ES2887378T3 - Proveedor de acceso a una red central - Google Patents

Abstract

Un método implementado por ordenador para proporcionar a cada nodo de una red acceso a la red y/o a otros nodos y sistemas conectados a la red, en el que la red comprende al menos una pila de protocolos que comprende una pluralidad de capas, comprendiendo el método las etapas de: controlar el acceso en tiempo real y la actividad en la red de cada capa de la pila de protocolos por al menos un proveedor de acceso a la red central, en el que el proveedor de acceso a la red central comprende al menos una entidad digital y/o física; asignar secuencialmente una dirección de comunicación de red al o cada nodo de solicitud de acceso en el proveedor de acceso a la red central; el método caracterizado por las etapas de: codificar la dirección de comunicación de red asignada en el proveedor de acceso a la red central con un parámetro único del nodo y un parámetro único del usuario del nodo, en un registro de identificación de integridad; distribuir el registro del identificador de integridad en tiempo real a cada nodo conectado a la red; recibir el registro de identificador distribuidos y procesarlo en cada nodo conectado a la red o en uno o más nodos certificados para verificar su secuencia, atributos de identidad e integridad del proceso; al determinar una pérdida de integridad en el registro, identificar el registro del registro que causa la pérdida y transmitir una alerta que comprende el registro del registro identificado a cada nodo conectado a la red o uno o más nodos certificados; y al identificar un registro del registro que causa una pérdida de integridad o al recibir una alerta en el proveedor de acceso a la red central, cancelar o controlar el acceso a la red, sistema o registro para el nodo que tiene los identificadores correspondientes al registro del registro identificado.

Description

DESCRIPCIÓN

Proveedor de acceso a una red central

Campo

La presente invención se refiere a un sistema y a un método para gestionar el acceso de los dispositivos de procesamiento de datos a las redes. Más particularmente, la presente invención se refiere a sistemas y métodos para gestionar el acceso de los dispositivos de procesamiento de datos a las redes a través de un registro distribuido que integra el protocolo de direcciones y los atributos de identidad de los usuarios.

Antecedentes

Los dispositivos informáticos en uso en red permanente o semipermanente hoy en día, se extienden mucho más allá de las computadoras y portátiles convencionales de antaño, a terminales de comunicación personal como teléfonos inteligentes, electrodomésticos industriales y domésticos, vehículos personales y muchos otros dispositivos, incluso juguetes, todos comúnmente denominados como 'cosas' en la expresión 'Internet de las cosas', en el que su número agregado ha aumentado en un período de tiempo relativamente corto de dos a tres décadas, de decenas a cientos de miles hasta ahora varias decenas de millones al menos, en paralelo con el despliegue de conectividad de red cuasi ubicua.

El ritmo de este desarrollo sigue aumentando, en la medida en que el número total de dispositivos informáticos en uso en red en un momento dado, pronto, o ya, excede cómodamente a la población humana que los usa simultáneamente.

De esta situación surgen dos problemas que están intrínsecamente relacionados entre sí. En primer lugar, en cualquier nodo particular de una red, el de establecer en un momento relevante, y mantener durante un período de tiempo, un nivel de confianza sobre la identidad de un usuario asociado a un nodo remoto, ya sea un ordenador conectado a Internet, una nevera también conectada a Internet, un teléfono inteligente conectado a una red celular o una sesión individual de software como servicio en cualquiera de las plataformas. En segundo lugar, considerando el número cada vez mayor de nodos de red asociados con cualquier individuo en particular, el aumento de este nivel de confianza en múltiples redes que operan bajo diferentes protocolos y tienen requisitos y capacidades de autenticación muy variados.

Los intentos recientes de mitigar el dilema anterior se han basado en tecnologías basadas en cadenas de bloques, que se sabe que consumen cantidades no triviales de potencia de procesamiento informático con fines de verificación, y que exhiben una flexibilidad limitada para adaptarse a contextos de aplicación variables. Además, el diseño inherentemente anónimo de Internet da como resultado una neutralidad indiferente de la tecnología en el caso de soluciones orientadas a nodos: en el protocolo TCP/IP, el remitente de datos es potencialmente anónimo y la inteligencia está en los nodos, no en el red, con fines de resiliencia, conveniencia y eficacia. Esta estructura de diseño evita la autenticación en toda la red, requiriendo una autenticación específica de la sesión, por ejemplo, utilizando el protocolo de seguridad de la capa de transporte.

La investigación de soluciones tecnológicas a los problemas anteriores se lleva a cabo habitualmente fuera del contexto administrativo del control de identidad y las consideraciones de seguridad individual o nacional. Esta desconexión entre el ámbito digital y las construcciones administrativas, como las fronteras, las nacionalidades y otras reglas jurisdiccionales, da como resultado recursos gubernamentales no triviales dedicados a la auditoría y vigilancia de datos de red con fines de seguridad, porque todavía es muy poco práctico tratar de hacer cumplir la responsabilidad del usuario y fronteras en las redes digitales.

La autenticación, la responsabilidad y la supervisión del cumplimiento son requisitos previos para crear un entorno estable, predecible y seguro. Una arquitectura de red escalable apta para autenticar y monitorear la identidad del usuario, dispositivo y/o estructura de datos, en lugar de posponer la tarea a entidades discretas ad hoc, por lo tanto, es deseable en vista de lo anterior. La Publicación de patente de EE. UU. n.° US2016/182519 describe un método y sistema relacionados con la autenticación de usuarios para acceder a redes de datos.

Sumario de la invención

La presente invención se refiere a una arquitectura de red que incorpora registros y sistemas de información, comunicación, integridad de transacciones y seguridad, que se implementa mediante una metodología llevada a cabo por uno o más proveedores de acceso a la red central (CNAP) interconectados con todas las capas, incluida las capas más bajas de infraestructura en una red de comunicación para controlar el acceso de los usuarios a los registros y los sistemas y la interacción, en el que uno de los registros integra un registro distribuido de identidades de nodos, sistemas y direcciones de comunicación con protocolo de dirección y atributos de identidad de un usuario o nodo. La presente invención se refiere a una arquitectura y un sistema operativo que permite el diseño de sistemas, redes y registros con derechos y aplicación de políticas para la información, comunicación, transacción, identidad e integridad de acceso y seguridad utilizando las diferentes capas de infraestructura en una red de comunicación y sistemas adjuntos, redes y registros para controlar el uso de los sistemas, redes y registros. El método es llevado a cabo por los sistemas del proveedor de acceso a la red central (CNAP) utilizados para el acceso autorizado a sistemas confiables que todos pueden interoperar con otras plataformas, aplicaciones, registros y redes.

De acuerdo con un aspecto de la presente invención, por lo tanto, se proporciona un método implementado por ordenador para proporcionar a cada nodo de una red acceso a la red (y al sistema o sistemas basados en la red que se ejecutan o están conectados a la red, y/o a cualquier otro nodo conectado a la red) en el que la red comprende al menos una pila de protocolos que comprende una pluralidad de capas, el método comprende las etapas de controlar el acceso en tiempo real y la actividad en la red de cada capa de la pila de protocolos por al menos un proveedor de acceso a la red central, en el que el proveedor de acceso a la red central comprende al menos una entidad digital y/o física; asignar secuencialmente una dirección de comunicación de red al o cada nodo de solicitud de acceso en el proveedor de acceso a la red central; codificar la dirección de comunicación de red asignada en el proveedor de acceso a la red central con un parámetro único del nodo y un parámetro único del usuario del nodo, en un registro de identificación de integridad; distribuir el registro del identificador de integridad en tiempo real a cada nodo conectado a la red; recibir el registro de identificador distribuidos y procesarlo en cada nodo conectado a la red o en uno o más nodos certificados para verificar su integridad relacionada con todos los aspectos relevantes; al determinar una pérdida de integridad en el registro, identificar el registro del registro que causa la pérdida y transmitir una alerta que comprende el registro del registro identificado a cada nodo conectado a la red o uno o más nodos certificados; y al identificar un registro del registro que causa una pérdida de integridad o al recibir una alerta en el proveedor de acceso a la red central, cancelar o controlar el acceso a la red y sus nodos y sistemas conectados para el nodo que tiene el identificador correspondiente al registro del registro identificado o al nodo que ha tomado la dirección de comunicación. La integridad relacionada con todos los aspectos relevantes puede comprender su secuencia, factor de identidad e integridad del proceso. En una realización, esto podría ser monitoreado o cualquiera de las otras funcionalidades en el CNAP u otras capacidades del sistema adjunto. En una realización, el proveedor de acceso a la red central está configurado para recibir programas informáticos e información que contiene condiciones que controlan el acceso a diferentes sistemas e inteligencia sobre los requisitos operativos y el uso de estas capacidades CNAP. En una realización, la distribución del identificador de integridad leger en tiempo real a cada nodo conectado a la red es a CNAP con certificación, un grupo de usuarios/nodos preestablecidos por la especificación del sistema (por ejemplo, un grupo de bancos), o cada nodo conectado a la red. En una realización, la verificación de la integridad comprende además la capacidad de detectar inmediatamente un cambio o una infracción en los atributos de identificación del usuario (por ejemplo, Identidad/IP/código de máquina) y reaccionar de acuerdo con el sistema preestablecido del nodo (como un bloqueo CNAP del usuario violado o una base de datos de acceso que bloquea o restringe a un usuario). En una realización, se puede alertar a uno o más nodos certificados si se identifica que un nodo carece de integridad.

El método de la invención combina e integra ventajosamente una tecnología de contabilidad de transparencia distribuida, la capa de comunicación y los atributos identificables inherentes a una red de comunicación, y los dispositivos y sistemas conectados a ella, para asegurar la identificación y hacer que cualquier cambio en el estado sea inmediatamente visible para los nodos participantes del registro. El registro es operado por uno o más proveedores de acceso a la red central y se accede a él a nivel mundial, la totalidad o parte de los cuales pueden ser administrados por plataformas comunes controladas por múltiples jugadores o una sola institución.

Con la metodología de la invención, los proveedores de acceso a la red central tienen, o pueden obtener, el control total de los nodos a través de la red física y virtual y sus capacidades y funciones. Los sistemas y registros en los que el acceso se gestiona desde un proveedor de acceso a la red central se pueden especificar y hacer cumplir en todas las redes participantes a través de una red de área amplia como Internet, ya que se otorga el sistema de acceso implementado por cada proveedor de acceso de red central al registro o sistema. Cada proveedor de acceso a la red central se utiliza como un punto central para autenticar el acceso, porque están adaptados para controlar las funciones físicas y virtuales de la red y su uso, a pesar de que los proveedores de acceso a la red central no pueden controlar toda una red de área amplia como Internet, pueden controlar el uso de sus sistemas. También pueden controlar a sus usuarios y los términos en los que un usuario puede tener acceso a la red, los sistemas y los registros o partes de ellos. A través de esto, el acceso de un usuario a toda la red de área amplia se puede controlar desde el CNAP del usuario. A medida que más y más CNAP cumplen con diferentes sistemas, redes y condiciones del registro, la integración y aplicación de diferentes sistemas se extiende a un número cada vez mayor de usuarios y un área geográfica en aumento.

Por tanto, el método de la invención establece ventajosamente un estándar en una red dentro de una red más amplia, en la que se puede forzar la autenticación y se puede instalar una notificación de violación de clave segura para la debida responsabilidad e integridad en todas las comunicaciones. La arquitectura de red fundamental y las capacidades de un proveedor de acceso a la red central, la tecnología de acceso a los registros y sistemas y las características del registro de la presente invención, dan como resultado una arquitectura de red que permite la facilidad de escalabilidad e implementación, mayor flexibilidad e interoperabilidad entre diferentes sistemas y registros. El registro y el CNAP verifican la integridad en secuencia y la integridad de todos los atributos de identidad registrados (criptológicamente, físicamente, digitalmente u otros atributos, etc.). Esto hará que sea imposible cambiar el estado del registro y la identificación sin que sea evidente para los nodos con acceso al registro. Esta comunicación relacionada con la distribución del registro y la alerta de una violación de identidad puede usar sistemas dedicados y/o redes de conmutación de circuitos que están encriptadas y tienen una entrega de mensajes garantizada.

En una realización del método, la etapa de asignar secuencialmente la dirección de comunicación de red comprende, además, preferiblemente, hacer coincidir al menos un parámetro único de la estructura de datos o dispositivo/hardware y/o al menos un parámetro único del usuario del dispositivo de procesamiento de datos con uno o parámetros de acceso más predeterminados. El o cada parámetro de acceso predeterminado se puede seleccionar ventajosamente del grupo que comprende coordenadas del sistema de posicionamiento global (GPS), coordenadas geográficas de puntos de interfaz de red, direcciones IP o números de sistema autónomo emitidos por registros regionales de Internet (RIR), claves de sesión o tokens de autorización emitidos. por proveedores de servicios de aplicaciones (ASP).

Preferiblemente, la realidad subyacente de, por ejemplo, una dirección MAC, una dirección IP y otros identificadores tecnológicos estáticos o semiestáticos se deriva, sintetiza, hash y/o adjunta criptográficamente a un identificador virtual, de modo que un cambio potencial en el protocolo de red física, la dirección del zócalo, el número de puerto u otra estructura de datos correspondiente a dicha información relevante serán visibles en el registro. Por consiguiente, en una realización del método, la etapa de codificación comprende preferiblemente además aplicar hash a la dirección de comunicación de red codificada, el parámetro único de nodo y el parámetro único de usuario de nodo, y en el que el registro de identificación de integridad es una estructura de datos de cadena de bloques. En una realización alternativa del método, la etapa de codificación puede comprender en su lugar, o también, la etapa adicional de procesar la dirección de comunicación de red asignada en una firma digital o una clave digital. En una realización alternativa del método, el hash se adjunta criptográficamente a la dirección de comunicación física subyacente y/u otros atributos de identidad y un cambio en la realidad subyacente destruirá el hash y será alertado en el registro.

Preferiblemente, un proveedor de acceso a la red central debe estar certificado para su operación, y por lo tanto la concesión o prevención de acceso a la red o sus sistemas, si cumple con las condiciones tecnológicas y administrativas específicas para el uso de los sistemas conectados a la red, aplicables tanto al proveedor de acceso a la red central y a los nodos de la red. Los diferentes sistemas pueden requerir diferentes condiciones para que se acepte un proveedor de acceso a la red central. Dichas condiciones pueden relacionarse con una o más funciones distintas de una o todas las capacidades de un proveedor de acceso a la red central, disponibles para controlar su red y el uso de la misma por sus nodos. Algunos sistemas pueden requerir que un proveedor de acceso a la red central despliegue todos sus recursos para controlar, mejorar o detener la funcionalidad y las actividades en la red.

En consecuencia, una realización del método puede comprender la etapa adicional de certificar al menos un nodo conectado a la red como un segundo proveedor de acceso a la red central de acuerdo con una lista de atributos predeterminados del proveedor de acceso a la red central seleccionados entre atributos de hardware, atributos de software, atributos de comunicación y un conjunto de reglas.

Algún sistema también puede, o alternativamente, implementar o diferir la tarea de certificación a una pluralidad de proveedores de acceso a la red central ya certificados como un requisito de votación, en el que esa pluralidad debe votar para aprobar, y por lo tanto certificar, un nuevo proveedor de acceso a la red central. La aplicación de la integridad nodal y la aplicación del sistema a través de una red y sus subdivisiones aumenta de manera ventajosa, a medida que aumenta el número de proveedores de acceso a la red central certificados que cumplen con las condiciones acumulativas de los diversos sistemas de red.

En consecuencia, en una realización del método que incluye la etapa adicional de certificar, en la red que comprende una pluralidad de proveedores de acceso a la red central, la etapa de certificar un nodo conectado a la red como un proveedor de acceso a la red central adicional preferiblemente comprende además una etapa de votación para certificar el nodo en cada uno de la pluralidad de proveedores de acceso a la red central. En una realización, el sistema de votación entre el nodo o CNAP comprende dónde el nuevo CNAP debe ser aprobado por varios o todos los CNAP existentes.

Una realización del método que incluye la etapa adicional de certificación puede comprender la etapa adicional de geolocalizar cada proveedor de acceso a la red central.

Una realización del método que incluye la etapa adicional de certificar puede comprender la etapa adicional de descertificar un proveedor de acceso a la red central cuando no mantiene uno o más atributos de la lista de atributos predeterminados del proveedor de acceso a la red central de los sistemas, redes y registros que el CNAP debe cumplir. En una realización, esta etapa adicional puede comprender cancelar el acceso para el CNAP y sus nodos/usuarios mediante un proceso tecnológico automático relacionado con el programa informático que constituye el registro o sistema y que funciona en todos los CNAP que está certificado para el sistema o registro.

Según otro aspecto de la presente invención, también se proporciona un sistema que comprende al menos una pila de protocolos que comprende una pluralidad de capas; al menos un proveedor de acceso a la red central interconectado operativamente con cada capa de la pila de protocolos y configurado para recibir información sobre sistemas, subredes y libros de contabilidad conectados a la red y para controlar el acceso en tiempo real de los nodos a la red y su actividad en la red, en el que el proveedor de acceso a la red central comprende al menos una entidad digital y/o física; uno o más nodos conectados a la red, en el que el proveedor de acceso a la red central asigna secuencialmente al o cada nodo una dirección de comunicación de red cuando solicita acceso a la red; y un registro de identificación de integridad que comprende, para cada nodo, la dirección de comunicación de red asignada codificada en el mismo con un parámetro único del nodo y un parámetro único del usuario del nodo, en el que el registro de identificación de integridad se distribuye a cada nodo conectado a la red en tiempo real; en el que el o cada proveedor de acceso a la red central y cada nodo están configurados además para procesar un registro recibido para verificar su integridad, identificar un registro del registro que causa una pérdida de integridad, transmitir una alerta que comprende el registro del registro identificado a través de la red; y en el que el o cada proveedor de acceso a la red central está configurado además para cancelar o controlar el acceso a la red o sistemas específicos u otros nodos para el nodo que ha perdido su integridad, por ejemplo, teniendo la dirección de comunicación de red correspondiente al registro de registro identificado. En una realización, el al menos un proveedor de acceso a la red central interconectado con cada capa de la pila de protocolos está configurado para controlar el acceso en tiempo real de los nodos a la red y controlar las posibles actividades de los nodos en la red. En una realización, si hay disonancia con la identidad de los nodos subyacentes, se envía una alerta en el registro. Un cambio de identidad puede ser detectado por un CNAP o directamente en el registro.

En una realización del sistema, el o cada proveedor de acceso a la red central puede configurarse además para verificar la precisión de uno o más parámetros únicos de cada usuario de nodo, en el que un número máximo de direcciones de comunicación de red asignables por el o cada núcleo proveedor de acceso a la red en la red es igual a un número de identidades verificadas allí.

En otra realización del sistema, el o cada proveedor de acceso a la red central puede configurarse además para procesar cada dirección de comunicación de red asignada a un nodo en una firma digital o una clave digital.

En cualquiera de las realizaciones del método y sistema descritos en el presente documento, el o cada parámetro único de un nodo se selecciona preferiblemente del grupo que comprende una dirección de control de acceso a medios (MAC), un código de identidad de equipo móvil internacional (IMEI), un equipo móvil código de identificación (MEID), un número de serie electrónico (ESN), una cadena hexadecimal de Android_ID u otro tipo de identificador que permita al hardware comunicarse en una red.

En cualquiera de las realizaciones del método y sistema descritos en el presente documento, el o cada parámetro único de un usuario de nodo se selecciona preferiblemente del grupo que comprende coordenadas del sistema de posicionamiento global (GPS), datos biométricos, un número de identificación personal (PIN), una contraseña, un número de serie de pasaporte, un identificador único universal (UUID) o cualquier otro tipo de identificador que pueda identificar a un usuario.

Según otro aspecto de la presente invención, también se proporciona una estructura de datos que comprende al menos una dirección de comunicación de red, al menos un parámetro único de un nodo de red y al menos un parámetro único del usuario del nodo de red, para su uso con la metodología divulgada en el presente documento, y en la arquitectura de red divulgada en el presente documento (a) el CNAP, (b) su base de datos/servidor de comunicación, registro y procesamiento (300), (c) todas las capacidades del CNAP, (d) sistemas externos, redes, bases de datos, registros y otros sistemas y nodos conectados, (e) el registro de identidad del usuario. Esto proporciona el marco para diseñar sistemas, redes y registros que se pueden registrar e implementar en el CNAp para que todos estos componentes y sistemas adjuntos operen de acuerdo con el diseño del sistema. La base de datos de recepción y procesamiento en el CNAP (300) está configurada para comunicación externa, puede registrar, almacenar, actualizar y ejecutar programas de ordenador que interactúan con todas las capacidades mencionadas anteriormente y sistemas externos y registros. Las bases de datos (300) tienen un sistema operativo que permite que los programas/sistemas de datos utilicen todas las capacidades internas y externas. El sistema operativo comprende una configuración de comunicación, un sistema de registro, implementación y actualización de un programa/sistema, una unidad de procesamiento de información y una interfaz con todas las capacidades y sistemas para ejecutar (por ejemplo, condiciones de acceso y bloqueo) un programa/sistema registrado. El CNAP 300 proporciona un centro de inteligencia que puede implementar y actualizar fácilmente sistemas que implican funciones a través de redes, sistemas y registros y a través de diferentes capas de medios tecnológicos. El diseño del sistema/programa (requisitos y condiciones) se implementa a través de un programa de datos en el CNAP (300) para operar las capacidades del CNAP para proporcionar el soporte para el sistema que es requerido y diseñado por el propietario del sistema, (por ejemplo, gobiernos, empresas, organizaciones, personas, consorcios, etc.). Para asegurar el desempeño unificado y el cumplimiento de los programas en todas las redes relacionadas con los sistemas, redes y registros diseñados para ejecutarse en el sistema operativo del CNAP 300, el sistema operativo y/o los programas que se ejecutan en él se pueden hacer total o parcialmente de código abierto para que todos los cambios se distribuyan a todos los nodos certificados. El módulo CNAP 300 también se puede hacer total o parcialmente transparente para que los otros CNAP certificados puedan controlar el funcionamiento real en tiempo real y la comunicación de los diferentes sistemas. El programa también puede diseñarse para funcionar solo de la manera prevista o para autodestruirse si se manipula. Un tercero, un grupo de nodos u otro sistema independiente también puede administrar el programa para los CNAP. Un CNAP certificado y sus usuarios deben estar en constante cumplimiento con el programa/sistema para tener acceso. El programa puede diseñarse de modo que el sistema prediseñado se aplique automáticamente de modo que ni el CNAP ni los usuarios puedan violar las condiciones del sistema sin perder automáticamente el acceso. El CNAP registra y hace cumplir los sistemas/programas a través de sus capacidades e interfaz con unidades externas para cumplir con los diferentes programas/sistemas y diferentes usuarios. El sistema de registro de identificador puede funcionar de modo que el CNAP no pueda asignar direcciones para la comunicación sin registrar al usuario en el registro. El proceso y todos los atributos relacionados con el registro y su información subyacente se pueden hacer transparentes para todos los nodos certificados. Cualquier incumplimiento se distribuye en el registro a medida que ocurre. Los nodos con acceso a la información sobre el registro se pueden regular en el Sistema/programa (por ejemplo, solo CNAP certificados, grupos de nodos y bases de datos, todos los nodos conectados, incluidos todos los usuarios). El CNAP es el guardián, intermedio a múltiples redes, sistemas y registros con diferentes condiciones de acceso y operación que proporcionan la inteligencia para la función y comunicación de los sistemas, redes y registros. El diseño potencial de los programas/sistemas que se pueden implementar en el CNAP 300 aumenta a medida que aumenta el CNAP, sus capacidades y sistemas conectados. Estos sistemas interactúan a través del registro de identidad y el sistema operativo CNAP 300. CNAP asegura la integridad en la autenticación y el acceso entre sistemas, redes y usuarios en ambos lados. Esto permite un aumento de las oportunidades de diseño de redes y sistemas que pueden utilizar las capacidades del CNAP. Las redes, los sistemas y los registros dentro de la red (WAN) se pueden diseñar para diferentes usuarios. Las redes, los sistemas y los registros pueden interoperar a través del CNAP, el registro de identificación y los sistemas conectados externamente. Por lo tanto, el registro de identificación y el CNAP proporcionan una plataforma para la interoperación entre sistemas, registros, aplicaciones y subredes conectadas a la red. Por tanto, la presente invención proporciona una interfaz para recibir y almacenar programas y sistemas, con requisitos y parámetros para su uso y acceso en la red y sus sistemas, subredes y libros de contabilidad conectados. De acuerdo con un aspecto de la presente invención, por lo tanto, se proporciona un método implementado por ordenador para proporcionar a cada nodo de una red acceso a la red (y sistema o sistemas basados en la red que se ejecutan o están conectados a la red), que comprende las etapas de controlar el acceso en tiempo real a la red a través de capas de su pila de protocolos con al menos un proveedor de acceso a la red central; asignar secuencialmente una dirección de comunicación de red al o cada nodo de solicitud de acceso en el proveedor de acceso a la red central; codificar la dirección de comunicación de red asignada en el proveedor de acceso a la red central con un parámetro único del nodo y un parámetro único del usuario del nodo, en un registro de identificador secuencial; distribuir el registro de identificador secuencial en tiempo real a cada nodo conectado a la red; recibir el registro de identificador distribuidos y procesarlo en cada nodo conectado a la red para verificar su integridad secuencial; al determinar una pérdida de integridad secuencial, identificar el registro del registro que causa la pérdida y transmitir una alerta que comprende el registro del registro identificado a cada nodo conectado a la red; y al identificar un registro del registro que causa una pérdida de integridad secuencial o al recibir una alerta en el proveedor de acceso a la red central, cancelar el acceso a la red para el nodo que tiene la dirección de comunicación de red correspondiente al registro del registro identificado o el nodo que ha tomado el IP. Según otro aspecto de la presente invención, también se proporciona una arquitectura de red que comprende al menos una pila de protocolos; al menos un proveedor de acceso a la red central interconectado con cada capa de la pila de protocolos y configurado para controlar el acceso en tiempo real de los nodos a la red; uno o más nodos conectados a la red, en el que el proveedor de acceso a la red central asigna secuencialmente al o cada nodo una dirección de comunicación de red cuando solicita acceso a la red; y un registro de identificador secuenciales que comprende, para cada nodo, la dirección de comunicación de red asignada codificada en el mismo con un parámetro único del nodo y un parámetro único del usuario del nodo, en el que el registro de identificador secuenciales se distribuye a cada nodo conectado a la red en tiempo real; en el que el o cada proveedor de acceso a la red central y cada nodo están configurados además para procesar un registro recibido para verificar su integridad secuencial, identificar un registro del registro que causa una pérdida de integridad secuencial, emitir una alerta que comprende el registro del registro identificado a través de la red; y en el que el o cada proveedor de acceso a la red central está configurado además para cancelar el acceso a la red para el nodo que tiene la dirección de comunicación de red correspondiente al registro de registro identificado.

Otros aspectos de la presente invención son los indicados en las reivindicaciones adjuntas.

Breve descripción de los dibujos

La invención se entenderá más claramente a partir de la siguiente descripción de una realización de la misma, dada únicamente a modo de ejemplo, con referencia a los dibujos adjuntos, en los que:

La figura 1 es una representación lógica de una arquitectura de red según una realización de la invención, que incluye una pluralidad de nodos conectados a un proveedor de acceso a la red central.

La figura 2 es una representación lógica de la red de la figura 1, desplegada dentro de una red de área amplia.

La figura 3 representa una descripción general de las capacidades ejemplares del proveedor de acceso a la red central, llevada a cabo a través de una pila de protocolos de la red de las figuras 1 y 2 con respecto a cada nodo de solicitud de acceso.

La figura 4 muestra un ejemplo de registro de identificación de integridad de acuerdo con la invención, mantenido por el proveedor de acceso a la red central y los nodos conectados a la red en la red de las figuras 1 a 3.

La figura 5 ilustra el escalado de la arquitectura de red y el registro de identificación de integridad de la misma a través de una pluralidad de proveedores de acceso a la red central y su interfaz con otros sistemas, redes, registros y aplicaciones.

La figura 6 es un diagrama lógico de una realización de la metodología que implementa la arquitectura de red de la invención, realizada en un proveedor de acceso a la red central.

La figura 7 es un diagrama lógico de una realización de la metodología que implementa la arquitectura de red de la invención, realizada en cada nodo de la red.

La figura 8 es un diagrama lógico de dos realizaciones alternativas de la metodología que implementa la arquitectura de red de la invención, llevada a cabo en una pluralidad de proveedores de acceso a la red central en la red.

La figura 9 ilustra una primera metodología de geolocalización para cada uno de una pluralidad de proveedores de acceso a la red central.

La figura 10 ilustra una segunda metodología de geolocalización para cada uno de una pluralidad de proveedores de acceso a la red central.

Descripción detallada de los dibujos

En la siguiente descripción, con fines explicativos, se exponen detalles específicos con el fin de proporcionar una comprensión de la invención. El lector experto entenderá fácilmente que los principios inventivos descritos en el presente documento se pueden poner en práctica sin incorporar estos detalles específicos, y que las realizaciones de la presente invención se pueden implementar de diversas formas como un proceso, un aparato, un sistema, un dispositivo o un método en un medio legible por ordenador tangible.

Los componentes y/o módulos mostrados en los diagramas son ilustrativos de realizaciones ejemplares de la invención y se muestran y describen para facilitar la comprensión de los principios inventivos descritos en el presente documento. El lector experto comprenderá fácilmente que dichos componentes y/o módulos pueden implementarse como componentes separados o integrarse en mayor o menor medida, incluso dentro de un único sistema o componente; dichos componentes y/o módulos pueden implementarse en software, hardware o una combinación de los mismos; y que las funciones u operaciones descritas en el presente documento pueden implementarse como componentes.

Las referencias en la especificación a conexiones entre componentes, módulos, sistemas o dispositivos dentro de las figuras no están destinadas a limitarse a conexiones directas, pero pueden extenderse a conexiones indirectas a través de uno o más dispositivos intermediarios, conexiones inalámbricas y adicionales o menos conexiones pueden ser usadas. Las referencias en la especificación a mensajes, bloques y datos se refieren a un grupo de bits capaces de comunicarse a través de una red. Estos términos no deben interpretarse como realizaciones limitantes de la presente invención a ninguna configuración particular, y pueden usarse indistintamente o reemplazarse con términos tales como tráfico de datos, información y cualquier otra terminología que se refiera a un grupo de bits. Las referencias en la especificación a una realización significan que una característica, estructura, característica o función particular descrita en relación con esa realización puede aparecer en más de una realización.

Las referencias en la especificación a "usuarios" pueden entenderse como personas, organizaciones, empresas, grupos, hogares, sistemas, registros, aplicaciones, bases de datos, servidores, dispositivos en red y otras cosas o grupos identificables con medios para comunicarse a través de una red de comunicación. Las referencias en la especificación a una "cadena de bloques" pueden entenderse como un registro de un número definido de activos digitales, firmas digitales, identidades y transferencias entre identidades que se registra y se agrupa en una cadena ininterrumpida de bloques que se publica para todos los participantes. identidades, en las que además se evita el doble gasto mediante una verificación de la secuencia de transacciones por parte del poder de procesamiento informático mayoritario en la red que verifica la cadena de transacciones más larga. Las referencias en la especificación a un "registro distribuido" pueden entenderse como un registro de usuarios y activos digitales publicados en todos los nodos participantes. Las referencias en la especificación a un "espacio de aire" pueden entenderse como una barrera física, virtual, matemática o criptográfica o definida por el sistema que no puede superarse mediante la conexión a una red de datos electrónicos.

Las referencias en la especificación a un "Proveedor de acceso a la red central" ('CNAP' en el presente documento) pueden entenderse como al menos una entidad digital y/o física que proporciona acceso a la red para nuevos nodos y sus usuarios, y controla el mantenimiento de esa acceso para nodos conectados a través de capacidades aptas para afectar la funcionalidad de una red para un nodo conectado. Las referencias en la especificación a las "capacidades" de un CNAP se extienden al menos al acceso, la contabilidad, la facturación, la autenticación, la gestión, el control de la infraestructura física y los cables, la capa de enlace, la capa de IP, el almacenamiento y la ejecución de rutas de comunicación preestablecidas mediante cables físicos, el enrutamiento de IP esquemas, control de la capa de enlace, vigilancia, inspección profunda de paquetes, bloqueo de sistemas de nombres de dominio, herramientas analíticas de flujos de datos y comportamiento, descifrado y cualquier otra funcionalidad capaz de afectar las capacidades y la funcionalidad de una red o partes de una red.

Con referencia ahora a las figuras e inicialmente a las figuras 1 y 2, se muestra una representación lógica de una arquitectura de red según una realización de la invención, que incluye una pluralidad de nodos conectados a un proveedor de acceso a la red central (CNAP) 101.

La figura 1 ilustra funcionalmente la función de mantenimiento de puerta de red del CNAP 101 para una variedad de nodos que requieren acceso ilustrados de diversas formas como un ordenador de tableta 110, un ordenador de escritorio 112, un teléfono inteligente 114, una red 116, un primer servidor 1181 y un primer base de datos 1202 almacenado en otro terminal 118ⁿ en el lado izquierdo, para otorgar acceso a diferentes sistemas remotos y registros, ilustrados de diversas formas como una aplicación conectada 140, un segundo servidor 1181, una segunda base de datos 1202 almacenado en un segundo servidor 1182 e incluyendo un registro de identificación 150, en el lado izquierdo.

La figura 2 muestra la misma red que la figura 1, desplegada como porciones de una red de área amplia más amplia, en el ejemplo Internet 105, y respectivamente conectada a la misma a través de una variedad de protocolos de red, en el que la conectividad de red y los protocolos de red interoperables de cada terminal permiten la terminales para conectarse entre sí y para comunicar datos y recibir datos entre sí de acuerdo con la metodología aquí descrita.

Dentro de la WAN 105, la arquitectura de red puede comprender cualquier número de subredes 132 interconectadas operativamente con el CNAP 101. En la arquitectura de red, el CNAP 101 está adaptado para autenticar cada nodo de solicitud de acceso 110, 112, 114, 118ⁿ conectarse a la red central, y cada uno de los CNAP 101 y cada nodo autenticado 110, 112, 114, 118ⁿ el acceso concedido está adaptado para monitorear el estado de autenticación continua de cada nodo conectado.

Un tipo de terminal de procesamiento de datos 110 en la arquitectura de red puede ser un terminal de ordenador personal móvil operado por un usuario, y en el ejemplo es un ordenador de tableta 110. El ordenador de tableta 110 emite y recibe datos codificados como una señal digital a través de una transmisión inalámbrica de datos 133 conforme al estándar IEEE 802.11 ('Wi-Fi™'), en el que la señal se transmite respectivamente hacia o desde el ordenador de tableta mediante un dispositivo enrutador local 131 que conecta el ordenador de tableta 110 con la red de comunicación WAN 105. El ordenador de tableta 110 comprende además una interfaz de red de identificación por radiofrecuencia de alta frecuencia (RFID) que implementa la interoperabilidad de comunicación de campo cercano (NFC) y los protocolos de comunicación de datos para facilitar la comunicación inalámbrica de datos a corta distancia con dispositivos equipados correspondientemente tales como el teléfono móvil 110 y/o un dispositivo habilitado para NFC del usuario, por ejemplo, una tarjeta de pago electrónico. El ordenador de tableta, el ordenador de tableta 110 puede ser, por ejemplo, un iPad™ fabricado por Apple, Inc. de Cuppertino, California, EE.UU. o un Surface™ fabricado por Microsoft, Inc. de Redmond, Washington, EE.UU.

Otro tipo de terminal de procesamiento de datos 114 en la arquitectura de red puede ser un dispositivo de comunicación personal móvil, operado por el mismo usuario del dispositivo de comunicación personal móvil 110 o alternativamente por otro, operado por un usuario. El terminal 114 emite y recibe datos, incluyendo voz y/o datos alfanuméricos, codificados como una señal digital a través de una transmisión de datos inalámbrica 137, en el que la señal es retransmitida respectivamente hacia o desde el dispositivo 114 por el relé de enlace de comunicación más cercano geográficamente 138 de una pluralidad de los mismos. La pluralidad de relés de enlace de comunicación 138ⁿ permite que las señales digitales se encaminen entre dispositivos móviles como el terminal de usuario 114 y su destinatario previsto por medio de una puerta de enlace remota 139. La pasarela 139 es, por ejemplo, un conmutador de red de comunicaciones, que acopla el tráfico de señales digitales entre redes de telecomunicaciones inalámbricas, como la red dentro de la cual tienen lugar las transmisiones de datos inalámbricas 137, y la WAN 105. La pasarela 139 proporciona además conversión de protocolo si se requiere, por ejemplo, si el terminal 114 usa un Protocolo de aplicación inalámbrica ('WAP') o un Protocolo de transferencia de hipertexto seguro ('HTTPS') para comunicar datos.

Otros tipos de terminales de procesamiento de datos en la arquitectura de red pueden ser dispositivos 112 de comunicación personal de escritorio y servidores 118ⁿ operado por los respectivos usuarios con fines personales o administrativos. Todos estos terminales emiten y reciben datos, incluyendo voz y/o datos alfanuméricos, codificados como señales digitales sobre transmisiones de datos cableadas (132) o inalámbricas (137), en las que las señales se transmiten respectivamente hacia o desde cada terminal por un dispositivo de enrutador local 131 interconectando el ordenador 112, 118ⁿ a la red de comunicación WAN 105.

Otros tipos de terminales de procesamiento de datos en la arquitectura de la red pueden ser dispositivos específicos para un propósito que se pueden conectar a la red comúnmente denominados 'cosas', que incluyen electrodomésticos e interfaces de automatización del hogar en contextos domésticos, cámaras de vigilancia e interfaces de control de acceso a la ubicación, interfaces de automatización industrial y más. Dependiendo tanto de su propósito como de la configuración y compatibilidad del protocolo de red, dicho dispositivo puede conectarse a la red a través de una conexión alámbrica o inalámbrica a la red de área amplia 105 o a una red de área local 116ⁿ interconectado con la red 105 de área amplia, en cualquier caso, a través del CNAP 101.

La red central es mantenida por el CNAP 101 que, en el ejemplo, está incorporado en una terminal de ordenador como un servidor 118ⁿ. El CNAP emite y recibe datos codificados como una señal digital a través de una transmisión de datos por cable 130, en el que dicha señal es transmitida respectivamente hacia o desde el servidor por un dispositivo de enrutador local 131 que implementa una red local cableada que opera de acuerdo con el protocolo de transmisión IEEE 802.3-2008 Gigabit Ethernet. El enrutador 131 está conectado a la WAN 105 a través de una conexión de fibra óptica convencional a través de una red 132 de telecomunicaciones cableada.

La figura 3 representa una descripción general de las capacidades ejemplares de un proveedor de acceso a la red central 101, un receptor y un almacenador de programas informáticos para diseñar redes y sistemas en la red o conectados a ella a través de una pila de protocolos 301 de la red de las figuras 1 y 2 en respeto de cada nodo de solicitud de acceso 110ⁿ, 114ⁿ, 116ⁿ, 118ⁿ, 140ⁿ. Un aspecto fundamental de la presente invención que es una parte intrínseca de la arquitectura de la red es un protocolo de identificación y un registro distribuido 150 así como un CNAP que es capaz de monitorear y controlar la red. Por lo tanto, CNAP puede verse como un sistema y un guardián de acceso al registro. La presente invención también se ocupa del diseño de sistemas que utilizan sus capacidades para afectar la red y el uso de la misma y, por tanto, permitir el diseño de sistemas y registros gestionados por el CNAP. Esto se establece fusionando un registro distribuido específico 150 descrito en el presente documento con el protocolo de red 301 de un sistema de red de área amplia basado en direcciones de comunicación/direcciones de socket como, por ejemplo, dentro del contexto TCP/IP, y utilizando el CNAP 101 que proporciona hardware y software. el acceso a la red de comunicación como nodo de referencia que otorga y asegura el acceso a los registros y los sistemas en la misma de acuerdo con un diseño preestablecido de los diferentes sistemas.

Un CNAP 300 está configurado para comunicación externa para recibir e interactuar con programas de datos y registros. Está configurado para el registro y la implementación de programas y sistemas operativos que interactúan con al menos el sistema de acceso y una o más de las capacidades de la función de red. En consecuencia, un CNAP 101 debe interactuar de manera operativa con cada capa de la pila de protocolos de red 301: la capa de infraestructura física de 'hardware' base 302, la capa de enlace 303 interconectando el contenido de señalización digital con la capa base 302, la capa de protocolo de Internet 'IP' 304 que gobierna el formato de los datos señalizados a través de la red (Internet), la capa de transmisión (Protocolo de control de transmisión, TCP) 305 que proporciona servicios de comunicación de host a host para las aplicaciones 140, y la capa de aplicación 306 que proporciona servicios de comunicación de comunicaciones de proceso a proceso para aplicaciones 140. Este diseño de capa y pila de protocolos de red se describe a modo de ejemplo y la invención puede utilizar otros diseños de red.

Por consiguiente, un CNAP 101 también debe comprender uno o más de los siguientes atributos y sus respectivas funcionalidades que incorporan capacidades de gestión de red: un módulo de gestión de acceso 311 para procesar y conceder o denegar solicitudes de acceso a la red de nodos remotos, y controlar su acceso después de la concesión; un módulo de gestión de IP 312 para controlar un conjunto de direcciones de red y sondeadas por el módulo de manejo de acceso 311 para asignar una dirección de red a cualquier nodo autenticado que solicite acceso; un módulo de autenticación 313 para controlar el registro de parámetros únicos nodales y de usuario U^param y son consultados por el módulo de manejo de acceso 311 para verificar las credenciales de cualquier nodo de solicitud de acceso; un módulo de sistema de nombres de dominio 314 asociado con un módulo de rastreo y búsqueda 319 para localizar e identificar nodos en la red central en base a sus direcciones de red asignadas y controlado por el módulo de manejo de acceso 311 para controlar y, según sea el caso, bloquear comunicaciones nodales; un módulo de contabilidad opcional 315 para gestionar suscripciones y procesar pagos electrónicos por usuarios registrados; un módulo de monitoreo de tráfico 316 asociado con un módulo de inspección profunda de paquetes 317 para detectar contenidos de comunicación de red y, en particular, identificar malware, virus, spam o cualquier otra actividad de red nefasta; un módulo 318 de diseño y gestión de red para supervisar y actualizar o modificar de otro modo los atributos del proveedor de acceso a la red central que califica, que comprende un conjunto predeterminado de atributos de hardware, atributos de software, atributos de comunicación y uno o más conjuntos de reglas orientados a las condiciones de servicio (CoS) que incorporan colectivamente las condiciones para obtener acceso a la red central y los sistemas registrados en el CNAP 300, como un libro de ID o una red o base de datos de acceso específicamente diseñada; y un módulo de control y análisis de red opcional 320 para monitorear y actualizar o modificar de otro modo los atributos de la red central, que comprende un conjunto predeterminado de atributos de hardware, atributos de software, atributos de comunicación y uno o más conjuntos de reglas orientados a la Calidad de Servicio (QoS) que definen colectivamente la ancho de banda óptimo y uso del mismo dentro de la red central.

Cada acceso y uso de sistemas dentro de la red central debe cumplir con criterios preestablecidos en todo momento: el CNAP 101 puede usar todas sus herramientas 311-320 posibles para etiquetar, rastrear, bloquear y hacer cualquier otra cosa con un terminal de usuario, comunicación de red, conectado base de datos u otra actividad de la red. La red central y/o el registro de identificador 150 (o de hecho cualquier otro sistema al que el CNAP esté certificado para dar acceso) pueden diseñarse con las condiciones de acceso adecuadas para cualquier tipo de organizaciones y usuarios que un diseñador de sistemas considere adecuado. Por ejemplo, un tercero puede operar junto con el CNAP 101 y otorgar acceso a un usuario a través del CNAP 101, por ejemplo, un banco que otorga acceso a un registro de pagos para un cliente.

Un CNAP 101 puede evitar que un usuario acceda a la red abierta exigiendo autenticación y/o cumplimiento de ciertas políticas de red, registro o sistema prediseñados y condiciones implementadas por los módulos CNAP 311-320 según las condiciones del sistema distribuido o registro, condiciones el sistema de red o registro específico que tiene la forma de un programa de datos o sistema operativo comunicado e instalado en el CNAP (300). Por ejemplo, un regulador o gobierno puede querer evitar que los usuarios accedan a registros de cadena de bloques financieros no regulados y anónimos (moneda criptográfica basada en cadenas de bloques), que pueden usarse para financiar terrorismo, drogas, tráfico u otras actividades ilegales, en las que el diseño de la red y el módulo de gestión 318 especifica dichos registros de cadena de bloques financieros no regulados y anónimos en un conjunto de reglas de bloqueo relevante ejecutado por cualquiera, o una combinación de las capacidades de alteración de la red (como por ejemplo, hardware de red de conmutación de circuitos, módulo de monitoreo de tráfico junto con DPI, bloqueo del sistemas, fuentes, enlaces y comunicación, solo se permite la comunicación en lista blanca (definida positivamente), y el módulo de monitoreo de tráfico 316 junto con el módulo de inspección profunda de paquetes 317 inspecciona la actividad nodal para detectar paquetes de datos correspondientes a los registros de la cadena de bloques bloqueados.

La figura 4 muestra un ejemplo de registro de identificación de integridad de acuerdo con la invención, mantenido por los módulos 311-320 del proveedor de acceso a la red central en colaboración con los nodos conectados a la red 110n, 114n, 116n, 118n, 140n en la red de las figuras 1 a 3.

El registro de identificación de integridad 150 es un registro distribuido utilizado por cada nodo conectado a la red 110n, 114n, 116n, 118n, 140n en la red, como una única identidad digital que se puede utilizar en todos los entornos de procesamiento de datos accesibles a través de la red central, en el que se requiere la identificación del usuario del nodo, ejemplos de los cuales incluyen, por ejemplo, derechos de acceso a la base de datos, procedimientos de pago electrónico, procedimientos de votación electrónica, firma electrónica de contratos y protección de nodos.

En el ejemplo específico de la figura 4, un nodo de aplicación conectado a la red 140 es, por ejemplo, una solicitud de visa de viaje de una oficina gubernamental, que requiere la identificación del usuario de cualquier dispositivo de usuario conectado 110n, 114n, 116n, 118n que solicita una visa electrónicamente. Se puede demostrar que la identificación examina detenidamente la aplicación de la autenticidad de los usuarios a través del registro de identificación de integridad 150. La integridad de los componentes, la secuencia y el proceso de los asientos contables únicos 401n debe verificarse para establecerse, y cada uno debe codificarse como una clave pública basada en la dirección IP física subyacente en el CNAP 101 derivando una firma digital o número criptográfico para cada dirección de red central u otro identificador asignado a un nodo.

De acuerdo con la metodología aquí descrita, la codificación de parámetros únicos Uparam de cada nodo de red 110n, 114n, 116n, 118n, 140N como un registro o entrada del registro correspondiente al nodo 401n en el registro de identificador 150 por el CNAP 101, secuencialmente a los respectivos del nodo inmediatamente anterior 110n-1, 114n- ¹ , 116n-1, 118n-1, 140n-1 que se le otorgue acceso a la red central incorporada como el registro de registro único del nodo anterior o la entrada 401n-1, es inherente al procedimiento de concesión de acceso a la red central llevado a cabo por el CNAP 101. La realidad subyacente de, por ejemplo, una MAC, una dirección IP y/u otro identificador tecnológico de un nodo se deriva criptográficamente, se sintetiza, se aplica un hash y/o se adjunta a un identificador, de modo que un posible cambio en el protocolo de red física, la dirección del socket, el número de puerto , u otra información subyacente de un nodo será visible en el registro de identificador 150. En una realización alternativa, las capacidades de CNAP pueden detectar cualquier cambio en el entorno físico subyacente que no cumpla con el registro y alertar al registro y sus CNAP conectados, y tomar las medidas adecuadas en sus propios sistemas. Este proceso y las acciones se pueden realizar automáticamente a medida que se detecta la infracción.

No es necesario cambiar una identidad y su dirección de comunicación, por lo que hay un número limitado de transacciones para registrar en el registro de identificador 150, y una señalización correspondientemente limitada en la red asociada con la distribución del registro de identificador 150. Los cambios ocurren cuando se registran nuevas identidades con nuevas direcciones de comunicación, cuando una dirección de comunicación cambia de identidad, cuando un usuario rompe las características físicas subyacentes que resultan en una identidad rota (por ejemplo, cuando se desconecta o es pirateado por otra entidad), cuando un nodo cruza un límite de red resultando en un cambio del CNAP que proporciona acceso y la dirección de red, o si un usuario cambia su CNAP y recibe una nueva IP, o si las direcciones se cambian (por ejemplo, proxy) para disfrazar la identidad y/o ubicación de individuos u organizaciones o cuando una identidad es pirateada y la IP es tomada por un usuario no autorizado.

Para realizaciones del registro de identificador 150 basadas en la tecnología de cadena de bloques, también ilustrado en la figura 4 con el adjunto de un hash 402n de los parámetros únicos codificados Uparam de cada nodo, también hay una sobrecarga de procesamiento limitada asociada con la auditoría de la cadena de bloques de prueba de trabajo, debido al número finito de direcciones de red central asignables por el CNAP 101 que, en su nivel más alto, es igual al número exacto de identidades en el registro 150 (un ID puede tener varias direcciones IP). Además, dado que es el cambio real en el ID o IP lo que es relevante para los CNAP u otros nodos adjuntos al registro, la prueba de trabajo no es tan crucial para la función de violación de clave inmediata, porque el propósito es detectar "cualquier gasto", en lugar de simplemente "doble gasto".

Como una dirección de red asignada y los datos de identificación se hacen compatibles con el sistema en el momento de la inscripción en el registro de identificador 150 por parte del CNAP 101, la integridad del registro es irreversible a medida que se distribuye: los datos derivados de los factores físicos subyacentes se procesan mediante hash en la cadena y, por lo tanto, no se puede romper sin que sea evidente para todos los nodos adjuntos al registro. Todos los nodos y unidades de procesamiento en la red central pueden procesar la prueba de trabajo independientemente de los demás y no necesitan consenso, debido a cualquier cambio o variación en el identificador de usuario codificado o en el factor físico codificado del nodo (por ejemplo, MAC, IMEI), invariablemente destruye la clave de registro del registro, por ejemplo, si la dirección de comunicación cambia, si el valor físico subyacente de la dirección de comunicación, la dirección de la máquina u otro identificador se vuelve inexacto, en relación con los hash con la información bloqueada por el CNAP 101 en el distribuido registro 150. Aquellos con acceso al registro pueden ser CNAP certificados únicamente, o también todos los nodos conectados, o bases de datos de acceso conectadas y otros sistemas que deben ser notificados sobre una posible violación de claves de inmediato. Cabe señalar que no es necesario depender de la cadena más larga de prueba de trabajo. En primer lugar, los CNAP u otros nodos conectados deben poder recibir información sobre cualquier violación y reaccionar automáticamente de acuerdo con las acciones preestablecidas que se tomarán ante una violación de clave (por ejemplo, denegar el acceso a un usuario en una base de datos de acceso, terminar la conexión de red para el ID e IP en una red, etc.).

Estos aspectos de la presente invención contribuyen a mejorar la escalabilidad de la arquitectura de la red central y proporcionan un equilibrio óptimo entre privacidad y responsabilidad.

En los registros de la cadena de bloques, las transacciones se sellan con la hora y se clasifican en un bloque que se verifica para contener información precisa. El requisito de prueba de trabajo no se puede cambiar, a menos que se cambie en todos los bloques siguientes con sello de tiempo después y en todos los nodos conectados que tengan una copia de la cadena de bloques. Para evitar el doble gasto y adaptarse a la necesidad de terceros confiables, la secuencia de transacciones está probada por el mejor poder de procesamiento informático reunido en la red, capaz de producir la cadena más larga, que se toma como prueba de trabajo cuando un usuario regresa a la red. Si los actores hostiles controlan la mayor parte del poder de procesamiento de una red y pueden cambiar la prueba de trabajo y ponerse al día y superar el poder de procesamiento legítimo de la red, la cadena, su secuencia y los valores registrados pueden volverse incorrectos.

Con el registro de identificación 150 de la invención, los nodos de red conectados pueden presenciar permanentemente todas las actividades de registro de acceso y registro y, por lo tanto, no regresan a la cadena ni tienen ninguna necesidad de hacerlo. De hecho, una realización considera la alternativa de que no haya ningún bloque, sino solo una secuencia de eventos que se marca de forma continua con el tiempo y se registra en el registro. Además, el doble gasto y la secuencia exacta de transacciones de dirección de comunicación entre usuarios tampoco son críticos, porque el primer cambio en un registro 401 es de mayor interés para los nodos conectados. En este sentido debe entenderse que todos los cambios pueden ser relevantes para tener control sobre usuarios e identidades, pero la parte crucial para proteger una base de datos o red es reaccionar de inmediato al primer cambio.

Por lo tanto, este enfoque implementa una identidad única y una trazabilidad y responsabilidad recurrentes para cada nodo conectado a la red a través de la red central, en el que cualquier cambio en ese registro de registro único o entrada 401ⁿ a lo largo del tiempo durante la sesión de red del nodo, contravienen inmediatamente la integridad del registro según lo actualizado por el CNAP, son inmediatamente detectables por la propia verificación de integridad del nodo del registro 150, y dan como resultado automáticamente que el CNAP 101 finalice la sesión de red y/o bloquee el tráfico para el nodo asociado con la entrada 401 del registro modificada, o de hecho otras actividades como la vigilancia de la dirección IP o la identidad en la red por un CNAP relevante, u otra actividad del nodo conectado (por ejemplo, como una base de datos de acceso termina el acceso para un usuario) .

La figura 5 ilustra cómo la arquitectura de red y el registro de identificación de integridad 150 de la misma escalan a través de una pluralidad de proveedores de acceso a la red central 1011-6, en el que las aplicaciones 1401-ⁿ, libros de contabilidad distribuidos 5001-ⁿ, sistemas distribuidos 1181-ⁿ, subredes 11161-ⁿ todos pueden usar el registro de identificador 150 y una red de CNAP 1011-6 conectados como mediador para la interoperación de múltiples sistemas y nodos.

En la realización mostrada en la figura 5, una pluralidad de CNAP 1011-6 funciona como un guardián unificado para controlar el acceso de los usuarios y cosas 110-112-114, sistemas 116-118, bases de datos 120, aplicaciones 140 y otros libros de contabilidad conectados 500 como nodos, a otros usuarios similares y cosas 110-112-114, sistemas 116-118, bases de datos 120, aplicaciones 140 y otros libros de contabilidad conectados 500.

Cada CNAP controla individualmente el acceso a la red central para sus usuarios registrados y sus respectivos nodos, y registra sus respectivas concesiones de acceso a la red en el registro de identificador 150. Derechos de acceso adjuntos a un usuario por un CNAP 1011 puede seguir al usuario a través de áreas discretas y nodos de la red central, al ser transparente para otros CNAP ^2-6 a través de la codificación en el registro de identificador común 150, pero el acceso a la red central para cualquier nodo también puede ser detenido por cualquier CNAP 1011-6.

Algunos libros de contabilidad 500, sistemas 118, aplicaciones 140 y áreas de red discretas 116 pueden volverse inaccesibles por cada uno o todos los CNAP 1011-6 a través de los respectivos conjuntos de reglas registrados, implementados y verificados en el CNAP 300 y procesados por sus respectivos módulos 301-320, mientras mantienen su tarea común de forzar la identificación y registrar la misma en el registro de identificación de integridad 150 para otorgar y mantener derechos de acceso a la red o derechos a otros sistemas que están registrados e implementados en el CNAP 300.

La figura 6 es un diagrama lógico de una realización de la metodología que implementa la arquitectura de red de la invención, realizada en un proveedor de acceso a la red central.

En la etapa 601, el CNAP 101 considera si una solicitud de acceso a la red está pendiente desde un nodo remoto, por ejemplo 110, que codifica una variedad de datos de nodo que incluyen al menos un parámetro U^param representativo de un identificador de dispositivo único, por ejemplo, una dirección MAC o un código IMEI. En caso afirmativo, en la etapa 602 el CNAP 101 procesa la solicitud de acceso a la red para decodificar y luego comparar el parámetro único U^param contra parámetros únicos almacenados U^param de nodos registrados en la CNPA 101.

En la etapa 603, el CNAP 101 considera si la comparación ha arrojado una coincidencia. En el caso negativo, en la etapa 604 el CNAP 101 procesa la solicitud de acceso a la red como una primera solicitud de un nodo no registrado y procede a registrar el nodo solicitante para almacenar tanto su parámetro único U^param y un parámetro de usuario único U^param asociarse con ellos. La etapa 604 implica preferiblemente un procedimiento de registro que requiere que el usuario del nodo solicitante 110 presente una prueba de identificación que, o una parte, referencia o aspecto del cual, puede registrarse como el parámetro de usuario único U^param.

Posteriormente, o alternativamente cuando se ha devuelto una coincidencia en la etapa 603 que identifica el nodo solicitante 110 como un nodo registrado, la CNPA 101 asigna la siguiente dirección de red disponible en un grupo finito de direcciones de red central asignables al nodo solicitante 110 en la etapa 605. En la etapa 606, el CNAP 101 codifica la dirección de comunicación asignada respectivamente al nodo 110 y sus respectivos parámetros de autenticación, incluido su parámetro único registrado U^param y parámetro de usuario único registrado U^param en el registro de identificador 150 como la siguiente entrada secuencial en el mismo. A continuación, el CNAP 101 transmite automáticamente al registrarse el registro de identificador 150 que contiene la entrada actualizada a todos los nodos 110ⁿ, 114ⁿ, 116ⁿ, 118ⁿ, 140N conectado a la red central, incluido cualquier otro CNAP 101ⁿ también conectado al mismo. A continuación, el control vuelve a la cuestión de la etapa 601 para procesar una siguiente solicitud de acceso de un siguiente nodo 110ⁿ, 114ⁿ, 116ⁿ, 118ⁿ. Cabe señalar que el registro se puede distribuir a todos los usuarios, pero no es necesario. Solo se puede distribuir a los CNAP certificados. También se puede distribuir a otros sistemas y bases de datos conectados que necesitan conocer la integridad en tiempo real de una identificación. Es importante que los diferentes libros y sistemas puedan diseñar el acceso autorizado a sus sistemas. Pueden establecer condiciones para los usuarios y también establecer condiciones para quién tendrá acceso a la información del registro (el CNAP puede, por ejemplo, tener la oportunidad de otorgar acceso autorizado a sus usuarios en ciertas condiciones establecidas por el sistema a través del programa de datos implementado en el CNAP 300 y el sistema también puede tener acceso autorizado a la información del registro).

En paralelo con la funcionalidad de control de acceso a la red y la autenticación de nodo inherente a la misma, descrita con referencia a las etapas 601 a 607, como un nodo en sí de la red central, el CNAP 101 también verifica la integridad del registro de identificador 150 para identificar registros de registro no válidos correspondientes a nodos con parámetros de autenticación caducados desde la codificación de la etapa 606 y, como nodo de mantenimiento de puerta de la red central, para hacer cumplir la integridad cancelando el acceso a la red para cualquier nodo así identificado.

Por consiguiente, un segundo subproceso de procesamiento del CNAP 101 se ejecuta simultáneamente con la funcionalidad de control de acceso a la red de las etapas 601 a 607, en el que se hace una pregunta en la etapa 608 sobre si se ha recibido una alerta de un nodo remoto que comprende un registro de registro no válido. Si la respuesta es negativa, entonces en la etapa 609 el CNAP 101 procesa el registro de identificador para verificar su integridad, por ejemplo, procesando el registro codificado con un algoritmo de prueba de trabajo conocido. Ventajosamente, debido al número finito de direcciones de red central asignables, la sobrecarga de procesamiento asociada con la etapa 609 sigue siendo relativamente modesta, en relación con los registros de integridad, ya sean del tipo de cadena de bloques u otros, cuyo número de entradas no está restringido o limitado, y se sabe que crecen significativamente en números no triviales, por ejemplo, en el campo específico de las transacciones de divisas. A continuación, se hace una pregunta en la etapa 610, acerca de si la etapa de verificación ha dado como resultado un registro de registro no válido. Si la respuesta es negativa, el control vuelve a la pregunta 608, en la que el hilo de verificación continúa verificando la integridad del registro de identificador 150 ininterrumpidamente, siempre que no se haya recibido una alerta remota. Debe entenderse que cualquier cambio es alertado de inmediato y el CNAP tiene acciones preestablecidas y automáticas a la información en función de a qué usuario le concierne y para qué sistema es relevante este usuario (estas acciones y procedimientos se registran e implementan en el CNAP 300).

Si se recibe una alerta remota y responde positivamente a la pregunta de la etapa 608 o, alternativamente, si el CNAP 101 identifica un registro no válido localmente en la etapa 609 y responde positivamente a la pregunta de la etapa 610, entonces en la etapa 611 el CNAP 101 identifica el nodo 110ⁿ, 114ⁿ, 116ⁿ, 118ⁿ, 140ⁿ correspondiente al registro del registro no válido y lo compara con la dirección de red central que asignó por última vez a ese nodo. Si la alerta se recibe debido a una infracción de clave y un cambio en el registro (que puede desencadenarse por el cambio físico del estado subyacente), el CNAP puede programarse para tomar medidas relevantes inmediatas relacionadas con las identificaciones y direcciones involucradas con el cambio en el registro. El CNAP 101 puede, por ejemplo, extraer y decodificar la dirección de la red central codificada, hacer coincidir la dirección de la red central decodificada con el parámetro único registrado del nodo U^param y parámetro de usuario único U^param y compare los parámetros de autenticación registrados con los codificados en el registro del registro considerados no válidos, para validar su carácter no válido. En la etapa 612, el CNAP 101 desasigna la dirección de red central del nodo 110, disociando la dirección de red central asignada previamente del parámetro único U^param registrado de ese nodo y parámetro de usuario único U^param, en el que la conectividad de ese nodo a la red central se corta automáticamente y en el que la dirección desasignada vuelve al grupo de direcciones de red asignables disponibles para un siguiente nodo solicitante en la etapa 601. Posteriormente, el control vuelve a la cuestión de la etapa 608.

La figura 7 es un diagrama lógico de una realización de la metodología que implementa la arquitectura de red de la invención, llevada a cabo en cada nodo 110ⁿ, 114ⁿ, 116ⁿ, 118ⁿ en la red. Cada nodo requiere inicialmente encendido y, convencionalmente en la etapa 701, configurarse con un sistema operativo que comprende instrucciones para gobernar el procesamiento básico de datos, interdependencia e interoperabilidad de sus componentes de hardware, incluidas subrutinas de comunicación de datos para configurar el nodo para comunicación de red bilateral a través de uno o interfaces más relevantes finalmente conectadas con un enrutador 131 ⁿ o estación base 138ⁿ. En la etapa 702, el nodo solicita acceso a la red central o acceso a un sistema en el CNAP 101 e incluye al menos su parámetro único de nodo U^param en la solicitud. Con respecto a las etapas 601 a 607 descritos en el presente documento, el nodo obtiene acceso a la red central después de que el CNAP 101 le asigne una dirección de red central, y recibe una copia del registro de identificador 150 del CNAP, en la etapa 703.

Mientras el nodo permanezca conectado a la red central, una próxima rutina actualiza tanto el nodo como otros nodos remotos que se conectan a la red central a lo largo del tiempo y ayuda al CNPA 101 con la tarea de mantener la integridad del registro de identificador 150 de manera colaborativa, procesando el registro de identificador para verificar su integridad, por ejemplo, procesando el registro codificado con el mismo algoritmo conocido de prueba de trabajo que el CNAP 101.

En consecuencia, se hace una pregunta en la etapa 704, acerca de si el nodo ha recibido una versión siguiente del registro de identificador 150, en relación con la versión recibida previamente en la etapa 703. Si la pregunta se responde negativamente, se hace una pregunta siguiente en la etapa 705, acerca de si se ha recibido una alerta de un nodo remoto que comprende un registro de registro no válido. Cuando la pregunta de la etapa 705 se responde negativamente o, como alternativa, cuando la pregunta de la etapa anterior 704 se responde positivamente y se ha recibido una próxima versión del registro de identificador 150, el nodo procesa el registro de identificador para verificar su integridad secuencial en la etapa 706, por ejemplo, procesando el registro codificado con el mismo algoritmo de prueba de trabajo que el CNAP en la etapa 609. A continuación, se hace una pregunta en la etapa 707, acerca de si la etapa de verificación ha dado como resultado un registro de registro no válido. Si la respuesta es negativa, el control vuelve a la pregunta 704 para comprobar si hay un registro de identificador 150 actualizado, en el que el hilo de verificación continúa verificando la integridad del registro de identificador 150 de forma ininterrumpida, siempre que no se haya recibido una alerta remota y se reciben versiones secuenciales del registro de identificador 150.

Cuando se responde positivamente a la pregunta de la etapa 707 o, como alternativa, cuando se responde positivamente a la pregunta de la etapa 705 anterior y se ha recibido una alerta, el nodo identifica el registro del registro no coincidente del registro de identificador en la etapa 708 que, habiendo con respecto a la integridad del carácter, la secuencia y el proceso de codificación de los parámetros nodales en el registro, en una realización puede consistir en seleccionar el registro que tenga una dirección de red asignada que no coincida (o una clave digital representativa de la misma) en relación con su iteración anterior o en comparación con el estado real en la red central monitoreado y detectado constantemente por un CNAP en la iteración anterior del registro. En la etapa 709, el nodo transmite una alerta que comprende el registro del registro no coincidente como un registro del registro no válido a todos los nodos conectados a la red central, incluyendo así el CNAP 101 que lo procesará de acuerdo con las etapas 608 a 612.

Posteriormente se hace una pregunta en la etapa 710, acerca de si el usuario del nodo ha introducido una orden de interrupción para dejar de operar el nodo, ya sea en un modo conectado a la red central o por completo. Cuando se responde negativamente a la pregunta de la etapa 707, el control vuelve automáticamente a la pregunta de la etapa 704, comprobando la siguiente versión del registro de identificador 150 para verificar. Alternativamente, la pregunta de la etapa 707 se responde positivamente y el usuario puede eventualmente apagar el dispositivo informático que incorpora el nodo.

Con este método llevado a cabo en cada nodo conectado, ventajosamente los nodos de la red central pueden confiar en su propia prueba de trabajo y, con el fin de detectar una violación de identidad, cada nodo puede confiar en su propia evaluación del historial, la secuencia y los identificadores del registro de identificador 150 y no necesita depender de lo que es verificado por un nodo remoto con la mejor potencia de procesamiento de ordenador, ni si otros nodos coinciden en un cambio en el registro o no, sino simplemente remitir la verificación al CNAP 101, teniendo cumplió con su tarea descentralizada de detección de cambios nodales.

La figura 8 es un diagrama lógico de dos realizaciones alternativas de la metodología que implementa la arquitectura de red de la invención descrita con referencia a la figura 6, llevada a cabo en una pluralidad de proveedores de acceso a la red central en la red, en el que los mismos números de referencia se relacionan con las mismas etapas de procesamiento de datos. Ambas realizaciones constituyen subprocesos de procesamiento adicionales que se ejecutan simultáneamente con la funcionalidad de control de acceso a la red y la autenticación de nodo inherente a la misma, descrita con referencia a las etapas 601 a 607, y la identificación y desasignación de la dirección de red central de los registros contables no válidos, descritos con referencia a las etapas 608 al 612.

En una primera realización alternativa, se hace una pregunta en la etapa 801 después de cada transmisión de una próxima versión del registro de identificador 150 de la etapa 607, sobre si el CNAP 101 ha recibido una solicitud de certificación de un nodo remoto 110n, 114n, 116n, 118n en la red. Si la pregunta de la etapa 801 se responde negativamente, el control vuelve a la pregunta de solicitud de acceso al nodo de la etapa 601. Alternativamente, cuando la pregunta de la etapa 801 se responde positivamente, un nodo remoto elige ser certificado como CNAP 101 n ⁺¹ y es un candidato CNAP que solicita un voto certificador por parte del CNAP 101 que recibe la solicitud y vota.

En la etapa 802, el CNAP 101 de votación busca los parámetros de la red central que califican, en las características de ejemplo 301cn de la pila de protocolos de red central con la que se espera que el CNAP candidato interactúe completamente.

En la etapa 803, el CNAP 101 de votación busca los atributos del proveedor de acceso a la red central calificados attri, en el ejemplo, un conjunto predeterminado de atributos de hardware, atributos de software, atributos de comunicación y uno o más conjuntos de reglas como se describe con referencia a los módulos funcionales 311cn - 320cn del CNAP 101, y que se espera que el CNAP candidato implemente y replique por completo para llevar a cabo la función de guardián de un CNAP en la red. El procedimiento de verificación para asegurar el cumplimiento de un CNAP con las condiciones y la funcionalidad del sistema/registro establecido por el programa de datos que está instalado en el CNAP 300 puede ser de código abierto, a fin de garantizar la transparencia en el cumplimiento. También se pueden realizar pruebas en tiempo real de los procedimientos automatizados para proporcionar a los usuarios acceso y respuestas a violaciones de identidad.

En la etapa 804, el CNAP 101 de votación obtiene los atributos nodales attr ² del CNAP candidato, en el ejemplo, los atributos de hardware específicos, los atributos de software, los atributos de comunicación y uno o más conjuntos de reglas 3112 - 3202 del CNAP candidato y, en la siguiente etapa 805, los compara con los parámetros de red central enumerados 301cn y los atributos CNAP enumerados attn tanto por compatibilidad como por identidad funcional. En otra realización, el proceso de verificación se basa en el rendimiento y se lleva a cabo mediante una prueba del nuevo CNAP y el funcionamiento adecuado de sus sistemas.

El CNAP 101 de votación formula su voto en la etapa 806 en función de la salida de la etapa 805 de comparación, en el que no se emite ningún voto (por medio de un voto negativo) cuando uno o más de los atributos attr ² del CNAP candidato no coinciden con los parámetros de la red central de calificación 301cn y el atributo de proveedor de acceso a la red central calificado ¹ y, a la inversa, se emite un voto positivo cuando los atributos attr ² del CNAP candidato coinciden completamente con los parámetros de la red central de calificación 301cn y los atributos del proveedor de acceso a la red central calificado attn. Las realizaciones alternativas pueden considerar emitir un voto positivo en la etapa 805 emitiendo solo una coincidencia parcial, por ejemplo, basándose en la coincidencia solo de atributos priorizados o ponderados en relación con atributos opcionales o de menor ponderación.

Tras un voto positivo, el CNAP votante certifica consecuentemente al candidato CNAP 101 como CNAP 101 n ⁺¹ en la etapa 807, en el que el CNAP 101 n ⁺¹ certificado entonces puede llevar a cabo la función de control de acceso como se describe en el presente documento, en particular con referencia a la figura 6 en el presente documento, en paralelo y en conjunto con el CNAP de votación, compartiendo efectivamente la sobrecarga de procesamiento de control de acceso a la red. En la alternativa de no voto, el candidato CNAP 101 permanece sin certificar.

En una segunda realización alternativa, mostrada en la figura con líneas de puntos a modo de contraste con las etapas 801 a 807 de la primera realización alternativa, el requisito de voto en la red central de la invención se distribuye entre una pluralidad de CNAP 101 ¹ -n, en el que un candidato CNAP 101 n ⁺¹ recibirá una mayoría de votos o un voto unánime de todos los CNAP 101 ¹ -n votantes, y cada CNAP 101 votante deberá llevar a cabo una certificación del candidato CNAP 101 n ⁺¹ sustancialmente como se describe con referencia a las etapas 801 a 807 anteriores.

Esta segunda realización alternativa puede combinarse de manera útil con la primera realización alternativa descrita anteriormente, cuando un primer CNAP 101 certifique un segundo CNAP 101 como se describe con referencia a las etapas 801 a 807, en el que la red central comprende así al menos dos CNAP 1011,2 votantes apto para emitir un voto unánime o un voto dividido sobre un próximo candidato tercer CNAP 1013.

En esta segunda realización alternativa, cuando se responde positivamente a la pregunta de la etapa 801 y se ha recibido una solicitud de certificación CNAP desde un nodo remoto 110n, 114n, 116n, 118n en la red, también se hace una pregunta 902 sobre si un requisito de votación es recibir votos de certificación independientes de los CNAP pares. Si la pregunta de la etapa 902 se responde negativamente, el control vuelve a la secuencia de las etapas 802 a 807.

Como alternativa, cuando la pregunta de la etapa 902 se responde positivamente, el control se divide entre la secuencia de las etapas 802 a 807, que procede de forma independiente para procesar el propio voto del CNAP con respecto al nodo solicitante, y una lógica de recopilación de votos remota que, en la etapa 903, comienza buscando el umbral de votación aplicable de acuerdo con el conjunto de reglas de la red central, por ejemplo, un número mínimo predeterminado de votos, o la mitad del número de CNAP 101 certificados en la red más uno en el caso de una mayoría de votos, o el número total de CNAP 101 certificados en la red en el caso de un voto unánime. En la etapa 904, el CNAP votante sondea la red central para la decisión de voto respectiva de cada CNAP par remoto para obtener un recuento de votos actual.

Cuando la decisión de voto independiente del CNAP 101 de votación se emite en la etapa 806, entonces en la etapa 905 el recuento de votos actual de la etapa 904 se incrementa por el propio voto del CNAP, si ese voto es un voto de certificación, o se reduce mediante la decisión alternativa del CNAP de emitir un voto negativo. A continuación, se hace una pregunta en la etapa 906, acerca de si el recuento de votos incrementado o decrementado de la etapa 905 cumple o excede el umbral de la red central obtenido en la etapa 903. Si la pregunta de la etapa 906 se responde positivamente, el control pasa a la etapa 807 y el CNAP votante certifica consecuentemente el CNAP 101 candidato como un CNAP 101 n ⁺¹ , en el que el certificado CNAP 101 n ⁺¹ puede entonces llevar a cabo las funciones de control de acceso y de certificación de CNPA como se describe en el presente documento, en paralelo y en conjunto con todos los demás CNAP de votación, compartiendo de manera efectiva aún más la sobrecarga de procesamiento de control de acceso a la red. Como alternativa, cuando la pregunta de la etapa 906 se responde negativamente, el CNAP 101 votante transmite su decisión de voto a sus CNAp pares a través de la red, cada uno de los cuales puede recibirla cuando procesa su propio recuento de votos en su propia instanciación de la etapa 904.

En atención a las etapas de procesamiento de datos descritos en el presente documento, un CNAP 101 está certificado para operar y dar acceso o impedir el acceso a una red y sistemas conectados a la misma, si cumple con las condiciones tecnológicas y administrativas de uso de la red, aplicables tanto al CNAP como sus usuarios. Diferentes sistemas pueden requerir diferentes condiciones para la certificación de un CNAP, que pueden estar relacionadas con la funcionalidad y las capacidades de uno o todos los CNAP para controlar el acceso a la red y el uso de los sistemas conectados a la misma, y pueden requerir el despliegue de todos los atributos de CNAP para mejorar, controlar y detener opciones, funcionalidad y actividades en la red. Un sistema que debe cumplir un CNAP puede ser un sistema de código abierto, un irreversible integrado en un registro distribuido o supervisado por una plataforma de terceros o por otro CNAP para garantizar la integridad y transparencia en el proceso de implementación. También se puede diseñar un programa de código para notificar a los otros CNAP certificados si algún código o condición es alterado, agregado, eliminado o reorganizado. El sistema puede diseñarse para verificar y comprobar y detectar cambios para otros nodos o el propio sistema para alertar sobre cambios en el sistema antes de la certificación final.

El cumplimiento tecnológico del procedimiento de certificación imposibilita ventajosamente que un solo nodo o CNAP altere la arquitectura y el funcionamiento de la red. Todos los CNAP 101 que están certificados y cumplen con los atributos y políticas de la red central pueden obtener información del registro de identificador y los sistemas conectados a la red de acuerdo con la especificación de la arquitectura de la red, y dar acceso a los nodos de los usuarios. La aplicación entre redes aumenta ventajosamente para un sistema específico a medida que más y más CNAP se certifican y cumplen con las condiciones de ese sistema, escalando correspondientemente a través de la red central.

Un CNAP 101 certificado puede perder su certificación y, en consecuencia, su capacidad para proporcionar acceso a uno o más nodos, sistemas y registros si no sigue cumpliendo con los atributos y conjuntos de reglas de la red central, o si sus nodos de usuario no cumplen con el conjuntos de reglas de uso de la red. Esta descertificación puede automatizarse, de forma predeterminada, si, por ejemplo, los atributos 311 - 320 del CNAP no deben rastrear las actualizaciones de los atributos y conjuntos de reglas de la red central y el propio CNAP pierde conectividad con la red central como resultado; o si, por ejemplo, la información del nodo en el registro de identificador también está asociada con un identificador CNAP y, cuando una dirección de red asignada o un usuario Uparam de un nodo se asocia con malware, un virus informático, spam o cualquier otra actividad de red nefasta, el CNAP se asocia con el mismo a través de su identificador.

Las figuras 9 y 10 ilustran realizaciones respectivas de una arquitectura de red central según la invención, en cada caso controlada por una pluralidad de CNAP 101 ¹ -n, en el que cada CNAP está geolocalizado, por diseño a través de sus atributos de coordenadas geográficas y los conjuntos de reglas de la red central, respectivamente en un Estado miembro de la Unión Europea en la realización de la figura 9 y en un continente geográfico en la realización de la figura 10.

En cualquier realización, controlar el acceso de un nodo solicitante a la red central en el CNAP comprende la ubicación geográfica del nodo en el CNAP para determinar una distancia desde el nodo con respecto al límite de la red central. Este procedimiento puede implementarse a través de una variedad de técnicas, como mediante el registro de un nodo adicional o el parámetro de ubicación geográfica exclusivo del usuario Uparam(x, y); o una ubicación geográfica en tiempo real de las coordenadas geográficas del nodo, por ejemplo con el módulo de seguimiento y búsqueda 319; o una estimación en tiempo real de las coordenadas geográficas del nodo derivadas de la dirección IP del nodo solicitante o de la dirección de red central asignada previamente a un nodo; o cualquier combinación de estas técnicas. Los datos de geolocalización de nodos relevantes también pueden registrarse en base a información administrativa, como un número de sistema autónomo para una red, un registro en un Registro Regional de Internet u otra organización de recurso de números, o partes de la licencia de un emisor local de una licencia de telecomunicaciones, y más. El objetivo del procedimiento es determinar la presencia del nodo dentro o fuera del alcance geográfico del CNAP que procesa la solicitud de acceso de ese nodo, para otorgar o rechazar la solicitud de acceso.

En consecuencia, la presente invención proporciona métodos y sistemas para administrar el acceso a una red central a través de una red de área amplia, al calificar a sus usuarios conectados para obtener acceso a, o ser bloqueados desde, diferentes libros y sistemas que se ejecutan en un núcleo o están conectados a una infraestructura de red. Al menos uno de los registros comprende un sistema gestionado por proveedores de acceso a la red central, que obtienen la certificación como guardianes del registro cumpliendo con las especificaciones tecnológicas y obteniendo un número predeterminado de votos de los proveedores de acceso a la red central actuales para aprobar su certificación. A medida que estén certificados, los proveedores de acceso a la red central pueden otorgar a sus usuarios acceso al libro de identidad, si dichos usuarios cumplen con las especificaciones de usuario del sistema. Por lo tanto, la invención utiliza infraestructura, protocolos de red de información, registros distribuidos y sistemas informáticos conectados para proporcionar una arquitectura que permite un diseño de red eficiente para la protección de la identidad, la información, los derechos y las políticas, incluido un mecanismo de protección contra la manipulación y otros usos ilegales de los sistemas conectados, en un entorno que de otro modo no estaría controlado.

El registro fusiona atributos tecnológicos identificables, como MAC, IMEI, dirección IP y/u otra dirección de comunicación de un protocolo de red, con un registro distribuido de recursos de direcciones de sus usuarios, como claves públicas derivadas de los atributos tecnológicos identificables (MAC, IMEI, etc.) permitiendo que cualquier cambio en el estado sea inmediatamente transparente en la identidad detrás de una dirección de comunicación para todos los nodos con acceso al registro. Otras redes, sistemas, aplicaciones, registros pueden interactuar con el método de calificación de la red central y el registro de identificador, y los usuarios interoperan con ellos basándose en una identidad digital, en la que el o cada CNAP 101 y el identificador incorporan un mediador para todos los sistemas y registros: la arquitectura se centra en el uso de uno o más CNAP que controla la infraestructura y el acceso a la misma (a través de rutas de espacio de aire, bloque de capa de enlace) como el punto de precalificación y entrada para diferentes sistemas distribuidos y registros, y que registra cada entrada. (dispositivos 110-118, bases de datos 120, sistemas 116-118) en el registro de identificador 150 utilizando partes de la tecnología de cadena de bloques combinada con el sistema de dirección de comunicación para implementar un registro y publicación a prueba de manipulaciones de los nodos conectados a todos los nodos, mediante el cual cualquier cambio en un identificador de nodo es inmediatamente evidente y se notifica a todos los nodos conectados. Este registro de identificador 150 y el sistema CNAP 101 se pueden utilizar como base para otros sistemas y pueden proporcionar interoperabilidad entre otros registros y sistemas.

Con referencia a la realización descrita con referencia a la figura 10, un ejemplo de tal registro y plataforma puede ser un sistema global adaptado para emitir derechos de visualización y copias basadas en un trabajo original de acuerdo con un algoritmo establecido por un propietario de derechos usando un registro distribuido, por ejemplo, del tipo de cadena de bloques, en el que los derechos se aplican a través de una especificación de conjunto de reglas CNAP y en el que se evita la visualización o copia ilegal dando acceso solo a los usuarios permitidos que sea válido en el registro del registro de identificador. Una especificación del sistema de derechos instalada con CNAP que utiliza las capacidades de CNAP puede prevenir el uso ilegal y hacer cumplir los derechos en las redes para sus usuarios. Por lo tanto, las realizaciones de la presente invención pueden usarse para diseñar, hacer cumplir y controlar todo tipo de políticas administrativas y comerciales, en las que un CNAP 101 mantiene el acceso y el cumplimiento de políticas y otros sistemas en red de implementación regulatoria.

Por ejemplo, se puede acceder directamente a un registro de transacciones en moneda nacional a través del sistema de acceso CNAP. Dicha moneda puede emitirse con unidades de cantidad o volumen que se registren en el registro de divisas, de acuerdo con la política de, por ejemplo, un banco central local y la cantidad puede registrarse de forma transparente en un registro distribuido. Una moneda puede usar un programa de datos que ejecuta la política de emisión de moneda en base a un algoritmo y/o entrada de fuentes externas, y puede implementarse o interactuar con el CNAP. Diferentes aplicaciones y registros nacionales, extranjeros o globales, por ejemplo, múltiples registros distribuidos que controlan diferentes monedas pueden interoperar a través del registro de identificador 150 que proporciona una identificación segura en todos los registros/moneda y donde el valor de múltiples sistemas y registros adjuntos puede estar asociado, y adjunto irrevocablemente a diferentes identidades registradas en el registro de identificador 150. Las transacciones ilegales y/o divisas pueden evitarse mediante la especificación del sistema regulatorio que utiliza las capacidades de CNAP para hacer cumplir las políticas y evitar transacciones entre usuarios. Si un usuario tiene un registro de identificación no válido o no está autorizado e identificado, las transacciones hacia y desde dichos usuarios pueden bloquearse. El CNAP puede evitar la señalización, la comunicación, los enlaces y el uso de aplicaciones y sistemas relacionados con las monedas ilegales. Los operadores de pago, los bancos y otras organizaciones financieras pueden obtener acceso al registro de identidad 150, para recibir una notificación si se viola la identidad de un usuario.

Del mismo modo, con referencia al ejemplo de realización de la figura 9, los pasaportes digitales pueden gestionarse tanto a nivel nacional como regional a través de CNAP ¹ -N cocertificados y cooperantes para mantener la privacidad y la responsabilidad del usuario, mediante la concesión y el bloqueo del acceso a diferentes sistemas y registros basados en condiciones de acceso especificadas, y en el que un registro no válido que surja en el registro de identificador 150 provoca una notificación de violación de identidad. Las fronteras geográficas también pueden especificarse técnicamente, y negarse su cruce, a través del sistema de acceso CNAP.

Tales realizaciones pueden proporcionar fronteras eficientes alrededor de los sistemas de procesamiento de datos digitales geolocalizados, como bases de datos, sistemas y fronteras cibernéticas. Los nodos 110ⁿ, 114ⁿ, 116ⁿ, 118ⁿ con acceso al registro de identificador 150 se puede conferir una interfaz automática con capacidades CNAP, que incluyen herramientas de gestión de red para mitigar las comunicaciones de un nodo que se considera que constituye una violación de identidad. En tales realizaciones, el requisito de información personal del usuario U^param puede adaptarse a la especificación del sistema, en el que se selecciona la menor cantidad de información personal suficiente para mantener la función de protección de la privacidad del sistema. Por tanto, la invención es capaz de proporcionar un sistema apto para detectar una violación de identidad sin tener que confiar en un tercero, lo que se considera especialmente relevante en el ámbito de la ciberseguridad y entre gobiernos.

La arquitectura de red de la invención evita ventajosamente la manipulación de la red central y los diversos nodos conectados a la misma dentro del contexto de una WAN abierta, por ejemplo, a través de registros ilegales, a través del procedimiento de acceso y control que abarca hardware físico, red de circuitos conmutados y todas las capacidades de la red. en el CNAP, en el que todos los usuarios deben cumplir con una especificación del sistema que está interconectada con al menos el controlador de acceso 311 y una o más de las funciones de la red central 312-320 capaces de alterar la funcionalidad y el posible uso de la red central de acuerdo con el especificación de condición de un sistema.

Las realizaciones de la presente invención pueden codificarse en uno o más medios legibles por ordenador no transitorios con instrucciones para que uno o más procesadores o unidades de procesamiento provoquen la realización de las etapas. Cabe señalar que uno o más medios legibles por ordenador no transitorios incluirán memoria volátil y no volátil. Cabe señalar que son posibles implementaciones alternativas, incluida una implementación de hardware, una implementación de software o una implementación de software/hardware. Las funciones implementadas por hardware se pueden realizar usando ASIC(s), matrices programables, circuitos de procesamiento de señales digitales o similares. Por consiguiente, los términos "medios" en cualquier reivindicación están destinados a cubrir implementaciones tanto de software como de hardware. De manera similar, el término "medio o medios legibles por ordenador", como se usa en el presente documento, incluye software y/o hardware que tiene un programa de instrucciones incorporado en el mismo, o una combinación de los mismos. Con estas alternativas de implementación en mente, debe entenderse que las figuras y la descripción adjunta proporcionan la información funcional que un experto en la técnica necesitaría para escribir código de programa (es decir, software) y/o fabricar circuitos (es decir, hardware) para realizar el procesamiento requerido.

Se observará que las realizaciones de la presente invención pueden además estar relacionadas con productos informáticos con un medio legible por ordenador tangible, no transitorio, que tienen un código informático para realizar diversas operaciones implementadas por ordenador. Los medios y el código de ordenador pueden ser aquellos especialmente diseñados y construidos para los propósitos de la presente invención, o pueden ser del tipo conocido o disponible para aquellos que tengan experiencia en las técnicas relevantes. Ejemplos de medios tangibles legibles por ordenador incluyen, pero no se limitan a: medios magnéticos como discos duros, disquetes y cinta magnética; medios ópticos como CD-ROM y dispositivos holográficos; medios magneto-ópticos; y dispositivos de hardware que están especialmente configurados para almacenar o almacenar y ejecutar código de programa, como circuitos integrados específicos de aplicación (ASIC), dispositivos lógicos programables (PLD), dispositivos de memoria flash y dispositivos ROM y RAM. Los ejemplos de código de ordenador incluyen código de máquina, como el producido por un compilador, y archivos que contienen código de nivel superior que son ejecutados por un ordenador usando un intérprete. Las realizaciones de la presente invención pueden implementarse en su totalidad o en parte como instrucciones ejecutables por máquina que pueden estar en módulos de programa que son ejecutados por un dispositivo de procesamiento. Los ejemplos de módulos de programa incluyen bibliotecas, programas, rutinas, objetos, componentes y estructuras de datos. En entornos informáticos distribuidos, los módulos de programa pueden estar ubicados físicamente en entornos locales, remotos o ambos. Todos los aspectos de la invención se pueden implementar virtualmente y en la capa de aplicación. La invención puede utilizar cualquier tipo de técnicas de comunicación y procesamiento de datos para cumplir el propósito de implementar los principios inventivos de la presente invención.

Un experto en la técnica reconocerá que ningún sistema informático o lenguaje de programación es crítico para la práctica de la presente invención. Un experto en la técnica también reconocerá que varios de los elementos descritos anteriormente pueden separarse física y/o funcionalmente en submódulos o combinarse entre sí.

En la especificación, los términos "comprende, que comprende, comprendido y comprendiendo" o cualquier variación de los mismos y los términos incluyen, incluye, incluido y que incluye" o cualquier variación de los mismos se consideran totalmente intercambiables y todos deben tener la interpretación más amplia posible y recíprocamente.

La invención no se limita a las realizaciones descritas anteriormente, sino que puede variar tanto en la construcción como en los detalles.

Claims (14)

REIVINDICACIONES

1. Un método implementado por ordenador para proporcionar a cada nodo de una red acceso a la red y/o a otros nodos y sistemas conectados a la red, en el que la red comprende al menos una pila de protocolos que comprende una pluralidad de capas, comprendiendo el método las etapas de:

controlar el acceso en tiempo real y la actividad en la red de cada capa de la pila de protocolos por al menos un proveedor de acceso a la red central, en el que el proveedor de acceso a la red central comprende al menos una entidad digital y/o física;

asignar secuencialmente una dirección de comunicación de red al o cada nodo de solicitud de acceso en el proveedor de acceso a la red central; el método caracterizado por las etapas de:

codificar la dirección de comunicación de red asignada en el proveedor de acceso a la red central con un parámetro único del nodo y un parámetro único del usuario del nodo, en un registro de identificación de integridad;

distribuir el registro del identificador de integridad en tiempo real a cada nodo conectado a la red;

recibir el registro de identificador distribuidos y procesarlo en cada nodo conectado a la red o en uno o más nodos certificados para verificar su secuencia, atributos de identidad e integridad del proceso;

al determinar una pérdida de integridad en el registro, identificar el registro del registro que causa la pérdida y transmitir una alerta que comprende el registro del registro identificado a cada nodo conectado a la red o uno o más nodos certificados; y

al identificar un registro del registro que causa una pérdida de integridad o al recibir una alerta en el proveedor de acceso a la red central, cancelar o controlar el acceso a la red, sistema o registro para el nodo que tiene los identificadores correspondientes al registro del registro identificado.

2. El método de acuerdo con la reivindicación 1, en el que la etapa de asignar secuencialmente la dirección de comunicación de red comprende además hacer coincidir al menos un parámetro único de una estructura o dispositivo de datos y/o al menos un parámetro único de un usuario de dispositivo de procesamiento de datos con uno o más parámetros de acceso predeterminados.

3. El método de acuerdo con la reivindicación 2, en el que el o cada parámetro de acceso predeterminado se selecciona del grupo que comprende coordenadas del sistema de posicionamiento global (GPS), coordenadas geográficas de puntos de interfaz de red, direcciones IP o números de sistema autónomo emitidos por registros regionales de Internet (RIR), claves de sesión o tokens de autorización emitidos por proveedores de servicios de aplicaciones (ASP).

4. El método de acuerdo con la reivindicación 1 o 2, en el que la etapa de codificación comprende además aplicar un hash a la dirección de comunicación de red codificada, el parámetro único de nodo y el parámetro único de usuario del nodo, y en el que el registro de identificación de integridad es una estructura de datos de cadena de bloques.

5. El método de acuerdo con cualquiera de las reivindicaciones 1 a 4, en el que la etapa de codificación comprende además procesar la dirección de comunicación de red asignada en una firma digital o una clave digital.

6. El método de acuerdo con cualquiera de las reivindicaciones 1 a 5, que comprende la etapa adicional de certificar al menos un nodo conectado a la red como un segundo proveedor de acceso a la red central de acuerdo con una lista de atributos predeterminados del proveedor de acceso a la red central seleccionados entre atributos de hardware, atributos de software, atributos de comunicación y un conjunto de reglas.

7. El método de acuerdo con la reivindicación 6, en el que, en la red que comprende una pluralidad de proveedores de acceso a la red central, la etapa de certificar un nodo conectado a la red como un proveedor de acceso a la red central adicional comprende además una etapa de votación para certificar el nodo en cada uno de los pluralidad de proveedores de acceso a la red central.

8. El método de acuerdo con la reivindicación 6 o 7, que comprende la etapa adicional de geolocalizar cada proveedor de acceso a la red central.

9. El método de acuerdo con cualquiera de las reivindicaciones 6 a 8, que comprende la etapa adicional de descertificar un proveedor de acceso a la red central cuando falla en mantener uno o más atributos de la lista de atributos predeterminados del proveedor de acceso a la red central.

10. Un sistema que comprende

al menos una pila de protocolos (301) que comprende una pluralidad de capas;

al menos un proveedor de acceso a la red central (101) interconectado de manera operativa con cada capa de la pila de protocolos (301) y configurado para recibir información sobre sistemas, subredes y libros de contabilidad conectados a la red y para controlar el acceso en tiempo real de los nodos a la red y sus actividad en la red, en la que el proveedor de acceso a la red central (101) comprende al menos una entidad digital y/o física;

uno o más nodos (110ⁿ; 114ⁿ; 116ⁿ; 118ⁿ; 140ⁿ) conectado a la red, en el que el proveedor de acceso a la red central (101) asigna secuencialmente al o cada nodo una dirección de comunicación de red cuando solicita acceso a la red; y en el que el sistema está caracterizado por:

un registro de identificación de integridad (150) que comprende, para cada nodo, la dirección de comunicación de red asignada codificada en el mismo con un parámetro único del nodo y un parámetro único del usuario del nodo, en el que el registro de identificación de integridad (150) se distribuye a cada red conectada nodo en tiempo real; en el que el o cada proveedor de acceso a la red central (101) y cada nodo está configurado además para procesar un registro recibido para verificar su secuencia, atributos de identidad e integridad del proceso; identificar un registro del registro que cause una pérdida de integridad;

difundir una alerta que comprenda el registro del registro identificado a través de la red y

en el que el o cada proveedor de acceso a la red central (101) está configurado además para cancelar o controlar el acceso a la red para el nodo que tiene la dirección de comunicación de red correspondiente al registro de contabilidad identificado.

11. El sistema de acuerdo con la reivindicación 10, en el que el o cada proveedor de acceso a la red central (101) está configurado además para verificar la precisión de uno o más parámetro(s) único de cada usuario de nodo, y en el que un número máximo de direcciones de comunicación de red asignables por el o cada proveedor de acceso a la red central (101) en la red es igual a un número de identidades verificadas allí.

12. El sistema de acuerdo con la reivindicación 10 u 11, en el que el o cada proveedor de acceso a la red central (101) está configurado además para procesar cada dirección de comunicación de red asignada a un nodo en una firma digital o una clave digital.

13. El sistema de acuerdo con cualquiera de las reivindicaciones 10 a 12, en el que el o cada parámetro único de un nodo se selecciona del grupo que comprende una dirección de control de acceso a medios (MAC), un código de identidad de equipo móvil internacional (IMEI), un código identificador de equipo móvil (MEID), un número de serie electrónico (ESN), una cadena hexadecimal de Android_ID.

14. El sistema de acuerdo con cualquiera de las reivindicaciones 10 a 12, en el que el o cada parámetro único de un usuario de nodo se selecciona del grupo que comprende coordenadas del sistema de posicionamiento global (GPS), datos biométricos, un número de identificación personal (PIN), una contraseña, un número de serie de pasaporte, un identificador único universal (UUID).