC PCI PCMCIA Unidad de Recepción Máxima. CHAP de Microsoft. Centro de Conmutación Móvil. Protocolo de Control de Red. Dispositivo de Accionamiento de Red. Especificación de Interfaz de Dispositivo de Accionamiento de Red. Tarjeta de Interfaz de Red. Sistema Operativo. Protocolo de Autentificación de Palabra de Paso. Computador Personal. Interconexión de Componentes Periféricos. Asociación Internacional de Tarjetas de Memoria para Computadores Personales. 13

14 PCS PCT PDA PDP PIN PKI PLMN POP PPP PPTP PSTN QoS RADIUS RAL RAM RAS RC RC-/128 RSA SCSI SGSN SIM SPAP TCP TIA UI UMTS USB VESA VPN WAN WCDMA Sistema de Comunicaciones Personales. Tecnología Pseudo-carente de Conexiones. Asistente Digital Personal. Protocolo de Datos en Paquetes. Número de Identificación Personal. Infraestructura de Clave Pública. Red Móvil Terrestre Pública. Punto de Presencia. Protocolo de Punto a Punto. Protocolo de Encaminamiento en Túnel de Punto a Punto (Microsoft). Red Telefónica Pública Conmutada. Calidad del Servicio. Servicio de Usuario de Marcación de Autentificación a Distancia. Sistema de Introducción de Información para Acceso a Distancia. Memoria de Acceso Aleatorio. Servidor de Acceso a Distancia. Código de Ron. RC con clave de bits o de 128 bits. Algoritmo de cifrado de clave pública de Rivest Shamir y Aldeman, o compañía del mismo nombre, especializada en software o programación de seguridad. Interfaz de Sistema Informático Pequeño. Nodo de Soporte de GPRS en Servicio. Módulo de Identidad de Abonado. Protocolo de Autentificación de Palabra de Paso de Shiva. Protocolo de Control de Transmisión. Asociación de la Industria de las Telecomunicaciones. Interfaz de Usuario. Sistema Universal de Telecomunicaciones Móviles. Bus en Serie Universal. Bus local de Asociación de Normalizaciones Electrónicas y de Vídeo. Red Privada Virtual. Red de Área Extensa. Acceso Múltiple por División en Código de Banda Ancha. 14

15 REIVINDICACIONES Un método para establecer una sesión de acceso a distancia y segura desde una computadora () hasta una red (4) de comunicaciones de datos, a través de un dispositivo (3) de tecnología de comunicación de datos, en el cual dicha tecnología de comunicación de datos requiere una cierta información de establecimiento y se sirve de una red de acceso especializada y de pasarelas dedicadas, o de uso exclusivo, denominándose en lo sucesivo dicha tecnología de comunicación de datos Tecnología Pseudo-carente de Conexiones (PCT - Pseudo-Connectionless Technology ), estando el método caracterizado porque comprende las etapas de: - llevar a cabo (1) un único acto de conexión, el cual activa automáticamente un Sistema de Introducción de Información para Acceso a Distancia (RAL), contenido en la computadora, a fin de efectuar las siguientes etapas: - definir (2) un contexto de sesión de Protocolo de Datos en Paquetes (PDP) de PCT, el cual comprende características pseudo-carentes de conexiones de una sesión de PCT, y - transferir (3) dicho contexto de sesión al dispositivo de PCT (3) en un mensaje; - disparar o activar (4) el establecimiento de una conexión de marcación manual; - cuando se requiera, activar () el establecimiento de una sesión de Red Privada Virtual (VPN) segura entre la computadora (1) y una pasarela de VPN contenida en la red de comunicaciones de datos (4). 2. El método de acuerdo con la reivindicación 1, en el cual el sistema de RAL comprende una Interfaz Gráfica de Usuario (GUI), llevándose a cabo dicho único acto de conexión por parte de un cursor que marca o hace clic en un icono de dicha GUI o que aprieta el botón de intro o introducción de un teclado que actúa sobre dicha computadora. 3. El método de acuerdo con la reivindicación 2, que comprende la etapa adicional, que se ha de adoptar antes de la etapa de llevar a cabo (1) el acto único de conexión: configurar perfiles de sesión de PCT mediante el acceso, en una única ventana de dicha GUI, a todos los Elementos de Información necesarios, IR, que se requieran para establecer una sesión de conexión a red de extremo a extremo segura. 4. El método de acuerdo con cualquiera de las reivindicaciones 1 a 3, en el cual el dispositivo de PCT consiste en un dispositivo de GPRS, en el cual la etapa de transferir (3) dicho contexto de sesión al dispositivo de PCT (3) en un mensaje se lleva a cabo mediante el uso de una orden o instrucción de AT estándar.. El método de acuerdo con cualquiera de las reivindicaciones 1 a 4, en el cual la etapa de activar (4) el establecimiento de una conexión de marcación manual comprende la etapa de: apelar a las capacidades de marcación manual del Sistema Operativo en el que reside el sistema de RAL. 6. El método de acuerdo con la reivindicación, en el cual dicho sistema operativo es el Windows TM 98, NT ó 00, y dichas capacidades de marcación manual hacen uso de funciones proporcionadas por el Servicio de Acceso a Distancia, RAS. 7. El método de acuerdo con cualquiera de las reivindicaciones a 6, en el cual la etapa de activar (4) el establecimiento de una conexión de marcación manual comprende la etapa adicional, adoptada por el sistema de RAL, de: almacenar parámetros de marcación manual en un archivo de sistema. 8. El método de acuerdo con la reivindicación 7, en el cual la etapa de activar (4) el establecimiento de una conexión de marcación manual comprende la etapa adicional, adoptada por el sistema de RAL, de: indicar al RAS en qué archivo pueden ser leídos dichos parámetros de marcación manual almacenados. 9. El método de acuerdo con la reivindicación 8, en el cual la etapa de activar (4) el establecimiento de una conexión de marcación manual comprende la etapa adicional, adoptada por el RAS, de: leer dichos parámetros de marcación manual en dicho archivo del sistema a la hora de llevar a cabo un procedimiento de conexión de marcación manual.. El método de acuerdo con cualquiera de las reivindicaciones 1 a 9, en el cual la etapa de activar (4) el establecimiento de una conexión de marcación manual comprende la etapa adicional, adoptada por el sistema de RAL, de:

16 almacenar información de autentificación en una posición de memoria RAM. 11. El método de acuerdo con la reivindicación, en el cual la etapa de activar (4) el establecimiento de una conexión de marcación manual comprende la etapa adicional, adoptada por el sistema de RAL, de: transferir al RAS un puntero con el que recuperar dichos credenciales de autentificación almacenados. 12. El método de acuerdo con cualquiera de las reivindicaciones 1 a 11, en el cual la etapa de activar () el establecimiento de una sesión de VPN segura comprende la etapa adicional, que ha de adoptarse por el sistema de RAL, de: seleccionar un dispositivo de VPN basándose en los parámetros de configuración de usuario almacenados en el sistema de RAL El método de acuerdo con la reivindicación 12, en el cual la etapa de activar (4) el establecimiento de una sesión de VPN segura comprende la etapa adicional, que ha de adoptarse por el sistema de RAL, de: transferir al dispositivo de VPN los parámetros adicionales requeridos para el establecimiento de dicha sesión de VPN segura. 14. El método de acuerdo con cualquiera de las reivindicaciones 1 a 13, en el cual el sistema de RAL comprende al menos un módulo de enchufe o enganche autónomo (229) independiente, comprendiendo el método la etapa adicional, que ha de ser adoptada por dicho módulo, de: llevar a cabo funciones de valor añadido mediante el uso de la conexión de PCT.. El método de acuerdo con la reivindicación 14, en el cual dicho módulo de enganche (229) consiste en un dispositivo de medición, comprendiendo el método la etapa adicional de: registrar el volumen de datos transferido; y traducirlo al corte que el operador de PCT cargará al usuario. 16. El método de acuerdo con la reivindicación, que comprende la etapa adicional de: presentar visualmente al usuario dicho coste de forma inmediata, o en tiempo real, por medio de una GUI. 17. Un producto de programa informático que puede ser cargado directamente en la memoria interna de una computadora digital, el cual comprende las porciones de código de software o programación destinadas a llevar a cabo todas las etapas del método de acuerdo con una cualquiera de las reivindicaciones 1 a 16, cuando dicho producto se ejecuta o lleva a cabo en una computadora. 18. Un producto de programa informático almacenado en un medio susceptible de ser utilizado por una computadora, el cual comprende un programa legible con el fin de hacer que una computadora controle una ejecución de todas las etapas del método de acuerdo con una cualquiera de las reivindicaciones 1 a Un sistema (1) de Introducción de Información para Acceso a Distancia, RAL, que actúa en una computadora con el fin de establecer una sesión de acceso a distancia y segura desde la computadora a una red de comunicaciones de datos a través de un dispositivo (3) de tecnología de comunicación de datos, en el cual dicha tecnología de comunicación de datos requiere una cierta información de establecimiento y se sirve de una red de acceso especializada y de pasarelas dedicadas, o de uso exclusivo, denominándose en lo sucesivo dicha tecnología de comunicación de datos Tecnología Pseudo-carente de Conexiones (PCT - Pseudo-Connectionless Technology ), y comprendiendo dicha computadora capacidades de comunicación, caracterizado porque el sistema de RAL comprende: 6 una Interfaz Gráfica de Usuario, GUI, (228), que comprende medios de conexión para su uso por parte de un usuario con el fin de llevar a cabo un único acto de conexión; un núcleo de procesamiento (227), que traduce la entrada del usuario tomada de la GUI en señales para los componentes subyacentes adecuados, coordinando también el núcleo de procesamiento (227) los procedimientos para definir un contexto de Protocolo de Datos en Paquetes, PDP, de sesión de PCT, transferir el contexto de sesión al dispositivo de PCT, establecer una conexión de marcación manual y, cuando se requiera, establecer una sesión de Red Privada Virtual segura, VPN, entre la computadora (1) y una pasarela de VPN contenida en la red de comunicaciones de datos (4).. El sistema de RAL (1) de acuerdo con la reivindicación 19, caracterizado porque dichos medios de conexión consisten en un icono de la GUI sobre el cual se pretende que el usuario marque o haga clic con el cursor con el fin de llevar a cabo el acto de conexión único, o por que dichos medios de conexión consisten en el botón de intro o 16

17 introducción perteneciente a un teclado que actúa sobre dicha computadora, y se pretende que el usuario pulse este botón para llevar a cabo el acto de conexión único El sistema de RAL (1) de acuerdo con la reivindicación, caracterizado porque dicha GUI comprende una única ventana para el acceso a todos los Elementos de Información, IEs, que son necesarios para configurar perfiles de PCT. 22. El sistema de RAL (1) de acuerdo con cualquiera de las reivindicaciones 19 a 21, caracterizado porque comprende una Interfaz de Programación de Aplicación, API, a la PCT (2), que permite abstraer un comportamiento genérico de los dispositivos de PCT que no están normalizados para un sistema operativo, de cara a los componentes de software o programación superiores. 23. El sistema de RAL (1) de acuerdo con cualquiera de las reivindicaciones 19 a 22, caracterizado porque comprende una API a VPN (221), que permite abstraer un comportamiento genérico de los dispositivos de VPN que no están normalizados para un sistema operativo, de cara a los componentes de software o programación superiores. 24. El sistema de RAL (1) de acuerdo con cualquiera de las reivindicaciones 19 a 23, caracterizado porque comprende un conjunto de funciones (224) de Servidor de Acceso a Distancia, RAS, el cual permite llevar a cabo procedimientos de establecimiento de sesión específicos. 2. El sistema de RAL (1) de acuerdo con cualquiera de las reivindicaciones 19 a 24, caracterizado porque comprende una base de datos (22) de perfiles de usuario, destinada a almacenar todos los datos relevantes para la cadena de extremo a extremo de datos de configuración que se requiere, por parte de los diferentes componentes de programación fuera del sistema de RAL, para establecer una conexión de datos segura con una red privada de comunicaciones de datos. 26. El sistema de RAL (1) de acuerdo con cualquiera de las reivindicaciones 19 a 2, caracterizado por que comprende al menos una API genérica (226), destinada a proporcionar soporte para al menos una plataforma de sistema operativo. 27. El sistema de RAL (1) de acuerdo con cualquiera de las reivindicaciones 19 a 26, caracterizado porque comprende al menos un módulo de enchufe o enganche autónomo (229) independiente, que lleva a cabo funciones de valor añadido con el uso de la conexión de PCT. 28. El sistema de RAL (1) de acuerdo con las reivindicaciones 26 y 27, caracterizado porque dicho módulo de enganche (229) tiene medios para comunicarse con dicha al menos una API genérica (226) con el fin de llevar a cabo dichas funciones de valor añadido. 29. El sistema de RAL (1) de acuerdo con la reivindicación 28, caracterizado porque dicho módulo de enganche (229) consiste en un dispositivo de medida que registra el volumen de datos transferido y lo traduce al coste que cargará el operador de PCT al usuario.. El sistema de RAL (1) de acuerdo con la reivindicación 29, caracterizado porque dicho coste se presenta visualmente ante el usuario de forma inmediata, o en tiempo real, por medio de una GUI

18 18

19 19

20