BRPI0902036A2 - sistema e método de autenticação para interconexão de redes sem fio heterogêneas - Google Patents
sistema e método de autenticação para interconexão de redes sem fio heterogêneas Download PDFInfo
- Publication number
- BRPI0902036A2 BRPI0902036A2 BRPI0902036-5A BRPI0902036A BRPI0902036A2 BR PI0902036 A2 BRPI0902036 A2 BR PI0902036A2 BR PI0902036 A BRPI0902036 A BR PI0902036A BR PI0902036 A2 BRPI0902036 A2 BR PI0902036A2
- Authority
- BR
- Brazil
- Prior art keywords
- authentication
- mobile terminal
- server
- network
- validator
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/16—Performing reselection for specific purposes
- H04W36/18—Performing reselection for specific purposes for allowing seamless reselection, e.g. soft reselection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
SISTEMA E MéTODO DE AUTENTICAçãO PARA INTERCONEXãO DE REDES SEM FIO HETEROGêNEAS. A presente invenção refere-se a um sistema e a um método de autenticação com redução de atraso para interconexão de redes sem fio heterogêneas (40, 50), preferencialmente VVWAN celular e WLAN, com uma troca segura de chaves entre os elementos redes, utilizando-se de segredos específicos e compartilháveis para cada um dos elementos interconectados a e pela rede. Além disso, a presente invenção define uma arquitetura de rede baseada na introdução de um elemento funcional na rede VVWAN e em cada rede WLAN passível de ser visitada pelo terminal móvel (10), a este elemento funcional é dado o nome de Servidor de Distribuição de Chaves (SDC) (20, 30). O Servidor de Distribuição de Chaves (SDC) (20, 30) intro- duzido na arquitetura da presente invenção é responsável por realizar a dis- tribuição antecipada das chaves de autenticação temporárias das redes WLAN elegíveis para receber o terminal móvel no handover seguinte.
Description
Relatório Descritivo da Patente de Invenção para "SISTEMA EMÉTODO DE AUTENTICAÇÃO PARA INTERCONEXÃO DE REDES SEMFIO HETEROGÊNEAS".
CAMPO DA INVENÇÃO
A presente invenção refere-se a um sistema e um método de au-tenticação para interconexão de redes sem fio heterogêneas, preferencial-mente as redes heterogêneas WWAN celular e WLAN. A presente invençãoproporciona uma arquitetura que compreende um procedimento de autenti-cação, de forma a permitir que a mesma seja realizada sem afetar o tempode indisponibilidade do serviço.
DESCRIÇÃO DO ESTADO DA TÉCNICA
Ao longo do tempo, diferentes tecnologias de rede sem fio têmsido desenvolvidas para cobrir as diversas necessidades de comunicação.
Esse desenvolvimento baseou-se, e ainda baseia-se, principalmente no raiode abrangência alcançado pelas redes. Assim, as redes WWAN (para a co-bertura de regiões extensas), as redes WLAN (para instalações locais) e asredes WPAN (com cobertura pessoal) têm evoluído de forma contínua e dis-tinta, com características inerentes à suas coberturas.
Além disso, a crescente oferta de serviços de voz e multimídiasobre redes de dados sem fio vem determinando a necessidade de otimiza-ção dos procedimentos de gerência de mobilidade, com a finalidade de re-duzir o tempo de indisponibilidade da conexão do terminal à rede, e conse-qüentemente, ao serviço. A premissa maior passou a ser a manutenção dapercepção da qualidade do serviço pelo usuário final, de tal forma que a suaexperiência com o serviço não seja alterada pelo fato do terminal ter realiza-do um handover vertical.
O handover vertical ocorre quando um terminal se desloca entrepontos de acesso que implementam diferentes tecnologias. Por envolverdiferentes tecnologias, o handover vertical geralmente é iniciado pelo termi-nal após a conexão com a nova rede.
Atualmente, verifica-se que o handover vertical, no sentidoWWAN para WLÀN, implica na interrupção da comunicação por um temposignificativo o suficiente para resultar em incômodo e em perda de informa-ção do sistema por parte dos usuários, principalmente para aplicações decomunicação em tempo real, tais como voz e vídeo.
Uma solução normalmente adotada para solucionar o problemade interrupção da comunicação é manter a interface aérea da rede WWANdo terminal ligada simultaneamente à interface aérea WLAN. Assim, torna-sepossível realizar a transferência da sessão ativa, e realizar o handover so-mente depois do terminal ter capacidade de encaminhar os pacotes IP pelainterface aérea WLAN. Entretanto, essa implementação possui os seguintesproblemas:
a) Elevado consumo de energia por manter os dois estágios rá-dio ligados simultaneamente, reduzindo o tempo de duração da carga dabateria do terminal móvel;
b) Complexidade e custo elevado no projeto do terminal, pois asduas interfaces aéreas necessitam ser totalmente independentes, com ca-pacidade de encaminhar pacotes de forma independente. Além disso, osprocedimentos de conexão e autenticação em uma das interfaces devemocorrer enquanto a sessão continua ativa na outra; e
c) Potencial interrupção ou perda da comunicação caso haja umrápido decaimento do sinal da rede de origem antes de completada a reali-zação do handover, visto que não há necessidade de otimização do tempode conexão e autenticação na nova rede.
Algumas soluções alternativas para autenticação em redesWLAN no cenário de handover vertical já foram propostas. Os exemplosmais significativos são listados a seguir.
Na primeira delas, Li-Der Chou, W. C. Lai, Y. C. Lin, C. M. Huange C. H. Lin Chou em sua obra "Signaling Traffic Volume Generated by Mobi-le and Personal Communications" propuseram a utilização de agentes inteli-gentes (IA - Intelligent Agents) que seriam enviados à rede para executar osprocedimentos de conexão e autenticação com antecedência. Os agentesinteligentes para usuários (UIAs - User Intelligent Agents) poderiam ser con-figurados para se autenticar em nome do usuário e os agentes inteligentesde servidor (SIA - Server Intelligent Agent) poderiam ser configurados paraautenticar localmente os usuários. Para que esta proposta seja viabilizada, achave de autenticação individual Ki armazenada no SIM e no HLR/AuC(Home Location Register/Authentication Center) deve ser compartilhada pe-Ios agentes inteligentes, gerando uma vulnerabilidade no sistema e violandoo princípio básico de segurança das redes GSM, que é a proteção da chavede autenticação individual Ki de acesso ou de leitura por qualquer aplicaçãonão definida pelo 3GPP (3rd Generation Partnership Project).
Em uma outra solução, Scott C. H. Huang, Hao Zhu e WenshengZhang, em sua obra "SAP: Seamless Authentication Protocol for VerticalHandoff in Heterogeneous Wireless Networks" desenvolveram um protocolode autenticação chamado de SAP (Seamless Authentication Protocol), Pro-tocolo de Autenticação Contínua, em que dois servidores de autenticaçãocompartilham uma chave privativa comum e secreta utilizada para gerar achave temporária de handover. A rede de acesso WLAN armazena estachave temporária e a utiliza para admitir o terminal por um curto período detempo, evitando os atrasos associados à consulta e geração de vetores pelarede WWAN. O tempo de validade da autenticação temporária deve ser osuficiente para permitir que a associação completa seja efetuada em parale-Io à sessão ativa. Esta solução possui qualidades que podem ser explora-das, como a autenticação transparente, mas também cria uma vulnerabilida-de adicional ao permitir a autenticação de vários terminais com um meca-nismo que utiliza uma única chave comum.
Deste modo, a presente invenção proporciona uma arquiteturaque soluciona os problemas ainda existentes de forma mais eficiente, alte-rando a arquitetura de autenticação na rede WLAN de maneira a reduzir otempo de indisponibilidade da comunicação durante o handover para umvalor inferior ao perceptível pelos usuários do sistema. Com esta solução,evitam-se também os problemas inerentes das outras alternativas descritas acima.
OBJETIVOS DA INVENÇÃO
O objetivo da presente invenção é, portanto, proporcionar ummétodo seguro de troca de chaves entre os elementos da arquitetura de re-des, definindo um segredo específico para cada terminal móvel e a rede deacesso WLAN assim como definir uma forma de compartilhamento seguradeste segredo.
Outro o objetivo da presente invenção é diminuir o atraso evi-denciado durante o procedimento de autenticação. Assim, a presente inven-ção visa minimizar as principais causas do atraso na realização do handoververtical, a saber: o tempo de espera para receber as chaves da rede caseirado assinante e a utilização de enlaces sobre a Internet para encaminhar asmensagens de autenticação até o servidor AAA da rede caseira, para verifi-car o resultado retornado pelo terminal.
BREVE DESCRIÇÃO DQS DESENHOS
A presente invenção, juntamente com seus objetivos, caracterís-ticas e vantagens adicionais, será mais bem entendida a partir da seguintedescrição dos desenhos que ilustram, a título exemplificativo, o melhor modode execução considerado para realizá-la, a saber:
a figura 1 ilustra um modelo esquemático de uma das arquitetu-ras de autenticação já conhecidas do estado da técnica;
a figura 2 ilustra o modelo esquemático da nova arquitetura deautenticação proposta pela presente invenção, assim como seus componentes;
a figura 3 mostra o atraso médio para transmitir um pacote comcontrole de retransmissão sobre quadros da rede WLAN;
a figura 4 representa o modelo de filas para análise do atraso nosentido terminal-rede; e
a figura 5 representa o modelo de filas para análise do atraso nosentido rede-terminal.
DESCRIÇÃO DETALHADA DA INVENÇÃO
A Figura 1 da presente invenção ilustra como é a atual arquitetu-ra de autenticação na interconexão das redes heterogêneas WWAN celulare WLAN. Basicamente, a figura 1 ilustra um modelo de autenticação entreuma rede GPRS HPLMN 40 e uma rede WLAN 50 visitada. Na figura 1, oselementos interligados através de linhas tracejadas possuem interesse so-mente em tráfego de sinalização, enquanto que os elementos interligadosatravés de linhas contínuas possuem interesse também em tráfego de da-dos, como por exemplo voz e multimídia.
A rede GPRS HPLMN 40, ou simplesmente WWAN, compreendeuma unidade de registro de assinantes HLR (Home Location Register) 1 queé uma base de dados de registro de localização, na qual assinantes sãosubscritos com o propósito de gravar informações, tais como informação desubscrição e informação de localização. Um dos protocolos de comunicaçãoque pode ser utilizado pelas interfaces com o HLR 1 é o protocolo para apli-cações móveis MAP 110, 115 (Mobile Application Part), uma extensão espe-cífica para redes móveis da sinalização SS7, usada para comunicação entreelementos da rede CN (Core Network), utilizado na comutação de pacote, epara comunicação entre diferentes redes públicas de telefonia móvel PLMNs(Public Land Mobile Network).
A unidade HLR 1 comunica-se com a unidade SGSN 3 (ServingGPRS Supporting Node), que é o elemento central no domínio de comuta-ção de pacote (Packet Switched) através de um protocolo MAP/SS7 115.
Essa unidade SGSN 3 controla o estabelecimento de sessões de dados pe-Ios terminais e contém dois tipos de informações relacionadas aos terminaissobre seu controle: de subscrição e de localização. Além disso, a unidadeSGSN 3 comunica-se com a estação de transmissão 2 através da interfaceGb 125. A estação de transmissão 2 é responsável por tratar o tráfego e asinalização entre o terminal móvel 10 e a rede, no presente caso, WWAN.
Outro elemento presente na arquitetura atual é a unidade GGSN4 (Gateway GPRS Support Node). Sua função é executar o roteamento dotráfego "entrante" e "sainte" e manter informações de subscrição e de locali-zação que são recebidas através da HLR 1 e dos elementos SGSN 3, esteúltimo através da interface Gn 130.
As interfaces Gb 125, Gn 130, Gi 210 e Um 120 são interfacespadrões para troca de dados e sinalização definidas pelo 3GPP na especifi-cação 3GPP TS 23.002.O terminal móvel (MS) 10 consiste do equipamento físico quepode ser utilizado por um assinante da rede pública de telefonia móvelPLMN e sua comunicação com a rede WWAN 40 pode ser realizada atravésda interface rádio, por exemplo.
A rede ilustrada na figura 1 utiliza ainda a autenticação EAP-SIM,ou seja, utiliza o protocolo EAP para autenticação e distribuição de chavesutilizando o cartão SIM, assim como o processo de autenticação padrão de-finido para a rede GSM. O ΕΑΡ-SIM baseia-se no mecanismo de desafio eresposta definido para o GSM, utilizando o algoritmo A3/A8 de autenticaçãoe derivação de chave que é executável no cartão SIM. O desafio dado aocartão SIM é um número randômico de 128 bits (RAND). O algoritmo do car-tão SIM utiliza o RAND e a chave de autenticação individual Ki, armazenadainternamente, como entradas para produzir uma resposta de 32 bits (SRES)e uma chave longa de 64 bits, ou chave cifrada Kc (cipher key), como saída.
Em contrapartida, a rede de acesso WLAN 50 é responsável porencapsular os pacotes de autenticação gerados pelo terminal móvel 10 empacotes RADIUS e direcioná-los para o servidor AAA 5, 6, 7.
O servidor AAA 5, 6, 7, que é baseado em protocolo RADIUS,basicamente tem a função de identificar o terminal móvel 10 como sendopertencente à rede HPLMN 40 e é responsável por disparar a requisição deautenticação. O acrônimo AAA significa autenticação, autorização e contabi-lização (Authentication, Authorization e Accounting) e RADIUS (Remote Au-thentication Dial In User Service) 140, 145, 150 é um protocolo definido peloIETF para transportar as funções de AAA. Ò protocolo RADIUS 140, 145,150 permite que um servidor de acesso de rede possa acessar um servidorcentralizado e compartilhado para buscar serviços de AAA.
Com base nos padrões existentes e nas propostas de alteraçãoconhecidas até o momento, foi possível definir algumas premissas básicasque devem ser seguidas por uma arquitetura de autenticação transparenteem rede WLAN de forma a tornar a mesma aplicável nos cenários de hando-ver vertical de terminais móveis executando aplicações de tempo real:
a) manter, no mínimo, o mesmo nível de segurança existente narede WWAN caseira do usuário;
b) não impactar negativamente na qualidade da sessão duranteo handover, isso é, ter duração máxima de interrupção no handover de 40ms, em conjunto com o procedimento de conexão;
c) poder realizar autenticação inicial na rede WLAN de forma in-dependente do tempo de espera pelos vetores de autenticação retornadospela rede WWAN; e
d) não comprometer as chaves compartilhadas utilizadas pelarede WWAN (p. ex.: chave de autenticação individual Ki).
Com base nas condições acima e também com foco no fator deinteroperabilidade com os sistemas atuais, a presente invenção também éigualmente compatível com o padrão IEEE 802.11 i. Do ponto de vista doprocedimento de autenticação, o suporte ao padrão 802.11 i significa que aautenticação deve ser realizada através de mensagens EAP1 independente-mente do método ou mecanismo específico.
Assim, a presente invenção define uma arquitetura baseada naintrodução de um elemento funcional na rede WWAN e em cada rede WLANpassível de ser visitada pelo terminal móvel, a este elemento funcional é da-do o nome de Servidor de Distribuição de Chaves (SDC). O Servidor de Dis-tribuição de Chaves (SDC) introduzido na arquitetura da presente invenção éresponsável por realizar a distribuição antecipada das chaves de autentica-ção temporárias das redes WLAN elegíveis para receber o terminal móvel nohandover seguinte. Com a introdução deste elemento e a alteração de al-guns dos procedimentos de autenticação entre o terminal móvel e o servidorAAA da rede WLAN visitada, verifica-se a obtenção de uma redução signifi-cativa na interrupção do serviço, interrupção essa devida à autenticação du-rante o handover vertical.
Deste modo, a arquitetura da presente invenção continua permi-tindo a utilização de arquiteturas voltadas para o suporte às necessidades deroaming de assinantes WLAN e mantém as premissas de segurança defini-das pelos padrões atuais, inclusive com a manutenção do algoritmo de au-tenticação em uso. Essa arquitetura de autenticação, objeto da presente in-venção, é ilustrada em detalhes na figura 2.
Na rede caseira WWAN 40, o servidor de distribuição de chaves- SDC HPLMN 20 é conectado ao elemento GGSN 4 através da interface Gi210 e possui, para fins de confidencialidade na transmissão de informação,algum mecanismo-padrão através de túnel IPSec. Na rede G-PRS/GSM/UMTS, o terminal móvel é autenticado segundo os métodos pa-drões definidos para redes 3GPP, considerando que nessas redes existemmecanismos nativos para garantir a segurança na troca de dados entre oterminal móvel e os elementos de rede, incluindo o GGSN 4. Além disso, oSDC HPLMN 20 também pode realizar uma conexão segura com o terminalmóvel 10 registrado na rede de acesso WWAN 40, pois o mesmo pode sercolocado internamente na rede local onde se encontra a interface Gi 210.
Em contrapartida, na rede WLAN visitada 50, o servidor de dis-tribuição de chaves SDC WLAN 30 opera na mesma rede do servidor AAA 7e deve possuir, para fins de confidencialidade na transmissão de informa-ções, algum mecanismo-padrão através de túnel IPSec.
Entre o SDC HPLMN 20 e os diversos SDC WLAN 30, é consi-derado haver também algum mecanismo de troca segura de dados 215, a-través de métodos padrões de criptografia.
Basicamente, o SDC WLAN 30 tem as funções de:
a) criar, sob requisição, novos pares de chaves de autenticação,aqui designadas como Ka, específicas e vinculadas a uma identificação es-pecífica do terminal móvel, como por exemplo: IMSI (International MobileSubscriber Identity) registrado no cartão SIM (Subscriber Identity Module),também chamado de USIM (UMTS Subscriber Identity Module); e
b) enviar as chaves criadas para o SDC HPLMN 20 e para o ser-vidor AAA 7 da rede WLAN visitada 50 através de conexão segura estática215, 220, ou seja, previamente configurada.
Da mesma forma, o SDC HPLMN 20 tem basicamente as fun-ções de:
a) requisitar uma chave de autenticação específica para o SDCWLAN 30 em nome do terminal da rede WWAN 40, a requisição sendo ba-seada nas informações enviadas pelo terminal móvel de identificação doterminal móvel, de localização de célula do terminal móvel e, no SSID (in-formação de identificação da rede ou Service Set Identifier (IEEE 802.11)) darede WLAN alvo 50;
b) manter a base de endereços do SDC WLAN 30 associada aosSSID específicos da rede WLAN 50 e a localização geográfica da redeWLAN 50. Essas informações são fundamentais para garantir a identificaçãounívoca da rede WLAN 50 e do SDC WLAN 30 associado; e
c) retornar para o terminal móvel 10 a chave de autenticação Kacriada pelo SDC WLAN 30.
Apenas a título exemplificativo da concretização preferida, o ser-vidor AAA 7 comunica-se com o terminal móvel 10 preferencialmente atravésde um comutador wireless 8, que por sua vez comunica-se com pelo menosum ponto de acesso Wi Fi 9, através dos quais o terminal móvel 10 será co-municado. Importante ressaltar que os pontos de acesso Wi Fi 9 e os comu-tadores wireless 8 são elementos essenciais e amplamente encontrados emredes WLAN.
O protocolo de troca de informação entre o SDC HPLMN 20 e osterminais móveis 10 ainda registrados na rede WWAN 50 pode ser baseadoem protocolo HTTP padrão. Entre os elementos SDC 20 e 30, as informa-ções podem ser trocadas via arquivos XML e entre o SDC WLAN 30 e o ser-vidor AAA 7, as informações podem ser trocadas via qualquer protocolo detroca de dados seguro suportado pelo servidor AAA 7.
O método de operação da arquitetura objeto da presente inven-ção baseia-se na troca antecipada de chaves temporárias de autenticaçãocom o auxílio da rede WWAN 40. As chaves trocadas e armazenadas noterminal móvel 10 e no servidor AAA 7 são utilizadas para autenticar o termi-nal móvel 10 na rede WLAN 50, seguindo os princípios definidos pelo padrãoIEEE 802.11i.
As funções executadas pelo terminal móvel 10 na arquitetura dapresente invenção são:
a) solicitar, enquanto o terminal móvel 10 ainda está registradona rede WWAN 40, que o SDC HPLMN 20 requisite as chaves de autentica-ção para serem enviadas às redes WLAN 50 próximas. As redes WLAN 50podem ser localizadas através de mecanismo-padrão de scanning da rede802.11;
b) informar a identificação do terminal móvel 10 ao SDC, assimcomo o SSID da rede WLAN 50 visada e a célula da rede WWAN 40 em queele se encontra;
c) receber as chaves de autenticação Ka retornadas pelo SDCHPLMN 20 através da rede GPRS e armazená-las em área segura enquantopermanecer no raio de alcance da possível rede WLAN 50 visada;
d) ao tomar a decisão de conectar na rede WLAN visada 50, uti-lizar a chave de autenticação Ka recebida na autenticação ΕΑΡ-SIM no lugarda chave de autenticação individual Ki armazenada no cartão SIM para vali-dação e geração do material utilizado na autenticação mútua. Esta primeiraautenticação é temporária e deve ser feita através do envio de endereço deidentificação (NAI) com domínio específico, de forma a informar a naturezatemporária desta autenticação para o servidor AAA 7; e
e) iniciar o procedimento de autenticação completa utilizando osdados padrões originais armazenados no cartão SIM, realizados após a au-tenticação temporária bem-sucedida, do registro das aplicações na rede IMSe do completo restabelecimento da sessão.
Além disso, o servidor AAA 7 de autenticação da rede WLAN 50deve suportar as seguintes funções:
a) realizar a autenticação temporária do terminal móvel 10 combase no endereço NAI retornado e na chave de autenticação Ka específicarecebida do SDC WLAN 30;
b) para realizar a autenticação temporária, o servidor AAA 7 de-ve implementar o algoritmo A3/A8 para poder gerar os vetores de autentica-ção de forma autônoma do HLR 1 da rede WWAN 40, porém baseado noNAI do terminal móvel 10 e na chave de autenticação Ka recebida. Os veto-res de autenticação podem ser gerados quando a chave Ka é recebida, como objetivo de reduzir o atraso durante a autenticação temporária;c) controlar o tempo de associação do terminal móvel após arealização da autenticação temporária e desconectar os terminais móveisincapazes de realizar autenticação completa após um período predefinido detempo; e
d) enviar mensagens RADIUS accounting (contabilização dosdados) para o servidor AAA intermediário (não-mostrado), para registro dasatividades no assinante em roaming. Apesar de não ter sido mostrado, oservidor AAA intermediário, que na figura 1 foi ilustrado como servidor AAA6, encontra-se presente nestes tipos de rede com a finalidade de tarifação ecobrança, não estando relacionado diretamente com a função de autentica-ção inicial.
Além da arquitetura de autenticação proposta pela presente in-venção, a rede WLAN 50 pode possuir uma topologia de servidores AAAdescentralizados, com menos carga e mais próximos às redes de acesso,com o objetivo de diminuir o tempo de processamento de autenticação verifi-cado nas medidas realizadas na presente invenção. As principais vantagensdesta arquitetura de autenticação proposta são: a troca antecipada de cha-ves de autenticação específicas para cada terminal móvel, sem consumo dotempo de autenticação; a utilização de arquitetura de autenticação temporá-ria sem a necessidade de realização de consulta em servidores AAA 5, 6 ebases HLR 1 externas à rede WLAN 50 durante o handover; e a utilizaçãode chaves individuais específicas e exclusivas para cada terminal móvel 10durante a autenticação temporária, aumentando o nível geral de segurançana rede WLAN 50 em relação às soluções do estado da técnica.
Com a arquitetura da presente invenção, o tempo de indisponibi-Iidade do serviço durante o processo de handover vertical é reduzido paravalores menores que os recomendados pelos padrões. Vale ressaltar que,como a troca de chaves de autenticação Ka ocorre antes do procedimentode handover, o tempo não é afetado. Esse tempo de autenticação durante ohandover é bastante reduzido, por não necessitar de consulta à rede WWANcaseira e por não utilizar servidores AAA centralizados de alta capacidade ecom enlaces IP via a rede Internet e sobre longas distâncias.EXEMPLOS DE CONCRETIZAÇÃO DA PRESENTE INVENÇÃO:
Este exemplo ilustra a realização da modelagem analítica deuma arquitetura para autenticação em redes WLAN1 onde é analisado o a-traso na execução de handover vertical entre redes WWAN e WLAN com oobjetivo de avaliar e quantificar o tempo de interrupção do serviço decorrentedo acréscimo de autenticação do terminal baseada nos padrões IEEE 802.1 χe IEEE 802.11i com a utilização de protocolo ΕΑΡ-SIM pela rede WLAN.
A arquitetura foi modelada analiticamente para várias condiçõese taxas de transmissão através da utilização dos modos IEEE 802.11b e IE-EE 802.11g.
Através dos resultados obtidos, avaliou-se o impacto da introdu-ção na rede WLAN da autenticação baseada no padrão IEEE 802.11i no a-traso da execução do handover vertical entre sistemas WWAN e WLAN ofe-recendo serviços convergentes multimídia.
Atraso de Transmissão em WLAN
As redes GPRS possuem elevada vulnerabilidade a ruído e ele-vada taxa de erro de bit (BER) devido ao seu uso externo. Para melhorar aperformance nestas redes com relação à BER1 são utilizados mecanismosde retransmissões baseados na camada de enlace, tal como o Radio LinkProtocol ou RLP1 que é utilizado sobre a camada MAC. Como as redesWLAN possuem uma largura de banda maior que as redes WWAN atuais euma utilização geralmente interna (indoor), estes mecanismos de retrans-missão não são utilizados.
Nos enlaces WLAN1 alguns mecanismos de retransmissão po-dem ser realizados pelos protocolos superiores aos da camada de enlace,tais como: TCP1 DHCP1 EAP1 etc. Para a análise aqui realizada, as seguin-tes premissas para as sessões fim a fim, relativas aos protocolos de camadade transporte com controle de retransmissão, são observadas: funcionamen-to em modo interativo e sem execução de retransmissão rápida (fast re-transmit), ou seja, um pacote perdido sempre esgota o temporizador deround-trip (RTO).As deduções a seguir são baseadas nos diversos modelos de atraso detransmissão de quadro e pacote, portanto já conhecidos do estado da técni-ca. Segundo o algoritmo de Karn1 para os protocolos com controle de re-transmissão, o valor de RTO é multiplicado por um fator constante c após
cada retransmissão devido ao esgotamento do temporizador. Então,RTOm =c*RTOi, onde RTOi é o i-ésimo valor do temporizador de retrans-missão. Este efeito provoca o crescimento exponencial do RTO após cadaretransmissão. Felizmente, os protocolos da camada de transporte, em suagrande maioria, não permitem um número infinito de retransmissão. Então,considerando que η retransmissões são necessárias para transmitir um pa-cote com sucesso, o atraso médio para transmitir um pacote é dado por:
<formula>formula see original document page 14</formula>
onde T' é o atraso de propagação fim a fim do pacote e RTO0 é ovalor inicial do temporizador de retransmissão.
A taxa de perda de pacotes é dada por q = 1 - (1 - p)k, onde ρ éa probabilidade de um quadro estar com erro no enlace aéreo (FER) e k é onúmero de quadros do enlace aéreo contidos no pacote. A probabilidade detransmitir um pacote com sucesso pode ser calculada como(1 - q) + (1 - q)q + ··· + (1 - q)qNm -1 = 1 -qNm. Utilizando a equação anterior e
a equação 1 pode-se obter o atraso médio para transmitir um pacote comcontrole de retransmissão sobre a interface WLAN com não mais que Nmtentativas de retransmissão como:
<formula>formula see original document page 14</formula>
onde D é o atraso de propagação fim a fim do quadro sobre en-lace WLAN e ré o tempo inter-quadro. Afigura 3 ilustra o atraso médio cal-culado pela equação 2, ou seja, o atraso médio para transmitir um pacotecom controle de retransmissão sobre quadros da rede WLAN.
O padrão IEEE 802.11 especifica que o tamanho máximo do pa-yload é de 8184 bits, ou 1023 bytes. Como para mensagens DHCP é possí-vel ter um comprimento máximo de 548 bytes, isso significa que temos k = 1tanto para 802.11b quanto para 802.11g. Para mensagens EAP temos umcomprimento máximo de 280 bytes e como estas mensagens são transpor-tadas diretamente sobre a camada de enlace na interface aérea WLAN edevido ao fato do protocolo EAP não suportar fragmentação, temos tambémk = 1. Considerando os dados acima e também que o valor típico de c é i-gual a 2, temos que a equação 2 pode ser simplificada para:
<formula>formula see original document page 15</formula>
O atraso médio de transmissão fim a fim do canal WLAN (D) es-timado é igual 1,4 ms para canal de 11 Mbps (IEEE 802.11b) e de 0,4 mspara canal de 54Mbps (IEEE 802.11g), para payload de 1500 bytes e 10terminais compartilhando o canal, segundo cálculos realizados utilizando ametodologia proposta por Giuseppe Bianchi em seu paper "PerformanceAnalysis ofthe IEEE 802.11 Distributed Coordination Function" publicado empelo jornal do IEEE em março de 2000.
O valor inicial de RTO é estimado como sendo o valor de atrasode round-trip e o valor do número máximo de retransmissões (Nm) é estima-do como dez, conforme indicado por Sajal Das, Enoch Lee, Kalyan Basu,Naveen Kakani e Sanjoy Das em seu artigo "Performance optimization ofVoIP calls over wireless links using H.323 protocol" de 2003.
No processo de conexão à rede WLAN e de autenticação, temosquatro trocas de mensagens DHCP, cinco mensagens ARP (sendo três Gra-tuitous ARP, com intervalos de 0,5s e 1s entre elas, e um diálogo de requisi-ção de endereço MAC (não considerado por ser realizado entre o tempo deespera de esgotamento de temporização das mensagens Gratuitous ARP) e8 troca de mensagens ΕΑΡ. Os tempos de atraso devido a estas trocas demensagens podem ser calculados, respectivamente, como: DDhcp = 4D'Dhcp;Darp = (3D'ARP + ARPwait) e Deap = 8D'eap· Os valores D'Dhcp, D1arp e D'eapsão calculados a partir da equação 3 com os valores de RTO0 e Nm específi-cos para cada um dos protocolos. O valor de ARPwait total é de 1,5s (tempo-rização de 0,5s mais 1s) para o cenário de utilização de terminais baseadosem sistema operacional Microsoft Windows Mób/'/e®. O valor acima foi obtidosegundo informação fornecida pela Microsoft emhttp://support. microsoft. com/kb/199773/en-us.
ii Atraso de Autenticação
No processo de handover do terminal as mensagens de autenti-cação são processadas por diversos elementos de rede e transportadas pordiferentes protocolos, tais como EAP1 RADIUS e MAP. O protocolo EAP étransportado diretamente sobre a rede 802.11, o protocolo RADIUS é trans-portado sobre IP em redes 802.3 e o protocolo MAP é transportado sobrerede de sinalização número 7 (SS7), através de enlaces TDM de 64 Kbps ede 2Mbps (enlace E1).
O atraso introduzido pelos elementos de rede pode ser calculadopela utilização da teoria clássica de filas para o sentido terminal-rede e rede-terminal, conforme ilustrado pelas figuras 4 e 5.
Ambos os casos possuem duas redes de filas abertas sem rea-limentação. Seguindo o proposto pelo Teorema de Burke, o atraso total decada rede de fila em um sistema aberto pode ser calculado como a somados atrasos individuais de cada nó. Adicionalmente a esta consideração, astaxas de entrada em cada servidor não são devidos exclusivamente ao fluxode mensagens de autenticação dos terminais realizando handover entre re-des WWAN e WLAN, há outros fluxos de dados utilizando os mesmos servi-dores simultaneamente.
O tempo de atraso total para o processo de conexão na redeWLAN pode ser descrito como:
Dqon ~ Dmh + Ddhcp + Darp + Dap + Ddhcp Server (4)
Considerando-se que o processo de autenticação envolve trocade sinalização bidirecional com os elementos da rede, o tempo de atrasototal para o processo de autenticação pode ser descrito como:<formula>formula see original document page 17</formula>
O atraso de processamento devido ao terminal pode ser calcula-do como:
<formula>formula see original document page 17</formula>
Os atrasos de transmissão devido à interface WLAN são dadospelos componentes Ddhcp, Darp e DEap e são calculados conforme a equa-ção 3 e segundo a descrição do tópico anterior sobre os atrasos de trans-missão em WLAN.
O atraso de processamento devido aos elementos da rede deacesso WLAN pode ser calculado como:
<formula>formula see original document page 17</formula>
O atraso de processamento devido ao servidor de DHCP podeser calculado como:
<formula>formula see original document page 17</formula>
O atraso de processamento devido ao servidor AAA da redeWLAN para um par de mensagens de requisição e resposta pode ser calcu-lado como:
<formula>formula see original document page 17</formula>
O atraso de processamento devido ao servidor AAA da rede in-termediária para um par de mensagens de requisição e resposta pode sercalculado como:
<formula>formula see original document page 17</formula>
O atraso de processamento devido ao servidor AAA da redeWWAN (HPLMN) para um par de mensagens de requisição e resposta podeser calculado como:
<formula>formula see original document page 17</formula>
O atraso de processamento devido à rede SS7 e ao HLR/AuC darede WWAN (HPLMN) pode ser calculado como:<formula>formula see original document page 18</formula>
O volume de tráfego inicial de autenticação via rede WLAN émuito menor que o existente na rede WWAN, pois a quantidade de usuáriosutilizando a rede VWVAN é muito maior que a de usuários utilizando a redeWLAN. Devido a este fato, o atraso responsável pelo elemento HLR/AuCnão é alterado pelo volume de tráfego de mensagens de autenticação in-crementai gerado pelos usuários na rede WLAN. Na implementação realiza-da, o valor do atraso relativo ao processamento do HLR foi medido em redeWWAN comercial, dimensionada para aproximadamente 3 milhões de assi-nantes. Nestas condições o atraso de processamento devido à rede SS7 eao HLR/AuC da rede WWAN (HPLMN) para um par de mensagens de requi-sição e resposta pode ser alternativamente representado como:
<formula>formula see original document page 18</formula>
Os parâmetros utilizados nas equações anteriores e seus signifi-cados estão listados na tabela 1 a seguir.
Tabela 1 - Parâmetros usados no atraso de processamento
<table>table see original document page 18</column></row><table><table>table see original document page 19</column></row><table><table>table see original document page 20</column></row><table>
O atraso total do processo de handover entre rede WWAN eWLAN é dado pela soma do atraso de conexão com o atraso de autentica-ção, ou seja:
D Handover = ^CON + ^ AUT C^)
Com base nas equações demonstradas acima é possível calcu-lar os atrasos de conexão e de autenticação de um terminal qualquer à redeWLAN1 para diversas condições da rede de acesso.
Assim, com base na modelagem analítica desenvolvida, pode-seafirmar que o atraso de autenticação para a arquitetura proposta pode sercalculado como:
D'AUT = DMH + DEAP + DAP + D'AAA_WLAN O^)
O valor de atraso para o servidor AAA da rede WLAN para a ar-quitetura proposta pode ser calculado como:
<formula>formula see original document page 20</formula>
onde η é o número de pares de mensagens de requisição e res-posta RADIUS para a arquitetura descrita, ou seja, três para o cenário deautenticação completa ΕΑΡ-SIM e os demais parâmetros estando descritosna Tabelai.
A tabela 2 mostra os valores dos parâmetros utilizados nas mo-delagens analíticas realizadas, considerando as condições de acesso a ta-xas de 11 Mbps (IEEE 802.11b) e 54Mbps (IEEE 802.11g).Tabela 2 - Parâmetros usados no atraso de processamento
<table>table see original document page 21</column></row><table>
Notas:
(1) Calculado de acordo com metodologia desenvolvida por Bi-anchi em "Performance Analysis of the IEEE 802.11 Distributed Coordination
Function" e considerando 10 terminais móveis utilizando simultaneamente omesmo canal 802.11.
(2) Valor estimado para velocidade do barramento interno doterminal móvel.(3) Valor efetivo (goodput) de taxa para interface 10OBASE-T(Fast Ethernet) com MTU=1500 bytes, considerando o overhead devido aoprotocolo TCP/IP e Ethernet.
(4) Múltiplo de 64Kbps (enlaces TDM) necessário para tratar otráfego de autenticação entre servidor AAA da rede WWAN (HPLMN) e oHLR1 via rede SS7.
(5) Calculado pelo tamanho total das mensagens de DHCP (Dy-namic Host Configuration Protocol) e EAP trocados pelo terminal móvel.
(6) Considerado o tráfego gerado por um hotspot com 12 pontosde acersso (Access Points) - dado histórico médio de dimensionamento para
cobertura de shopping-centers.
(7) Tráfego Internet estimado para um ponto de acesso com 10terminais móveis conectados - dado histórico para dimensionamento de a-cesso WLAN.
(8) Valor obtido através das medidas realizadas em servidor AAAem rede real de produção.
(11) Resposta do HLR (protocolo MAP) às autenticações RADI-US1 sobre enlaces TDM de 64Kbps.
(12) Valor estimado de fator de utilização para servidor DHCP(Dynamic Host Configuration Protocol).
(13) Valor medido em rede de sinalização em operação comerci-al do atraso médio de transmissão das mensagens de autenticação MAPSAI (Send Authentication Information).
(14) Valor medido em elemento em operação comercial do tem-po gasto pela consulta ao elemento HLR/AuC.
(15) Valor estimado de atraso médio na Internet para enlaces ter-restres de longa distância.
Os demais componentes da equação 15 são calculados confor-me as equações 3, 6 e 7. Utilizando os valores listados na Tabela 2 e FERde 10%, obtém-se os seguintes valores de atraso de autenticação para aarquitetura da presente invenção, mostrados de forma comparativa com osresultados obtidos para os mecanismos de autenticação padrão:Tabela 3 - Atrasos de autenticação previstos para a arquiteturacom SDC proposta
<table>table see original document page 23</column></row><table>
Os valores de atraso calculados indicam uma melhora conside-rável no tempo de autenticação, com uma redução no atraso maior que 92%em ambos os casos. Apesar deste atraso ainda não está dentro do reco-mendado para interrupção de serviço durante o handover, o valor alcançadojá se encontra na mesma ordem de grandeza do recomendado. Analisandoos resultados com mais cuidado, verificou-se que, somente o tempo de pro-cessamento do servidor AAA contribui com 83,6 ms do tempo de atraso ilus-trado na tabela 3. Isso é devido ao fato de terem sido utilizados os valoresde taxa de processamento e de taxa de chegada, obtidos a partir de medi-ções em servidor AAA centralizado e de grande porte.
Seguindo-se a premissa definida para a arquitetura da presenteinvenção, com servidores AAA descentralizados em servidores menores,obtém-se uma melhora no tempo de atendimento dos mesmos.
A arquitetura objeto da presente invenção também é utilizada emconjunto com a arquitetura IRAP de roaming de WLAN. Para isso, o servidorAAA intermediário não deve ser mais utilizado como proxy para as mensa-gens de autenticação temporária inicial, mas somente para a autenticaçãocompleta, realizada em paralelo com a sessão WLAN ativa do terminal epara tratamento de mensagens de RADIUS accounting.
Análise dos Resultados
Com base nas medidas e nas modelagens analíticas realizadas,concluiu-se que os tempos gastos com os procedimentos padrões propostospara conexão e autenticação à rede WLAN não são compatíveis com o tem-po máximo de interrupção no serviço de voz durante o handover conformerecomendado por ETSI, que recomenda o máximo de 40 ms de interrupçãodo serviço de voz, bem abaixo dos resultados obtidos, conforme apresenta-do no exemplo, em que os tempos de conexão e de autenticação em redesWLAN podem atingir, em alguns casos, valores maiores que dois segundos.
De uma maneira geral, esta interrupção do serviço tem duração suficientepara provocar a perda de informação durante a sessão multimídia de comu-nicação em tempo real estabelecida pelo usuário.
Em outras palavras, issosignifica que o tempo de interrupção do serviço observado torna o procedi-mento de handover perceptível pelo usuário final que esteja utilizando umserviço de comunicação multimídia em tempo real.
Em contrapartida, o resultado obtido pela modelagem analíticada presente invenção mostrou tempos de interrupção inferiores a 90ms, namesma ordem de grandeza, portanto, do recomendado pelo ETSI.
Todavia, isso implica o entendimento de que a presente inven-ção e suas partes componentes descritas acima são apenas algumas dasmodalidades e exemplos de situações que poderiam ocorrer, o real escopodo objeto da invenção encontrando-se definido nas reivindicações.
Claims (29)
1. Sistema de autenticação para interconexão de redes sem fioheterogêneas (40, 50) compreendendo:uma rede local (40) que compreende:uma unidade de registro de assinantes (1);uma unidade de estabelecimento de sessões de dados (3) quese comunica com a unidade de registro de assinantes (1) através de um pro-tocolo específico (115);uma unidade de roteamento de tráfego (4) que se comunica coma uma unidade de estabelecimento de sessões de dados (3) através de umainterface específica (130);uma estação de transmissão (2) que se comunica com a uma u-nidade de estabelecimento de sessões de dados (3) através de uma interfa-ce específica (125) e com um terminal de acesso (10) através de uma outrainterface específica (120);uma rede visitada (50) que compreende:pelo menos um servidor de autenticação, autorização e contabili-zação (7);um comutador (8) que se comunica com um dos pelo menos umservidor de autenticação, autorização e contabilização (7) através de um pro-tocolo (150);pelo menos um ponto de acesso (9) que se comunica com o co-mutador (8) através de uma rede sem fio;caracterizado pelo fato de que ainda compreende:um servidor de distribuição de validadores (20) na rede local (40);um servidor de distribuição de validadores (30) na rede visitada (50); eem que os respectivos servidores (20, 30) são responsáveis pelacriação e distribuição de pares de validadores vinculados a uma determinadaidentificação do terminal móvel (10) a ser autenticado.
2. Sistema, de acordo com a reivindicação 1, caracterizado pelofato de que o protocolo específico de comunicação entre a unidade de regis-tro de assinantes (1) e a unidade de estabelecimento de sessões de dados(3) é preferencialmente um MAP/SS7 (115).
3. Sistema, de acordo com a reivindicação 1, caracterizado pelofato de que a interface específica de comunicação entre a unidade de rote-amento de tráfego (4) e a unidade de estabelecimento de sessões de dados(3) é preferencialmente uma interface Gn (130) definida pela especificação3GPP.
4. Sistema, de acordo com a reivindicação 1, caracterizado pelofato de que a interface específica de comunicação entre a estação de trans-missão (2) e a unidade de estabelecimento de sessões de dados (3) é prefe-rencialmente uma interface Gb (125) definida pela especificação 3GPP.
5. Sistema, de acordo com a reivindicação 1, caracterizado pelofato de que a interface específica de comunicação entre a estação de trans-missão (2) e o terminal de acesso (10) é preferencialmente uma interfaceUm (120) definida pela especificação 3GPP.
6. Sistema, de acordo com a reivindicação 1, caracterizado pelofato de que o protocolo específico de comunicação entre o comutador (8) eum dos pelo menos um servidor de autenticação, autorização e contabiliza-ção (7) é preferencialmente um RADIUS/IP (150).
7. Sistema, de acordo com a reivindicação 1, caracterizado pelofato de que a comunicação entre o servidor (20) na rede local (40) e o servi-dor (30) na rede visitada (50) é realizada através de uma conexão seguraestática (215) previamente configurada.
8. Sistema, de acordo com a reivindicação 1, caracterizado pelofato de que compreende ainda servidores de autenticação, autorização econtabilização adicionais e descentralizados para diminuir o tempo de pro-cessamento de autenticação.
9. Método de autenticação de um terminal móvel (10) para inter-conectar redes sem fio heterogêneas (40,50) caracterizado pelo fato de quecompreende as etapas de:requisitar um validador em nome do terminal móvel (10);criar um validador;enviar para o terminal móvel (10) o validador criado; erealizar a autenticação do terminar móvel (10) com base no vali-dador criado.
10. Método, de acordo com a reivindicação 9, caracterizado pelofato de que a etapa de requisitar um validador compreende ainda as etapasde:enviar uma primeira informação de identificação do terminal mó-vel (10) para o servidor (30) da rede visitada (50); erequisitar ao servidor (30) da rede visitada (50) um validador pa-ra o terminal móvel (10) a partir do servidor (20) da rede local (40).
11. Método, de acordo com a reivindicação 9, caracterizado pelofato de que a etapa de criar um validador compreende ainda as etapas de:criar pares de validadores específicos e vinculados a uma de-terminada identificação do terminal móvel (10).
12. Método, de acordo com a reivindicação 9, caracterizado pelofato de que a etapa de enviar para o terminal móvel (10) o validador criadocompreende ainda as etapas de:enviar por meio do servidor (20) da rede local (40) os validadorescriados pelo servidor (30) da rede visitada (50) para o terminal móvel (10); eenviar por meio do servidor (20) da rede local (40) os validadorescriados para o servidor de autenticação, autorização e contabilização (7).
13. Método, de acordo com a reivindicação 1, caracterizado pelofato de que a etapa de realizar a autenticação do terminar móvel (10) combase no validador criado compreende ainda as etapas de:armazenar os validadores recebidos no terminal móvel (10);utilizar o validador recebido no terminal móvel (10) no lugar dachave de autenticação individual Ki armazenada no cartão SIM;utilizar o validador armazenado no terminal móvel (10) para vali-dação e geração da autenticação entre as redes local (40) e visitada (50);enviar do terminal móvel (10) para o servidor de autenticação,autorização e contabilização (7) uma segunda informação de identificação; erealizar a autenticação temporária do terminal móvel (10) no ser-vidor de autenticação, autorização e contabilização (7) com base na segun-da informação de autenticação recebida e no validador específico recebidodo servidor de distribuição de chaves (30) da rede visitada (50).
14. Método, de acordo com a reivindicação 13, caracterizado pe-lo fato de que compreende ainda a etapa de:gerar vetores de autenticação no servidor de autenticação, auto-rização e contabilização (7) com base na segunda informação de identifica-ção do terminal móvel (10) e no validador recebido no mesmo.
15. Método, de acordo com a reivindicação 13 ou 14, caracteri-zado pelo fato de que a segunda informação de identificação do terminalmóvel (10) compreende o endereço de autenticação NAI do terminal móvel(10).
16. Método, de acordo com a reivindicação 9, caracterizado pelofato de que compreende ainda a etapa de:iniciar no terminal móvel (10) o procedimento de autenticaçãocompleta.
17. Método, de acordo com a reivindicação 9, caracterizado pelofato de que compreende ainda a etapa de:controlar no servidor de autenticação, autorização e contabiliza-ção (7) o tempo de associação do terminal móvel (10) após a realização daautenticação temporária.
18. Método, de acordo com a reivindicação 9, caracterizado pelofato de que compreende ainda a etapa de desconectar o terminal móvel (10)incapaz de realizar autenticação completa após um período predefinido detempo.
19. Método, de acordo com a reivindicação 11, caracterizado pe-lo fato de que a identificação do terminal móvel (10) compreende um IMSIregistrado no cartão SIM/USIM.
20. Método, de acordo com a reivindicação 12, caracterizado pe-lo fato de que a etapa de enviar as chaves de autenticação para o servidorde (20) da rede local (40) e para o servidor de autenticação, autorização econtabilização (7) é realizada através de conexão segura estática (215, 220).
21. Método, de acordo com a reivindicação 10, caracterizado pe-lo fato de que a etapa enviar uma primeira informação de identificação doterminal móvel (10) para o servidor (30) da rede visitada (50) compreende asinformações de identificação do terminal móvel (10), de localização de célulado terminal móvel (10) e o SSID da rede alvo visitada (50).
22. Método, de acordo com a reivindicação 13, caracterizado pe-lo fato de que a etapa de armazenar os validadores recebidos no terminalmóvel (10) compreende armazenar os validadores em uma área segura en-quanto o terminal móvel (10) permanecer no raio de alcance da possível re-de visitada (50).
23. Método, de acordo com a reivindicação 9, caracterizado pelofato de que a etapa de realizar a autenticação do terminal móvel (10) com-preende ainda implementar preferencialmente o algoritmo A3/A8 para gerarvetores de autenticação de forma autônoma da unidade de registro de assi-nantes (1) da rede local (40).
24. Método, de acordo com a reivindicação 14, caracterizado pe-lo fato de que a etapa de gerar os vetores de autenticação inicia-se quandoo validador é recebido no servidor de autenticação, autorização e contabili-zação (7).
25. Método, de acordo com a reivindicação 9, caracterizado pelofato de que compreende ainda a etapa de enviar do servidor autenticação,autorização e contabilização (7) para o servidor autenticação, autorização econtabilização intermediário mensagens de contabilização para registro dasatividades do terminal móvel (10) em roaming.
26. Método, de acordo com qualquer uma das reivindicações 9 a-25, caracterizado pelo fato de que a comunicação entre o servidor (20) narede local (40) e o terminal móvel (10) é baseado preferencialmente no pro-tocolo HTTP padrão.
27. Método, de acordo com qualquer uma das reivindicações 9 a-26, caracterizado pelo fato de que a comunicação entre o servidor (20) narede local (40) e o servidor (30) na rede visitada (50) é realizada preferenci-almente via arquivos XML.
28. Método, de acordo com qualquer uma das reivindicações 9 a 27, caracterizado pelo fato de que a comunicação entre o servidor (30) narede visitada (50) e o servidor de autenticação, autorização e contabilização(7) é realizada via um protocolo (220) seguro de troca de dados suportadopelo servidor de autenticação, autorização e contabilização (7).
29.Método, de acordo com qualquer uma das reivindicações 9 a 28, caracterizado pelo fato de que o validador é uma chave de autenticação.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| BRPI0902036-5A BRPI0902036B1 (pt) | 2009-05-27 | 2009-05-27 | Sistema e método de autenticação para interconexão de redes sem fio heterogêneas |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| BRPI0902036-5A BRPI0902036B1 (pt) | 2009-05-27 | 2009-05-27 | Sistema e método de autenticação para interconexão de redes sem fio heterogêneas |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| BRPI0902036A2 true BRPI0902036A2 (pt) | 2011-02-08 |
| BRPI0902036B1 BRPI0902036B1 (pt) | 2021-05-04 |
Family
ID=43567414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BRPI0902036-5A BRPI0902036B1 (pt) | 2009-05-27 | 2009-05-27 | Sistema e método de autenticação para interconexão de redes sem fio heterogêneas |
Country Status (1)
| Country | Link |
|---|---|
| BR (1) | BRPI0902036B1 (pt) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20240048363A1 (en) * | 2018-07-16 | 2024-02-08 | Winkk, Inc | Network packet tampering proofing |
| US20240073009A1 (en) * | 2018-07-16 | 2024-02-29 | Winkk, Inc | Registration of endpoints by authentication server when onboarding to network |
-
2009
- 2009-05-27 BR BRPI0902036-5A patent/BRPI0902036B1/pt not_active IP Right Cessation
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20240048363A1 (en) * | 2018-07-16 | 2024-02-08 | Winkk, Inc | Network packet tampering proofing |
| US20240073009A1 (en) * | 2018-07-16 | 2024-02-29 | Winkk, Inc | Registration of endpoints by authentication server when onboarding to network |
Also Published As
| Publication number | Publication date |
|---|---|
| BRPI0902036B1 (pt) | 2021-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101545879B1 (ko) | 이용자 엔티티에 네트워크 액세스를 제공하기 위한 방법 및 장치 | |
| JP6737910B2 (ja) | 鍵構成方法、セキュリティポリシー決定方法、及び装置 | |
| US7483411B2 (en) | Apparatus for public access mobility LAN and method of operation thereof | |
| US9392445B2 (en) | Handoff at an ad-hoc mobile service provider | |
| KR100464319B1 (ko) | 차세대 이동통신시스템용 네트워크 구조 및 이를 이용한데이타 통신방법 | |
| JP4768818B2 (ja) | 無線アクセスの方法、装置及びシステム | |
| CN103096314A (zh) | 一种实现反射QoS机制的方法、系统和PCRF | |
| CN108141743B (zh) | 处置通信交换的方法、网络、装备、系统、介质和装置 | |
| WO2008110099A1 (en) | Method, system and associated device for authenticating apparatus access to a communication network | |
| KR100486725B1 (ko) | 이동통신시스템에 있어서 네트워크 운용정보 관리방법 | |
| Machań et al. | On the fast BSS transition algorithms in the IEEE 802.11 r local area wireless networks | |
| Rajavelsamy et al. | Performance evaluation of VoIP over 3G-WLAN interworking system | |
| BRPI0902036A2 (pt) | sistema e método de autenticação para interconexão de redes sem fio heterogêneas | |
| JP2014036422A (ja) | 複数網間でのフィルタリングシステム及び方法 | |
| JP5820782B2 (ja) | フロー分配システム、フロー分配装置、フロー分配方法、及びプログラム | |
| Cheng et al. | Secure transparent Mobile IP for intelligent transportation systems | |
| WO2011109992A1 (zh) | 一种信息获取方法、装置及系统 | |
| CN103167469B (zh) | 多接入系统中获取用户优先级属性的方法及系统 | |
| Gondim et al. | DSMIP and PMIP for mobility management of heterogeneous access networks: Evaluation of authentication delay | |
| Manjaragi et al. | Survey of Security Models in Heterogeneous Wireless Networks | |
| Passas et al. | A new approach for fast handovers in mobile multimedia networks | |
| Janevski et al. | Loosely-coupled interworking of GSM/GPRS mobile networks and Wireless LANs | |
| Ergen | WiMAX Network Layer | |
| Keshariya et al. | Implementation of an Integrated Secure Mobile Wireless Architecture | |
| Zugenmaier et al. | Performance Analysis of a Secure Seamless Handover Mechanism in All-IP Networks. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B03A | Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette] | ||
| B03H | Publication of an application: rectification [chapter 3.8 patent gazette] |
Free format text: REFERENTE A RPI 2092 DE 08/02/2011, QUANTO AO ITEM (71). |
|
| B06F | Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette] | ||
| B15K | Others concerning applications: alteration of classification |
Free format text: A CLASSIFICACAO ANTERIOR ERA: H04W 12/06 Ipc: H04W 36/18 (2009.01), H04W 12/06 (2009.01) |
|
| B06V | Preliminary requirement: patent application procedure suspended [chapter 6.22 patent gazette] | ||
| B25D | Requested change of name of applicant approved |
Owner name: FUNDACAO UNIVERSIDADE DE BRASILIA (BR/DF) ; OI S.A. (BR/RJ) |
|
| B25D | Requested change of name of applicant approved |
Owner name: FUNDACAO UNIVERSIDADE DE BRASILIA (BR/DF) ; OI S.A. - EM RECUPERACAO JUDICIAL (BR/RJ) |
|
| B07A | Application suspended after technical examination (opinion) [chapter 7.1 patent gazette] | ||
| B09A | Decision: intention to grant [chapter 9.1 patent gazette] | ||
| B16A | Patent or certificate of addition of invention granted [chapter 16.1 patent gazette] |
Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 04/05/2021, OBSERVADAS AS CONDICOES LEGAIS. |
|
| B21F | Lapse acc. art. 78, item iv - on non-payment of the annual fees in time |
Free format text: REFERENTE A 16A ANUIDADE. |
|
| B24D | Patent annual fee: restoration after fee payment |