ES2241978T3 - Procedimiento, sistema y dispositivos para la autentificacion de usuarios en una red de telecomunicaciones. - Google Patents
Procedimiento, sistema y dispositivos para la autentificacion de usuarios en una red de telecomunicaciones.Info
- Publication number
- ES2241978T3 ES2241978T3 ES02405900T ES02405900T ES2241978T3 ES 2241978 T3 ES2241978 T3 ES 2241978T3 ES 02405900 T ES02405900 T ES 02405900T ES 02405900 T ES02405900 T ES 02405900T ES 2241978 T3 ES2241978 T3 ES 2241978T3
- Authority
- ES
- Spain
- Prior art keywords
- authentication
- access control
- control unit
- identification module
- vectors
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 17
- 239000013598 vector Substances 0.000 claims abstract description 142
- 230000004044 response Effects 0.000 claims abstract description 21
- 238000004891 communication Methods 0.000 claims description 29
- 230000005540 biological transmission Effects 0.000 claims description 12
- 238000003780 insertion Methods 0.000 claims description 4
- 230000037431 insertion Effects 0.000 claims description 4
- 230000006870 function Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000002028 premature Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/065—Continuous authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Procedimiento para la autentificación de usuarios en una red de telecomunicaciones (6), comprendiendo la generación de vectores de autentificación (S4) en una central de autentificación (4), la transmisión de los vectores de autentificación generados (S5) desde la central de autentificación (4) a una unidad de control de acceso (3) de la red de telecomunicaciones (6), la transmisión de una ficha de autentificación (S9), generada en base a uno de los vectores de autentificación y que comprende un número de secuencia de dicho vector de autentificación, desde la unidad de control de acceso (3) y a través de la red de telecomunicaciones (6) a un módulo de identificación (2) del usuario, la comprobación (S10) si el número de secuencia contenido en la ficha de autentificación recibida es mayor que un número de secuencia memorizado en el módulo de identificación (2), la generación de una respuesta de autentificación (S14) por el módulo de identificación (2) en base a la ficha de autentificación recibida, y la transmisión de la respuesta de autentificación generada (S15) desde el módulo de identificación (2) y a través de la red de telecomunicaciones (6) a la unidad de control de acceso (3).
Description
Procedimiento, sistema y dispositivos para la
autentificación de usuarios en una red de telecomunicaciones.
La presente invención se refiere a un
procedimiento, un sistema y dispositivos para la autentificación de
usuarios en una red de telecomunicaciones, particularmente en una
red de telefonía móvil. Más particularmente, la invención se
refiere a un procedimiento, un sistema, un módulo de
identificación, un dispositivo de control de acceso y una central
de autentificación para la autentificación de usuarios en una red
de telecomunicaciones, de acuerdo con los preámbulos de las
respectivas reivindicaciones independientes.
En las redes de telefonía móvil GSM (Global
System for Mobile Communication), particularmente difundidas en
Europa, son generados vectores de autentificación en centrales de
autentificación y transmitidos a unidades de control de acceso. Los
vectores de autentificación son generados cada vez para un
determinado usuario de la red de telefonía móvil en la central de
autentificación de su red doméstica. Cuando el usuario se registra,
por medio de su aparato terminal de comunicación y del consiguiente
módulo de identificación, en una red de telefonía móvil, por parte
del módulo de identificación es transmitida una identificación de
usuario, a través de la red de telefonía móvil, a una unidad de
control de acceso de la red de telefonía móvil, por ejemplo a una
unidad VLR (Visitor Location Register). En base de la identificación
de usuario recibida la unidad de control de acceso determina la red
doméstica del respectivo usuario y solicita a la central de
autentificación de dicha red doméstica vectores de autentificación
para el usuario. La central de autentificación transmite un juego
de varios vectores de autentificación a la unidad de control de
acceso. Para la autentificación del usuario la unidad de control de
acceso transmite cada vez una ficha de autentificación, que
comprende partes de uno de los vectores de autentificación del
juego recibido, al módulo de identificación del usuario. En base a
la ficha de autentificación recibida el módulo de identificación
genera, con ayuda de algoritmos criptográficos, una respuesta de
autentificación y la transmite, a través de la red de telefonía
móvil, a la unidad de control de acceso. Cuando el usuario desea
volverse a registrar, a través de la unidad de control de acceso,
en la red de telefonía móvil visitada y la unidad de control de
acceso ha utilizado ya todos los vectores de autentificación de
entre el juego puesto a disposición para el usuario, la misma
solicita a la central de autentificación nuevos vectores de
autentificación.
En las redes de telefonía móvil de tercera
generación, por ejemplo en redes de telefonía móvil UMTS (Universal
Mobile Telephone System), los vectores de autentificación se dotan
adicionalmente, para aumentar la seguridad, de números de
secuencia, que por tanto están también contenidos en las fichas de
autentificación generadas a partir de los mismos. Para los usuarios
son preparados, en las centrales de autentificación de tercera
generación, vectores de autentificación con números de secuencia
que comprenden cada vez al menos una parte de secuencia con valor
creciente. La parte de secuencia es determinada mediante un
contador que está asociado a la identificación de usuario del
respectivo usuario, y resulta mediante simple incremento de la
parte de secuencia del último número de secuencia suministrado para
la respectiva identificación de usuario. Caso de que la parte de
secuencia del último número de secuencia para la respectiva
identificación de usuario sea por ejemplo 8, y caso de que en un
juego estén contenidos tres vectores de autentificación, resultan
las partes de secuencia 9, 10 y 11 para el juego con los
siguientes tres vectores de autentificación. A fin de impedir que
los módulos de identificación resulten engañados por fichas de
autentificación ya empleadas, que sean transmitidas a los módulos
de identificación por partes no autorizadas, se comprueba en los
módulos de identificación de tercera generación la novedad de las
fichas de autentificación o de los vectores de autentificación
empleados para ello, respectivamente, en base a los números de
secuencia. Los módulos de identificación de tercera generación,
denominados módulos USIM (Universal Subscriber Identity Module),
comprueban cada vez si el número de secuencia contenido en una
ficha de autentificación recibida es mayor que un número de
secuencia memorizado en el módulo de identificación a raíz de una
anterior autentificación. Si el nuevo número de secuencia no es
mayor que un número de secuencia memorizado más antiguo, los módulos
de identificación interrumpen el ulterior tratamiento de la ficha
de autentificación y transmiten un aviso de error a la unidad de
control de acceso.
Aunque el equipamiento de los vectores de
autentificación y, por consiguiente, de las fichas de
autentificación generadas a partir de los mismos con números de
secuencia y la comprobación de la novedad de fichas de
autentificación o de vectores de autentificación, respectivamente,
en base a estos números de secuencia aumentan la seguridad de las
redes de telefonía móvil de tercera generación con respecto a
anteriores redes de telefonía móvil en cuanto a repeticiones no
autorizadas de fichas de autentificación, los mismos dan también
lugar a un problema operativo. En efecto, un problema operativo se
produce cuando un usuario desea registrarse con su módulo de
identificación en una red de telefonía móvil visitada de tercera
generación, cuando la respectiva unidad de control de acceso no
dispone de vectores de autentificación que no hayan sido todavía
utilizados, y cuando la respectiva unidad de control de acceso no
puede obtener nuevos vectores de autentificación de la central de
autentificación de la red doméstica del usuario, por ejemplo porque
la comunicación de datos entre la unidad de control de acceso y la
central de autentificación y/o la propia central de autentificación
estén averiadas. En una tal situación el usuario no puede
registrarse con su módulo de identificación de tercera generación
en la red de telefonía móvil visitada, ya que la unidad de control
de acceso no puede transmitir al módulo de identificación una nueva
ficha de autentificación que superase la comprobación de novedad por
parte del módulo de identificación. En otras palabras, si la
comunicación de datos entre la unidad de control de acceso de una
primera red de telefonía móvil y la central de autentificación de
una segunda red de telefonía móvil está averiada, ya sea por una
interrupción de comunicación, por sobrecarga del tráfico de datos o
por una avería en la central de autentificación, los usuarios de la
segunda red de telefonía móvil tienen que contar con que no podrán
registrarse en la primera red de telefonía móvil y, por
consiguiente, no podrán comunicarse por medio de sus aparatos
terminales de comunicación.
En la EP-A-1 209
935 se describe una autentificación de usuarios en redes de segunda
generación y tercera generación basada en la 3GPP TS 33.102: al
registrase un usuario, mediante su aparato terminal y el
consiguiente módulo de identificación (USIM), en una red de
telefonía móvil es solicitado a la central de autentificación de la
red doméstica un juego de vectores de autentificación utilizables
una sola vez y es memorizado en la unidad de control de acceso
(VLR/SGSN) de la red de servicio. Se menciona, en general, que los
vectores de autentificación pueden reutilizarse, aunque sin entrar
en detalles al respecto.
Constituye una finalidad de la presente invención
proponer un nuevo procedimiento, un nuevo sistema y nuevos
dispositivos para la autentificación de usuarios en una red de
telecomunicaciones, particularmente en una red de telefonía móvil,
que no adolezcan de los inconvenientes del estado de la
técnica.
De acuerdo con la presente invención, estas
finalidades se consiguen particularmente mediante los elementos de
las reivindicaciones independientes. Ulteriores formas de
realización ventajosas se desprenden, además, de las
reivindicaciones dependientes y de la descripción.
Para la autentificación de usuarios en una red de
telecomunicaciones, particularmente en una red de telefonía móvil,
por ejemplo una red de telefonía móvil UMTS, son generados en una
central de autentificación, por ejemplo una unidad AuC
(Authentication Centre) para una red de telefonía móvil UMTS,
vectores de autentificación y son transmitidos por la central de
autentificación a una unidad de control de acceso de la red de
telecomunicaciones, por ejemplo a una unidad VLR o SGSN (Serving
GPRS Support Node, GPRS - General Packet Radio Service). En la
unidad de control de acceso es generada, a partir de uno de los
vectores de autentificación, una ficha de autentificación, la cual
comprende un número de secuencia de dicho vector de autentificación.
La ficha de autentificación generada es transmitida por la unidad
de control de acceso, a través de la red de telecomunicaciones, a
un módulo de identificación del usuario, por ejemplo a un módulo
USIM para su empleo en una red de telefonía móvil UMTS. La novedad
de la ficha de autentificación recibida es comprobada por el módulo
de identificación, comprobándose si un número de secuencia contenido
en la ficha de autentificación es mayor que un número de secuencia
memorizado en el módulo de identificación. En base a la ficha de
autentificación recibida es generada, por el módulo de
identificación, una respuesta de autentificación y es transmitida
por el módulo de identificación, a través de la red de
telecomunicaciones, a la unidad de control de acceso.
Las finalidades arriba citadas se consiguen
mediante la presente invención particularmente por el hecho de que
por la central de autentificación es insertada una marca de
repetición en uno de los vectores de autentificación, de que la
ficha de autentificación es generada por la unidad de control de
acceso a partir de partes del vector de autentificación que
comprenden la marca de repetición, de que por parte del módulo de
identificación es comprobado si en la ficha de autentificación
recibida está contenida una marca de repetición, y de que la
respuesta de autentificación es en su caso generada aunque el
número de secuencia contenido en la ficha de autentificación
recibida no sea mayor que el arriba mencionado número de secuencia
memorizado en el módulo de identificación.
La inserción de una marca de repetición en un
vector de autentificación por parte de la central de
autentificación tiene la ventaja de que la central de
autentificación puede determinar si un vector de autentificación
puede emplearse repetidamente para la generación de una ficha de
autentificación o si una ficha de autentificación, que haya sido
generada a partir de un determinado vector de autentificación,
puede ser transmitida repetidamente al módulo de identificación. La
central de autentificación puede por tanto adaptar dinámicamente a
la situación operativa la admisibilidad del múltiple empleo de
vectores de autentificación o de fichas de autentificación,
respectivamente. La admisibilidad del múltiple empleo de vectores
de autentificación o de fichas de autentificación, respectivamente,
puede por ejemplo adaptarse individualmente a la calidad de
comunicación en las diversas redes de telecomunicaciones y/o al
estado operativo de la comunicación de datos entre la central de
autentificación y la unidad de control de acceso de una determinada
red de telecomunicaciones. Para la central de autentificación
resulta posible gobernar de forma centralizada para qué fichas de
autentificación se excluya la comprobación de novedad en los módulos
de identificación. Dado que los vectores de autentificación,
incluyendo una eventualmente insertada marca de repetición, son
generados y transmitidos por la central de autentificación de forma
codificada, queda también garantizada la seguridad extremo a
extremo de la marca de repetición entre la central de
autentificación y el módulo de identificación. La marca de
repetición permite a las unidades de control de acceso reconocer
qué vectores de autentificación pueden emplearse de forma repetida,
de modo que fichas de autentificación basadas en los mismos
resulten aceptadas por los módulos de identificación aunque por
ejemplo la comunicación de datos a la respectiva central de
autentificación esté averiada. Merced a la solución propuesta puede
mantenerse la seguridad adicional, basada en los números de
secuencia, de los vectores de autentificación o de las fichas de
autentificación, respectivamente, en las redes de telefonía móvil
de tercera generación, sin por ello tener que aguantar fallos de
comunicación para un usuario cuando una unidad de control de acceso
de una red de telefonía móvil visitada no pueda solicitar nuevos
vectores de autentificación a la central de autentificación de la
red doméstica de dicho usuario.
De acuerdo con una variante de realización
preferida, por parte de la unidad de control de acceso es
comprobado si en el vector de autentificación, que haya sido
empleado como último para la generación de una ficha de
autentificación transmitida al módulo de identificación, está
contenida una marca de repetición, y la unidad de control de acceso
transmite en su caso la ficha de utentificación generada a partir
de dicho último vector de autentificación de nuevo a través de la
red de telecomunicaciones al módulo de identificación. Mediante la
comprobación de la marca de repetición en el último vector de
autentificación empleado para la generación de una ficha de
autentificación, antes de la reiterada transmisión de la respectiva
ficha de autentificación, puede impedirse que fichas de
autentificación sean de nuevo transmitidas al módulo de
identificación cuando allí de todos modos no sean aceptadas por
falta de novedad. De esta manera puede reducirse innecesario
tráfico de señalización en la red de telecomunicaciones.
El número de secuencia contenido en la ficha de
autentificación recibida es memorizado en el módulo de
identificación cuando sea mayor que un número de secuencia
memorizado en el módulo de identificación, el cual haya sido
recibido previamente de la unidad de control de acceso. Si en la
ficha de autentificación está contenida una marca de repetición,
por parte del módulo de identificación es comprobado,
preferentemente antes de la generación de la respuesta de
autentificación, si el número de secuencia contenido en la ficha de
autentificación es igual al mayor número de secuencia memorizado en
el módulo de identificación, que haya sido previamente recibido de
la unidad de control de acceso. De este modo queda garantizado que
una ficha de autentificación empleada repetidamente sea aceptada en
el módulo de identificación únicamente cuando corresponda a la
ficha de autentificación recibida inmediatamente antes. Es decir
que la admisibilidad de la reutilización de una ficha de
utentificación o de un vector de autentificación, respectivamente,
queda limitada a la reutilización inmediata, lo cual es suficiente
para puentear las descritas dificultades operativas temporales. De
esta manera no es posible, para una parte no autorizada, engañar a
módulos de identificación con posterioridad mediante fichas de
autentificación que contengan una marca de repetición.
La central de autentificación transmite cada vez
un juego con varios vectores de autentificación a la unidad de
control de acceso. De acuerdo con una variante de realización
preferida, la central de autentificación inserta la marca de
repetición en el último vector de autentificación del juego, que sea
empleado por la unidad de control de acceso como último del juego
para la generación de una ficha de autentificación. En el arriba
citado ejemplo de un juego de tres vectores de autentificación, que
contengan los números de secuencia con las partes de secuencia 9,
10 y 11, es insertada la marca de repetición, según esta variante
de realización, en el vector de autentificación con la parte de
secuencia 11, el cual será empleado por una unidad de control de
acceso como último para la generación de una ficha de
autentificación que deba transmitirse al módulo de identificación.
De este modo queda limitada la admisibilidad de reutilización de
vectores de autentificación cada vez al último vector de
autentificación en un juego, el cual presenta el número de secuencia
más alto. Mientras una unidad de control de acceso disponga de
vectores de autentificación no empleados para un determinado
usuario, no resulta por tanto admisible para la unidad de control
de acceso transmitir repetidamente al módulo de identificación de
este usuario una ficha de autentificación generada a partir de un
vector de autentificación, ya que estas fichas de autentificación
prematuramente repetidas no serían aceptadas por el módulo de
identificación debido a la falta de marca de repetición.
Merced a la limitación de la admisibilidad de
reutilización de vectores de autentificación para la generación de
fichas de autentificación o de la reiterada transmisión de una
ficha de autentificación, respectivamente, se reduce el riesgo de
que los módulos de identificación sean engañados fraudulentamente
por fichas de autentificación repetidas.
De acuerdo con una variante de realización, la
central de autentificación transmite un juego de varios vectores de
autentificación a la unidad de control de acceso, la unidad de
control de acceso genera respectivas fichas de autentificación a
partir de un vector de autentificación nuevo, todavía no empleado,
del juego, y la unidad de control de acceso solicita a la central de
autentificación nuevos vectores de autentificación antes de que
hayan sido ya empleados todos los vectores de autentificación en el
juego para la generación de fichas de autentificación, por ejemplo
cuando ya solamente quede un vector de autentificación no empleado
en el juego. Merced a la solicitud prematura de vectores de
autentificación puede prolongarse el período de tiempo hasta el
instante en que se requieran nuevos vectores de autentificación en
la unidad de control de acceso, con lo que aumenta la probabilidad
de que vectores de autentificación sean solicitados exitosamente a
la central de autentificación y recibidos en la unidad de control
de acceso, con lo que puede reducirse el número de vectores de
autentificación o fichas de autentificación, respectivamente,
empleados de forma repetida.
A continuación se describirá una forma de
realización de la presente invención mediante un ejemplo de
realización y con relación a los dibujos adjuntos, en los
cuales:
La Fig. 1 muestra un diagrama de bloques que
ilustra esquemáticamente un aparato terminal de comunicación con un
módulo de identificación, los cuales están conectados con una red
de telecomunicaciones que comprende un dispositivo de control de
acceso y una central de autentificación; y
la Fig. 2 muestra un diagrama de tiempo que
ilustra esquemáticamente el desarrollo del procedimiento en base
del intercambio de datos entre un módulo de identificación
vinculado con un aparato terminal de comunicación, una unidad de
control de acceso y una central de autentificación.
En las Figs. 1 y 2 se designan componentes
iguales, correspondientes entre sí, mediante iguales números de
referencia.
En la Fig. 1 se designa, con el número de
referencia 6, una red de telecomunicaciones 6, por ejemplo una red
de telefonía móvil, por ejemplo una red de telefonía móvil GSM o
UMTS o una red WLAN (Wireless Local Area Network), o una red fija,
por ejemplo una red ISDN (Integrated Services Digital Network), una
red IP (Internet Protocol), una red LAN (Local Area Network) o una
red CATV (Cable Televisión). La red de telecomunicaciones 6 es
preferentemente una red de telefonía móvil UMTS.
Tal como se ilustra esquemáticamente en la Fig.
1, la red de telecomunicaciones 6 comprende una unidad de control
de acceso 3 y una central de autentificación 4, que comprenden cada
una uno o varios ordenadores y son conectables entre sí para el
intercambio de datos. La unidad de control de acceso 3 y la central
de autentificación 4 comprenden sendos módulos funcionales 31, 41
para la ejecución de las funciones que se describirán más adelante
con relación a la Fig. 2. Los módulos funcionales 31, 41 están
realizados preferentemente como funciones de software programadas,
que gobiernan los procesadores de la unidad de control de acceso 3
y de la central de autentificación 4 de tal modo que ejecuten las
funciones que se describirán más adelante con relación a la Fig. 2.
La unidad de control de acceso 3 es preferentemente una unidad VLR
o una unidad SGSN para una red de telefonía móvil UMTS, o una
correspondiente unidad en una red WLAN. La central de
autentificación 4 es preferentemente una unidad AuC (Authentication
Centre) para una red de telefonía móvil UMTS.
Con el número de referencia 1 se designa un
aparato terminal de comunicación, apto para la comunicación a
través de la red de telecomunicaciones 6. El aparato terminal de
comunicación 1 es preferentemente un aparato terminal de
comunicación móvil para la comunicación a través de una red de
telefonía móvil UMTS, por ejemplo un teléfono móvil o un ordenador
portátil o PDA (Personal Digital Assistant) con un adecuado módulo
de comunicación.
Con el número de referencia 2 se designa un
módulo de identificación, vinculado de forma separable con el
aparato terminal de comunicación 1. Resultará comprensible para las
personas entendidas en la materia que el módulo de identificación 2
puede también estar integrado de forma fija en el aparato terminal
de comunicación 1. El módulo de identificación 2 comprende una
memoria de datos y programas, un módulo funcional 21 memorizado con
funciones de software programadas, así como un procesador que es
gobernado por las funciones de software programadas de tal modo que
se ejecuten funciones que se describirán más adelante con relación
a la Fig. 2. El módulo de identificación 2 comprende una
identificación de usuario memorizada y está realizado
preferentemente como tarjeta chip. La identificación de usuario es
preferentemente una IMSI (International Mobile Subscriber
Identity), que identifica el usuario y la red doméstica de éste y,
con ello, la central de autentificación de dicha red doméstica. El
módulo de identificación 2 y el aparato terminal de comunicación 1
comprenden un interfase de aparato inalámbrico o con contactos para
la conexión separable del módulo de identificación 2 con el aparato
terminal de comunicación 1. El interfase de aparato permite el
intercambio de datos entre el módulo de identificación 2 y el
aparato terminal de comunicación 1, de modo que mediante el aparato
terminal de comunicación 1 pueden intercambiarse datos entre el
módulo de identificación 2 y unidades en la red de
telecomunicaciones 6. El módulo de identificación 2 es
preferentemente un módulo USIM para redes de telefonía móvil
UMTS.
Resultará comprensible para las personas
entendidas en la materia que los módulos funcionales 31, 41 y 21,
arriba citados en relación con la unidad de control de acceso 3, la
central de autentificación 4 y el módulo de identificación 2,
pueden también estar realizados total o parcialmente a través de
hardware.
En los siguientes párrafos se describirán, con
relación a la Fig. 2, las funciones ejecutadas por el módulo de
identificación 2, la unidad de control de acceso 3 y la central de
autentificación 4 (o por los módulos funcionales 21, 31, 41,
respectivamente), así como el desarrollo del procedimiento para la
autentificación de usuarios en la red de telecomunicaciones 6.
En el paso S0 es transmitida, por la unidad de
control de acceso 3, una solicitud de identificación, a través de
la red de telecomunicaciones 6, al módulo de identificación 2
vinculado con el aparato terminal de comunicación 1.
En el paso S1 es transmitida la identificación de
usuario memorizada en el módulo de identificación 2, a través de la
red de telecomunicaciones 6, a la unidad de control de acceso
3.
En el paso S2 se comprueba en la unidad de
control de acceso 3 si a la identificación de usuario recibida está
asociado un juego (Array) de vectores de autentificación y si en
ellos está memorizado un vector de autentificación que no esté
todavía señalizado como empleado (o borrado). Caso de que a la
identificación de usuario recibida esté asociado un vector de
autentificación todavía no empleado, la unidad de control de acceso
3 ejecutará el paso S8. De lo contrario, la unidad de control de
acceso 3 ejecutará el paso S3. De acuerdo con una variante de
realización, la unidad de control de acceso 3 ejecuta el paso S3
cuando ya solamente queda un último vector de autentificación, no
empleado, en el respectivo juego.
En el paso S3 la unidad de control de acceso 3
solicita a la central de autentificación 4 en la red doméstica del
usuario, que queda determinada por la identificación de usuario
recibida en el paso S1, un nuevo juego de vectores de
autentificación para la identificación de usuario recibida en el
paso S1.
En el paso S4 la unidad de autentificación 4
determina un nuevo juego de vectores de autentificación, con
números de secuencia crecientes, para la identificación de usuario
recibida de la unidad de control de acceso 3 en el paso S3.
Concretamente, los números de secuencia son determinados de tal
modo que comprendan cada uno al menos una parte de secuencia que
sea definida mediante un contador asociado a la respectiva
identificación de usuario y resulte mediante simple incremento de
la parte de secuencia del último número de secuencia suministrado
para la respectiva identificación de usuario. La unidad de
autentificación 4 genera un juego de vectores de autentificación
que comprenden cada uno, uno de los respectivos números de
secuencia determinados. En el último vector de autentificación del
juego, que presenta el número de secuencia más alto y es por tanto
empleado como último por una unidad de control de acceso, es
insertada por la central de autentificación 4, en el paso S4', una
marca de repetición. Para la marca de repetición basta por ejemplo
un único Bit, que es colocado en un punto definido dentro del
vector de autentificación. La marca de repetición puede colocarse,
por ejemplo, dentro de un campo de datos AMF (Authentication
Management Field) o de un número aleatorio (RAND) del vector de
autentificación. La inserción de la marca de repetición puede
realizarse en el paso S4' en función de la red de
telecomunicaciones o de la unidad de control de acceso 3,
respectivamente, de las que haya sido recibida la solicitud de
vectores de autentificación. A tal fin, la central de
autentificación 4 lleva una tabla 42 con identificaciones de red, a
las que están asociadas respectivas indicaciones sobre la calidad de
comunicación en la respectiva red de telecomunicaciones e
indicaciones de calidad sobre la comunicación de datos a través de
la conexión 34 entre la respectiva unidad de control de acceso 3 y
la central de autentificación 4. Las indicaciones de calidad pueden
también comprender, por ejemplo, indicaciones para distintos
períodos de tiempo. La inserción de marcas de repetición en el paso
S4' puede omitirse si las indicaciones de calidad para la
respectiva unidad de control de acceso 3 ó la correspondiente red
de telecomunicaciones, respectivamente, por ejemplo en el respectivo
período de tiempo, sobrepasan un valor mínimo definido.
En el paso S5 la central de autentificación 4
transmite el juego de vectores de autentificación, generado en el
paso S4, a la unidad de control de acceso 3 para su
memorización.
En el paso S6 se comprueba en la unidad de
control de acceso 3 si la solicitud de vectores de autentificación,
transmitida en el paso S3, ha sido contestada exitosamente por la
central de autentificación 4. Caso de que la comunicación de datos a
través de la conexión 34, tal como se indica en la Fig. 2 mediante
las flechas A, B, esté averiada, la unidad de control de acceso 3
ejecutará el paso S7. Caso de que en el paso S5 hayan sido
recibidos exitosamente vectores de autentificación, la unidad de
control de acceso 3 ejecutará el paso S8.
En el paso S7 se comprueba en la unidad de
control de acceso 3 si a la identificación de usuario, recibida en
el paso S1, está asociado un juego (Array) de vectores de
autentificación ya empleados y si el último vector de
autentificación memorizado en el mismo, con el número de secuencia
más alto, comprende una marca de repetición. Caso de que este
último vector de autentificación comprenda una marca de repetición,
la unidad de control de acceso 3 lo determina como vector de
autentificación a emplear de nuevo y ejecuta el paso S8'. De lo
contrario, la unidad de control de acceso 3 intenta solicitar otra
vez de la central de autentificación 4 nuevos vectores de
autentificación y ejecuta el paso S3. Al cabo de un número definido
de intentos infructuosos, es transmitido por la unidad de control de
acceso 3 al módulo de identificación 2 un aviso de error con una
correspondiente observación.
En el paso S8 la unidad de control de acceso 3
determina el vector de autentificación con el número de secuencia
más bajo, todavía no señalizado como empleado, que esté asociado a
la identificación de usuario recibida en el paso S1.
En el paso S8' la unidad de control de acceso 3
genera una ficha de autentificación en base a partes definidas del
vector de autentificación determinado en el paso S7 ó en el paso
S8, respectivamente. Para la generación de la ficha de
autentificación se emplean las siguientes partes contenidas en el
vector de autentificación: el número de secuencia, el número
aleatorio y el campo de datos AMF.
En el paso S9 la unidad de control de acceso 3
transmite al módulo de identificación 2, a través de la red de
telecomunicaciones 6, una solicitud de autentificación con la ficha
de autentificación generada en el paso S8'.
En el paso S10 es comprobado por el módulo de
identificación 2 si el número de secuencia de la ficha de
autentificación recibida en el paso S9 es mayor que ulteriores
números de secuencia memorizados en el módulo de identificación 2,
recibidos previamente de la unidad de control de acceso 3. Números
de secuencia no basados en tiempo (non-time based),
que hayan sido previamente recibidos en el módulo de identificación
2 de la misma unidad de control de acceso 3, comprenden un mismo
valor de índice que está contenido en el número de secuencia
adicionalmente a la parte de secuencia. A diferencia de los números
de secuencia no basados en tiempo, preferentemente empleados,
números de secuencia basados en tiempo
(time-based) comprenden, adicionalmente a la parte de secuencia, una parte de tiempo con un sello de tiempo. Caso de que el número de secuencia recibido en el paso S9 sea mayor que los números de secuencia previamente recibidos de la unidad de control de acceso 3, el número de secuencia recibido en el paso S9 es memorizado en el módulo de identificación 2 en el paso S11, y el módulo de identificación 2 ejecuta el paso S14, mientras que de lo contrario es ejecutado por el módulo de identificación 2 el paso S12.
(time-based) comprenden, adicionalmente a la parte de secuencia, una parte de tiempo con un sello de tiempo. Caso de que el número de secuencia recibido en el paso S9 sea mayor que los números de secuencia previamente recibidos de la unidad de control de acceso 3, el número de secuencia recibido en el paso S9 es memorizado en el módulo de identificación 2 en el paso S11, y el módulo de identificación 2 ejecuta el paso S14, mientras que de lo contrario es ejecutado por el módulo de identificación 2 el paso S12.
En el paso S12 es comprobado por el módulo de
identificación 2 si la ficha de autentificación recibida en el paso
S9 contiene una marca de repetición. Caso de que la ficha de
autentificación recibida en el paso S9 contenga una marca de
repetición, el módulo de identificación 2 ejecutará el paso S13,
mientras que de lo contrario será transmitido por el módulo de
identificación 2 a la unidad de control de acceso 3 un aviso de
error, que carece de importancia para la presente invención.
En el paso S13 es comprobado por el módulo de
identificación 2 si el número de secuencia de la ficha de
autentificación recibida en el paso S9 es igual al mayor de los
números de secuencia memorizados en el módulo de identificación 2,
que hayan sido previamente recibidos de la unidad de control de
acceso 3. Caso de que el número de secuencia recibido en el paso S9
sea igual al mayor de los números de secuencia previamente
recibidos de la unidad de control de acceso 3, el módulo de
identificación 2 ejecutará el paso S14, mientras que de lo
contrario será transmitido por el módulo de identificación 2 a la
unidad de control de acceso 3 un aviso de error, que carece de
importancia para la presente invención.
Resultará evidente para las personas entendidas
en la materia que la sucesión de los pasos S12 y S13 puede también
realizarse de forma inversa.
En el paso S14 el módulo de identificación 2
genera, en base a la ficha de autentificación recibida en el paso
S9, una respuesta de autentificación.
En el paso S15 el módulo de identificación 2
transmite a la unidad de control de acceso 3, a través de la red de
telecomunicaciones 6, la respuesta de autentificación generada en
el paso S14.
En el paso S16 la unidad de control de acceso 3
señaliza el vector de autentificación, empleado para la ficha de
autentificación transmitida en el paso S9, como empleado, caso de
que no esté ya señalizado como empleado.
Se hace constar en este lugar que ulteriores
mecanismos del procedimiento de autentificación se describen
detalladamente en el documento técnico "Technical Specification:
3rd Generation Partnership Project; Technical Specification Group
Services and System Aspects; 3G Security; Security Architecture";
edición 1999; 3GPP TS 33.102 V3.12.0, junio 2002; capítulos C.2 y
C.3.2; obtenible de: GPP Support Office Address, 650 Route des
Lucioles - Sophia Antipolis, Valborne, Francia. Particularmente se
describen en dicho documente técnico la generación de números de
secuencia, los mecanismos criptográficos empleados para la
autentificación y mecanismos de protección contra un rebose de
números de secuencia, un denominado Wrap Around, en lo cual no se
ha entrado en la presente descripción.
Claims (24)
1. Procedimiento para la autentificación de
usuarios en una red de telecomunicaciones (6), comprendiendo la
generación de vectores de autentificación (S4) en una central de
autentificación (4), la transmisión de los vectores de
autentificación generados (S5) desde la central de autentificación
(4) a una unidad de control de acceso (3) de la red de
telecomunicaciones (6), la transmisión de una ficha de
autentificación (S9), generada en base a uno de los vectores de
autentificación y que comprende un número de secuencia de dicho
vector de autentificación, desde la unidad de control de acceso (3)
y a través de la red de telecomunicaciones (6) a un módulo de
identificación (2) del usuario, la comprobación (S10) si el número
de secuencia contenido en la ficha de autentificación recibida es
mayor que un número de secuencia memorizado en el módulo de
identificación (2), la generación de una respuesta de
autentificación (S14) por el módulo de identificación (2) en base a
la ficha de autentificación recibida, y la transmisión de la
respuesta de autentificación generada (S15) desde el módulo de
identificación (2) y a través de la red de telecomunicaciones (6) a
la unidad de control de acceso (3), caracterizado por la
- Inserción de una marca de repetición (S4') por
la central de autentificación (4) en uno de los vectores de
autentificación,
- Generación de la ficha de autentificación (S8')
por la unidad de control de acceso (3) a partir de partes del
vector de autentificación que comprenden la marca de repetición,
y
- Comprobación (S12) por el módulo de
identificación (2) si en la ficha de autentificación recibida está
contenida una marca de repetición, y en su caso generación de la
respuesta de autentificación (S14), aunque el número de secuencia
contenido en la ficha de autentificación recibida no sea mayor que
el citado número de secuencia memorizado en el módulo de
identificación (2).
2. Procedimiento según la reivindicación 1,
caracterizado porque por la unidad de control de acceso (3)
es comprobado (S7) si en el vector de autentificación, que haya
sido empleado como último para la generación de una ficha de
autentificación transmitida al módulo de identificación (2), está
contenida una marca de repetición, y porque la unidad de control de
acceso (3) vuelve a transmitir en su caso (S9) al módulo de
identificación (2), a través de la red de telecomunicaciones (6),
la ficha de autentificación generada a partir de dicho último
vector de autentificación.
3. Procedimiento según una de las
reivindicaciones 1 ó 2, caracterizado porque el número de
secuencia contenido en la ficha de autentificación recibida es
memorizado (S11) en el módulo de identificación (2) cuando sea mayor
que un número de secuencia memorizado en el módulo de
identificación (2), que haya sido recibido previamente de la unidad
de control de acceso (3), y porque por el módulo de identificación
(2) es comprobado (S13), antes de la generación de la respuesta de
autentificación, si el número de secuencia contenido en la ficha de
autentificación es igual al mayor número de secuencia memorizado en
el módulo de identificación (2), que haya sido recibido previamente
de la unidad de control de acceso (3), cuando en la ficha de
autentificación está contenida una marca de repetición.
4. Procedimiento según una de las
reivindicaciones 1 a 3, caracterizado porque la central de
autentificación (4) transmite (S5) un juego de varios vectores de
autentificación a la unidad de control de acceso (3), y porque la
central de autentificación (4) inserta (S4') la marca de repetición
en el último vector de autentificación del juego, que sea empleado
por la unidad de control de acceso (3) como último del juego para
la generación de una ficha de autentificación.
5. Procedimiento según una de las
reivindicaciones 1 a 4, caracterizado porque la central de
autentificación (4) transmite (S5) un juego de varios vectores de
autentificación a la unidad de control de acceso (3), porque la
unidad de control de acceso (3) genera (S8) cada vez una ficha de
autentificación a partir de un nuevo vector de autentificación,
todavía no empleado, del juego, y porque la unidad de control de
acceso (3) solicita (S3) a la central de autentificación (4) nuevos
vectores de autentificación cuando todos los vectores de
autentificación en el juego hayan sido ya empleados para la
generación de fichas de autentificación, comprobando (S7) la unidad
de control de acceso (3) si en el vector de autentificación, que
haya sido empleado como último del juego para la generación de una
ficha de autentificación, está contenida una marca de repetición, y
volviendo a transmitir en su caso (S9) al módulo de identificación
(2) la ficha de autentificación generada a partir de dicho último
vector de autentificación cuando la comunicación de datos con la
central de autentificación (4) y/o la propia central de
autentificación (4) estén averiadas.
6. Procedimiento según una de las
reivindicaciones 1 a 5, caracterizado porque la central de
autentificación (4) transmite (S5) un juego de varios vectores de
autentificación a la unidad de control de acceso (3), porque la
unidad de control de acceso (3) genera (S8) cada vez una ficha de
autentificación a partir de un nuevo vector de autentificación,
todavía no empleado, del juego, y porque la unidad de control de
acceso (3) solicita (S3) a la central de autentificación (4) nuevos
vectores de autentificación antes de que hayan sido ya empleados
para la generación de fichas de autentificación todos los vectores
de autentificación en el juego.
7. Sistema para la autentificación de usuarios en
una red de telecomunicaciones (6), comprendiendo al menos una
central de autentificación (4) para la generación de vectores de
autentificación para la autentificación de usuarios en una red de
telecomunicaciones (6) y para la transmisión de los vectores de
autentificación generados a unidades de control de acceso (3), al
menos una unidad de control de acceso (3), vinculable con la red de
telecomunicaciones (6), para la solicitud y recepción de vectores
de autentificación de la central de autentificación (4), para la
generación de fichas de autentificación a partir de un respectivo
vector de autentificación, y para la transmisión de una ficha de
autentificación generada, a través de la red de telecomunicaciones
(6), a un módulo de identificación (2) de un usuario, al menos un
módulo de identificación (2), que comprenda medios para la
recepción, a través de la red de telecomunicaciones (6), de una
ficha de autentificación de la unidad de control de acceso (3),
medios para la comprobación si un número de secuencia contenido en
la ficha de autentificación recibida es mayor que un número de
secuencia memorizado en el módulo de identificación (2), medios para
la generación de una respuesta de autentificación en base a la
ficha de autentificación recibida, y medios para la transmisión de
la respuesta de autentificación generada, a través de la red de
telecomunicaciones (6), a la unidad de control de acceso (3),
caracterizado
porque la central de autentificación (4)
comprende medios para la inserción de una marca de repetición en
uno de los vectores de autentificación,
porque la unidad de control de acceso (3)
comprende medios para la generación de una ficha de autentificación
(S7, S8) a partir de partes de un vector de autentificación, que
comprendan la marca de repetición, y
porque el módulo de identificación (2) comprende
medios para la comprobación si en la ficha de autentificación
recibida está contenida una marca de repetición, y para la
generación de la respuesta de autentificación cuando en la ficha de
autentificación recibida esté contenida una marca de repetición,
incluso aunque el número de secuencia contenido en la ficha de
autentificación recibida no sea mayor que el citado número de
secuencia memorizado en el módulo de identificación (2).
8. Sistema según la reivindicación 7,
caracterizado porque la unidad de control de acceso (3)
comprende medios para la comprobación si en el vector de
autentificación, que haya sido empleado como último para la
generación de una ficha de autentificación transmitida al módulo de
identificación (2), está contenida una marca de repetición, y para
la reiterada transmisión al módulo de identificación (2), a través
de la red de telecomunicaciones (6), de la ficha de autentificación
generada a partir de dicho último vector de autentificación, si en
el último vector de autentificación está contenida una marca de
repetición.
9. Sistema según una de las reivindicaciones 7 u
8, caracterizado porque el módulo de identificación (2)
comprende medios para la memorización del número de secuencia
contenido en la ficha de autentificación recibida, cuando éste sea
mayor que un número de secuencia memorizado en el módulo de
identificación (2), que haya sido recibido previamente de la unidad
de control de acceso (3), y porque el módulo de identificación (2)
comprende medios para la comprobación, antes de la generación de la
respuesta de autentificación, si el número de secuencia contenido
en la ficha de autentificación es igual al mayor número de
secuencia memorizado en el módulo de identificación (2), que haya
sido recibido previamente de la unidad de control de acceso (3),
cuando en la ficha de autentificación está contenida una marca de
repetición.
10. Sistema según una de las reivindicaciones 7 a
9, caracterizado porque la central de autentificación (4)
comprende medios para la generación de juegos con varios vectores
de autentificación, y porque la central de autentificación (4)
comprende medios para la inserción de la marca de repetición en el
último vector de autentificación del juego, que sea empleado por la
unidad de control de acceso (3) como último del juego para la
generación de una ficha de autentificación.
11. Sistema según una de las reivindicaciones 7 a
10, caracterizado porque la central de autentificación (4)
comprende medios para la generación de juegos con varios vectores
de autentificación, porque la unidad de control de acceso (3)
comprende medios para la generación de una ficha de autentificación
a partir de un nuevo vector de autentificación, todavía no
empleado, de entre un juego recibido de la central de
autentificación (4), y porque la unidad de control de acceso (3)
comprende medios para la solicitud de nuevos vectores de
autentificación a la central de autentificación (4), cuando todos
los vectores de autentificación en el juego hayan sido ya empleados
para la generación de fichas de autentificación, comprobando estos
últimos medios citados si en el vector de autentificación, que haya
sido empleado como último del juego para la generación de una ficha
de autentificación, está contenida una marca de repetición, y
transmitiendo en su caso de nuevo al módulo de identificación (2)
la ficha de autentificación generada en base a dicho último vector
de autentificación cuando la comunicación de datos con la central
de autentificación (4) y/o la propia central de autentificación (4)
estén averiadas.
12. Sistema según una de las reivindicaciones 7 a
11, caracterizado porque la central de autentificación (4)
comprende medios para la generación de juegos con varios vectores
de autentificación, porque la unidad de control de acceso (3)
comprende medios para la generación de una ficha de autentificación
a partir de un nuevo vector de autentificación, todavía no
empleado, de entre un juego recibido de la central de
autentificación (4), y porque la unidad de control de acceso (3)
comprende medios para la solicitud de nuevos vectores de
autentificación a la central de autentificación (4) antes de que
hayan sido ya empleados todos los vectores de autentificación en el
juego para la generación de fichas de autentificación.
13. Sistema según una de las reivindicaciones 7 a
12, caracterizado porque el módulo de identificación (2)
está realizado a modo de módulo USIM para su aplicación en una red
de telefonía móvil UMTS (6), porque la unidad de control de acceso
(3) está realizada a modo de unidad VLR o SGSN, y porque la central
de autentificación (4) está realizada a modo de unidad AuC para una
red de telefonía móvil UMTS (6).
14. Módulo de identificación (2) para la
autentificación de usuarios en una red de telecomunicaciones (6),
comprendiendo una identificación de usuarios para la identificación
del usuario en la red de telecomunicaciones (6), medios para la
recepción, a través de la red de telecomunicaciones (6), de una
ficha de autentificación de una unidad de control de acceso (3),
medios para la comprobación si un número de secuencia, contenido en
la ficha de autentificación recibida, es mayor que un número de
secuencia memorizado en el módulo de identificación (2), medios
para la generación de una respuesta de autentificación en base a la
ficha de autentificación recibida, y medios para la transmisión de
la respuesta de autentificación generada, a través de la red de
telecomunicaciones (6), a la unidad de control de acceso (3),
caracterizado porque comprende medios para la comprobación
si en la ficha de autentificación recibida está contenida una marca
de repetición, y para la generación de la respuesta de
autentificación cuando en la ficha de autentificación recibida esté
contenida una marca de repetición, incluso aunque el número de
secuencia contenido en la ficha de autentificación recibida no sea
mayor que el citado número de secuencia memorizado en el módulo de
identificación (2).
15. Módulo de identificación (2) según la
reivindicación 14, caracterizado porque el módulo de
identificación (2) comprende medios para la memorización del número
de secuencia contenido en la ficha de autentificación recibida,
cuando éste sea mayor que un número de secuencia memorizado en el
módulo de identificación (2), que haya sido recibido previamente de
la unidad de control de acceso (3), y porque el módulo de
identificación (2) comprende medios para la comprobación, antes de
la generación de la respuesta de autentificación, si el número de
secuencia contenido en la ficha de autentificación es igual o mayor
que el mayor número de secuencia, que haya sido recibido previamente
de la unidad de control de acceso (3), memorizado en el módulo de
identificación (2), cuando en la ficha de autentificación esté
contenida una marca de repetición.
16. Módulo de identificación (2) según una de las
reivindicaciones 14 ó 15, caracterizado porque el módulo de
identificación (2) está realizado a modo de módulo USIM para su
aplicación en una red de telefonía móvil UMTS.
17. Unidad de control de acceso (3) para la
autentificación de usuarios en una red de telecomunicaciones (6),
comprendiendo medios para la solicitud y la recepción de vectores
de autentificación de una central de autentificación (4), medios
para la generación de fichas de autentificación a partir de un
respectivo vector de autentificación, y para la transmisión de una
ficha de autentificación generada, a través de la red de
telecomunicaciones (6), a un módulo de identificación (2) del
usuario, y medios para la recepción de una respuesta de
autentificación, a través de la red de telecomunicaciones (6), del
módulo de identificación (2), caracterizada porque comprende
medios para la generación de una ficha de autentificación (S7, S8)
a partir de partes de un vector de autentificación, que comprendan
una marca de repetición.
18. Unidad de control de acceso (3) según la
reivindicación 17, caracterizada porque la unidad de control
de acceso (3) comprende medios para la comprobación si en el vector
de autentificación, que haya sido empleado como último para la
generación de una ficha de autentificación transmitida al módulo de
identificación (2), está contenida una marca de repetición, y para
la reiterada transmisión, a través de la red de telecomunicaciones
(6), de la ficha de autentificación generada a partir de dicho
último vector de autentificación al módulo de identificación (2),
cuando en el último vector de autentificación esté contenida una
marca de repetición.
19. Unidad de control de acceso (3) según una de
las reivindicaciones 17 ó 18, caracterizada porque la unidad
de control de acceso (3) comprende medios para la generación de una
ficha de autentificación a partir de un nuevo vector de
autentificación, todavía no empleado, de entre un juego recibido de
la central de autentificación (4), y porque la unidad de control de
acceso (3) comprende medios para la solicitud de nuevos vectores de
autentificación a la central de autentificación (4), cuando todos
los vectores de autentificación en el juego hayan sido ya empleados
para la generación de fichas de autentificación, comprobando estos
últimos medios citados si en el vector de autentificación, que haya
sido empleado como último del juego para la generación de una ficha
de autentificación, está contenida una marca de repetición, y
transmitiendo en su caso de nuevo al módulo de identificación (2) la
ficha de autentificación generada en base a dicho último vector de
autentificación, cuando la comunicación de datos con la central de
autentificación (4) y/o la propia central de autentificación (4)
estén averiadas.
20. Unidad de control de acceso (3) según una de
las reivindicaciones 17 a 19, caracterizada porque la unidad
de control de acceso (3) comprende medios para la generación de una
ficha de autentificación a partir de un nuevo vector de
autentificación, todavía no empleado, de entre un juego recibido de
la central de autentificación (4), y porque la unidad de control de
acceso (3) comprende medios para la solicitud de nuevos vectores de
autentificación a la central de autentificación (4), antes de que
hayan sido ya empleados todos los vectores de autentificación en el
juego para la generación de fichas de autentificación.
21. Unidad de control de acceso (3) según una de
las reivindicaciones 17 a 20, caracterizada porque la unidad
de control de acceso (3) está realizada a modo de unidad VLR o
SGSN.
22. Central de autentificación (4), comprendiendo
medios para la recepción, de una unidad de control de acceso (3) de
una red de telecomunicaciones (6), de solicitudes de vectores de
autentificación para la identificación de usuarios en la red de
telecomunicaciones (6), medios para la generación de los vectores de
autentificación solicitados, y medios para la transmisión a la
unidad de control de acceso (3) de los vectores de autentificación
generados, caracterizada porque comprende medios para la
inserción de una marca de repetición en uno de los vectores de
autentificación.
23. Central de autentificación (4) según la
reivindicación 22, caracterizada porque la central de
autentificación (4) comprende medios para la generación de juegos
con varios vectores de autentificación, y porque la central de
autentificación (4) comprende medios para la inserción de la marca
de repetición en el último vector de autentificación del juego, que
sea transmitido por la unidad de control de acceso (3) como último
del juego al módulo de identificación (2).
24. Central de autentificación (4) según una de
las reivindicaciones 22 ó 23, caracterizada porque la
central de autentificación (4) está realizada a modo de unidad AuC
para una red de telefonía móvil UMTS (6).
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP02405900A EP1414260B1 (de) | 2002-10-21 | 2002-10-21 | Verfahren, System und Vorrichtungen zur Teilnehmerauthentifizierung in einem Telekommunikationsnetz |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2241978T3 true ES2241978T3 (es) | 2005-11-01 |
Family
ID=32050148
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES02405900T Expired - Lifetime ES2241978T3 (es) | 2002-10-21 | 2002-10-21 | Procedimiento, sistema y dispositivos para la autentificacion de usuarios en una red de telecomunicaciones. |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP1414260B1 (es) |
| AT (1) | ATE294490T1 (es) |
| DE (1) | DE50202932D1 (es) |
| ES (1) | ES2241978T3 (es) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009102248A1 (en) | 2008-02-15 | 2009-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | System and method of user authentication in wireless communication networks |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101160985B (zh) * | 2005-06-04 | 2010-05-19 | 华为技术有限公司 | 一种鉴权方法及相应的信息传递方法 |
| CN100488280C (zh) * | 2005-06-04 | 2009-05-13 | 华为技术有限公司 | 一种鉴权方法及相应的信息传递方法 |
| CN100389634C (zh) * | 2005-08-02 | 2008-05-21 | 华为技术有限公司 | 一种同步攻击防护方法及相应的鉴权方法 |
| CN1949924B (zh) * | 2005-10-10 | 2010-04-07 | 华为技术有限公司 | 用户终端空闲模式管理方法及无线通信系统 |
| CN1968096B (zh) * | 2006-10-25 | 2010-05-19 | 中国移动通信集团公司 | 一种同步流程优化方法和系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001037477A1 (en) * | 1999-11-15 | 2001-05-25 | Verizon Laboratories Inc. | Cryptographic techniques for a communications network |
| DE19955096B4 (de) * | 1999-11-16 | 2009-10-01 | Siemens Ag | Verfahren zur Authentifikation eines Funk-Kommunikationsnetzes gegenüber einer Mobilstation sowie ein Funk-Kommunikationsnetz und eine Mobilstation |
| EP1209935B1 (en) * | 2000-11-24 | 2005-10-12 | Telefonaktiebolaget LM Ericsson (publ) | Fraud detection method for mobile telecommunication networks |
-
2002
- 2002-10-21 DE DE50202932T patent/DE50202932D1/de not_active Expired - Lifetime
- 2002-10-21 ES ES02405900T patent/ES2241978T3/es not_active Expired - Lifetime
- 2002-10-21 AT AT02405900T patent/ATE294490T1/de not_active IP Right Cessation
- 2002-10-21 EP EP02405900A patent/EP1414260B1/de not_active Expired - Lifetime
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009102248A1 (en) | 2008-02-15 | 2009-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | System and method of user authentication in wireless communication networks |
| EP2245873A4 (en) * | 2008-02-15 | 2017-05-10 | Telefonaktiebolaget LM Ericsson (publ) | System and method of user authentication in wireless communication networks |
Also Published As
| Publication number | Publication date |
|---|---|
| ATE294490T1 (de) | 2005-05-15 |
| EP1414260B1 (de) | 2005-04-27 |
| DE50202932D1 (de) | 2005-06-02 |
| EP1414260A1 (de) | 2004-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2249455T3 (es) | Comprobacion de integridad en un sistema de comunicaciones. | |
| ES2375594T3 (es) | Sistema y procedimiento para la autenticación de una transferencia de contexto. | |
| ES2316939T3 (es) | Procedimiento de desbloqueo de un terminal de telecomunicaciones inalambrico de tipo telefono portatil. | |
| ES2239762T3 (es) | Disposicion para reenvio de llamadas en un centro de conmutacion de servicios moviles. | |
| ES2233316T3 (es) | Metodo de autentificacion que establece un canal seguro entre un abonado y un proveedor de acceso de servicio a traves de un operador de telecomunicaciones. | |
| ES2231256T3 (es) | Procedimiento de seguridad en servicio de telefonia movil universal. | |
| ES2292676T3 (es) | Metodo y sistema para facilitar el acceso a una cuenta de correo electronico a traves de una red de comunicacon movil. | |
| KR100996983B1 (ko) | 셀룰러 통신 시스템에서의 재인증 허용 방법 및 장치 | |
| ES2748107T3 (es) | Procedimiento y dispositivo para el tratamiento de llamadas telefónicas dirigidas a teléfonos móviles inaccesibles | |
| ES2348538T3 (es) | Metodo para el registro de un terminal de comunicacion en una red de servicios ims. | |
| ES2574986T3 (es) | Red de telecomunicaciones | |
| ES2255508T3 (es) | Metodo y sistema para proteger el identificador del usuario. | |
| KR101022262B1 (ko) | 근거리 네트워크에의 접속을 제공하는 방법, 근거리 네트워크 접속 요금을 청구하는 방법, 및 데이터 네트워크에의 유저 접속을 제공하기 위한 장치 | |
| BRPI0109651B1 (pt) | método de autenticação para autenticar o nó móvel ( tm ) para uma rede de pacotes de dados, gateway (portal) para atuar como uma interface entre a rede de pacote de dados e a rede de telecomunicações, sistema de comunicação, e, nó móvel. | |
| BRPI0807096A2 (pt) | Suporte de chamadas sem uicc | |
| CN109803350A (zh) | 一种安全通信方法和装置 | |
| EP1613116A1 (en) | Attaching at least one of algorithm and secret information specification to a field for storing random numbers for usage in an authentication calculation in a SIM card | |
| ATE411691T1 (de) | Authentifizierung und chipkarte für datenkommunikation | |
| ES2281089T3 (es) | Procedimiento y sistema para la autentificacion de abonados y/o codificacion de informaciones. | |
| ES2322019T3 (es) | Procedimiento de autorizacion de acceso a una red celular de radiocomunicaciones a partir de un telefono movil, sistema de radiocomunicaciones y telefono simplificado asociados. | |
| BR9812399B1 (pt) | método para inscrever uma estação móvel para serviço de dados em pacotes e sistema de comunicações móveis para fornecer serviços de dados em pacotes e de despacho. | |
| ES2392968T3 (es) | Procedimiento y sistema de datos para conectar una red local inalámbrica a una estación terminal UMTS | |
| ES2241978T3 (es) | Procedimiento, sistema y dispositivos para la autentificacion de usuarios en una red de telecomunicaciones. | |
| EP1967032A1 (en) | Prioritized network access for wireless access networks | |
| TW200527877A (en) | Method and application for authentication of a wireless communication using an expiration marker |