ES2285848T3 - Metodo de auntenticacion y el correspondiente sistema para red de telecomunicaciones. - Google Patents

Metodo de auntenticacion y el correspondiente sistema para red de telecomunicaciones. Download PDF

Info

Publication number
ES2285848T3
ES2285848T3 ES99934737T ES99934737T ES2285848T3 ES 2285848 T3 ES2285848 T3 ES 2285848T3 ES 99934737 T ES99934737 T ES 99934737T ES 99934737 T ES99934737 T ES 99934737T ES 2285848 T3 ES2285848 T3 ES 2285848T3
Authority
ES
Spain
Prior art keywords
authentication
terminal equipment
key
network
interrogation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES99934737T
Other languages
English (en)
Inventor
Markku Verkama
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Inc
Original Assignee
Nokia Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Inc filed Critical Nokia Inc
Application granted granted Critical
Publication of ES2285848T3 publication Critical patent/ES2285848T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/102Bill distribution or payments
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/24Accounting or billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/20Technology dependant metering
    • H04M2215/2026Wireless network, e.g. GSM, PCS, TACS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/32Involving wireless systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Telephonic Communication Services (AREA)
  • Communication Control (AREA)

Abstract

Método de autenticación para una red de telecomunicaciones, comprendiendo dicho método las siguientes etapas: generar, en la red de telecomunicaciones, un conjunto de bloques de datos de autenticación específicos de abonado, conteniendo cada bloque de datos de autenticación una respuesta firmada y una clave, transmitir, al menos, una parte de las interrogaciones incluidas en los bloques de datos de autenticación a un equipo terminal (TE1), proporcionar una unidad de identificación en el equipo terminal que recibe la interrogación como entrada y que a partir de dicha interrogación determina la respuesta firmada y la clave, caracterizado por elegir en el equipo terminal (TE1) una de las interrogaciones y, en función de la interrogación elegida, definir la respuesta firmada y de la clave utilizando la unidad de identificación del equipo terminal (TE1), y transmitir a la red de telecomunicaciones desde dicho equipo terminal (TE1) una autenticación y una unidad de datos (SPI), conteniendo la unidad de datos (SPI) información relativa a la forma en que se genera la autenticación y notificando a la red la clave utilizada para generar dicha autenticación, correspondiente a la interrogación elegida, y definir por la red de telecomunicaciones un valor de troceo para su comparación con dicha autenticación, definiéndose dicho valor de troceo utilizando dicha clave, como se determinó a partir de dicha unidad de datos (SPI).

Description

Método de autenticación y el correspondiente sistema para red de telecomunicaciones.
Alcance de la invención
La invención se refiere, en términos generales, a la ejecución del procedimiento de autenticación en una red de telecomunicaciones, y más concretamente, en una red IP (IP = Protocolo de Internet). La autenticación significa la verificación de la identidad de la parte, por ejemplo el abonado, que ha generado los datos. Mediante la utilización de la autenticación también es posible garantizar la integridad y confidencialidad de dichos datos. La autenticación puede llevarse a cabo por diversas razones, como la comprobación del derecho a la utilización de los servicios de red. La invención está concebida para ser utilizada sobre todo en relación con terminales móviles, pero la solución acorde con la invención también se puede utilizar en relación con terminales fijos.
Antecedentes de la invención
La creciente popularidad de diversos tipos de terminales móviles, tales como ordenadores portátiles, PDAs (Asistentes Digitales Personales) o teléfonos inteligentes marca una de las actuales tendencias de las comunicaciones.
En las redes IP tradicionales, los usuarios móviles no podían recibir datos fuera de su propia subred IP, debido a que los encaminadores de la red no pueden transmitir datagramas al nuevo emplazamiento del usuario. Dado que esto reduce considerablemente la utilidad de los terminales móviles, se han desarrollado propiedades de soporte de movilidad para el protocolo IP. El protocolo IP móvil (en adelante MIP) es un mecanismo de control de la movilidad de un usuario entre diferentes subredes IP. El MIP es una versión del protocolo IP existente que soporta la movilidad de los equipos terminales.
El MIP se basa en la idea de que todos los ordenadores móviles o nodos móviles tienen un agente asignado ("agente local") que transmite paquetes a la ubicación actual del nodo móvil. Cuando un nodo móvil se desplaza desde una subred a otra, se registra con el agente ("agente externo") que presta servicio a la subred actual. Este último lleva a cabo una serie de comprobaciones junto con el agente local del nodo móvil, registra el nodo móvil y transmite a este la información de registro. Los paquetes dirigidos al nodo móvil se transmiten a la ubicación original del nodo móvil (al agente local de la subred propia), desde la que se transmiten nuevamente al agente externo actual, que las vuelve a transmitir al nodo móvil. Dado que la presente invención no se refiere al MIP, dicho protocolo no se explicará en mayor detalle en este contexto. Los principios del MIP se describen, por ejemplo, en RFC 2002, octubre de 1996 (solicitud de observaciones) o en un artículo de Upkar Varshney, Supporting Mobility with Gíreles ATM, Internet Watch, enero 1997, donde el lector interesado podrá encontrar información, si así lo desea.
Como se ha mencionado anteriormente, el registro se lleva a cabo con el agente local ubicado en la subred de inicio, cuando el usuario se encuentra visitando otra subred IP. En lo que respecta al registro, el agente local autentifica al usuario. Dicho de otro modo, el agente local garantiza la identidad de la parte que ha enviado la solicitud de registro.
No obstante, la gestión de las claves necesarias para la autenticación es un grave problema en Internet. Se han desarrollado diversos sistemas para mejorar las propiedades de la seguridad de la información de la red a través de la cual los usuarios pueden enviar la información cifrada a la otra parte. Uno de dichos sistemas es Kerberos, que es un servicio mediante el cual los usuarios y servicios de la red pueden autenticarse entre sí y gracias al cual los usuarios y los servicios pueden configurar entre sí conexiones de transmisión de datos cifrados. No obstante, dichos sistemas están pensados principalmente para equipos terminales fijos, resultan complejos y pesados y requieren, o bien el registro previo como usuarios de los sistemas en cuestión o al menos una prolongada comunicación entre las partes antes de que se autorice al equipo terminal a transmitir adecuadamente la información útil.
El documento US 5729537 describe un método para facilitar la autenticación anónima en una red de comunicaciones de una estación de comunicaciones. El acceso se permite únicamente tras la autenticación de la estación de comunicaciones, y se facilita sin identificar individualmente a la estación de comunicaciones en la red.
Sumario de la invención
La finalidad de la invención consiste en eliminar los inconvenientes que acaban de describirse y aportar una solución mediante la cual el equipo terminal pueda iniciar el tráfico útil inmediatamente después de haberse conectado a la red.
Esta finalidad se alcanza mediante la solución definida en las reivindicaciones independientes.
En la invención se utiliza un procedimiento conocido en el mundo de las redes de comunicaciones móviles para generar el secreto de una conexión entre la red y un elemento del equipo terminal situado en la red, mediante el cual, cuando el equipo terminal se conecta a la red, puede llevar a cabo un registro normal (que tan sólo exige un mínimo intercambio de mensajes) en relación con el cual la se transferirá información que indica el secreto en cuestión. La invención se basa en la idea de un índice SPI (Índice de Parámetros de Seguridad) definido en MIP, que es un indicador que normalmente denota una unidad de datos que ofrece diversas informaciones relativas a cómo llevar a cabo la autenticación, que se puede utilizar solamente para indicar dicho secreto, dejando que otros asuntos sean constantes predeterminadas, que pueden estar indicadas mediante el parámetro SPI. De este modo, se pueden utilizar medios conocidos en las redes de comunicaciones móviles para generar el secreto en cuestión.
Gracias a la solución acorde con la invención, un equipo terminal puede, cuando se conecta a la red, iniciar el tráfico útil muy fácilmente y sin ningún intercambio de mensajes de gran volumen y costoso en términos de tiempo. Aunque no se defina exactamente de antemano el secreto entre el equipo terminal y la red, tan sólo es necesario un registro MIP ordinario en relación con la conexión a la red IP. Por otra parte, se mejora el nivel de seguridad, debido a que el secreto entre las partes ya no es una clave fija, sino una clave que cambia dinámicamente.
Gracias a la solución acorde con la invención, los operadores de ISP que también prestan servicios de estaciones móviles no necesitan obtener de forma independiente ningún sistema de gestión de claves para la red IP, sino que pueden utilizar también para este fin las características de la red de comunicaciones móviles que están operando.
Breve descripción de las figuras
En los siguientes párrafos se describirá en mayor detalle la invención y sus realizaciones más ventajosas, haciendo referencia a las figuras 1 a 5 en los ejemplos acordes con las figuras adjuntas, en las cuales:
La figura 1 muestra el entorno operativo del método acorde con la invención;
La figura 2 muestra un intercambio de mensajes que tiene lugar entre diversos elementos;
La figura 3 muestra la estructura de los mensajes de registro a transmitir entre un nodo móvil y el agente local;
La figura 4 muestra la estructura de la extensión de autenticación del mensaje de registro; y
La figura 5 muestra los bloques funcionales del terminal que son esenciales desde el punto de vista de la invención.
Descripción detallada de la invención
La figura 1 muestra un entorno operativo típico del método de acuerdo con la invención. Los usuarios que se desplazan por el área del sistema disponen de ordenadores portátiles u otro tipo de terminales, por ejemplo, equipos PDA o teléfonos inteligentes. La figura muestra tan sólo un equipo terminal TE1, que en este ejemplo se supone que es un ordenador portátil. En la figura se muestran dos subredes IP: la primera es una red de área local LAN1, por ejemplo, una red de área local Ethernet, que se encuentra conectada a Internet a través del encaminador R1, y la segunda es una red de área local LAN2, que se encuentra conectada a Internet a través del encaminador R2. Las redes de área local pueden ser, por ejemplo, redes internas de empresas.
Los terminales pueden acceder a las subredes a través de los puntos de acceso AP1 y AP2, respectivamente, en una forma conocida en sí, por ejemplo, de forma inalámbrica, como se muestra en la figura. En la figura se asume que el Terminal TE1 se encuentra conectado a la red de área local LAN1.
El Terminal normalmente incluye medios de acceso a la red de área local (a la red IP) y a la red de comunicaciones móviles GSM (Global System for Mobile Telecommunications [Sistema Mundial para Comunicaciones Móviles]). El acceso a la red de área local se efectúa, por ejemplo, con la ayuda de una tarjeta LAN situada en el Terminal, y a la red GSM con la ayuda de una tarjeta GSM, que en la práctica es un teléfono desmontado que se encuentra situado, por ejemplo, en la ranura de expansión PCMCIA del ordenador portátil. Además, la tarjeta GSM lleva conectado un SIM (Módulo de Identificación de Abonado).
En lo que respecta a la red GSM, la invención no requiere ninguna solución especial, por lo que la ejecución de la red GSM es conocida en sí. De la red GSM, la figura muestra el Terminal TE1, tres estaciones base transmisoras/receptoras BTS1...BTS3, su controlador común de estación base BSC1, un centro de conmutación de servicios móviles MSC, a través de cuyo interfaz de sistema la red de comunicaciones móviles se conecta a otras redes y un registro de localización de abonados HLR, en relación con el cual existe un centro de autenticación AuC. Por otra parte, la figura muestra un centro de conmutación de mensajes cortos SMSC, que se utiliza en una realización de la invención.
La figura también muestra el agente local HA del Terminal TE1, que está situado en relación con el encaminador R3 conectado a Internet. En la práctica, la organización poseedora del agente local suele operar no sólo como un operador ISP (proveedor de servicios de Internet), sino también como un operador de comunicaciones móviles, por lo que es posible establecer libremente una conexión desde el agente local HA a la red de comunicaciones móviles. En la práctica, el encaminador, que ejerce la función de agente local, y el registro de localización de abonados, pueden estar situados, por ejemplo, en las mismas instalaciones del equipo.
En un entorno del tipo que se muestra en la figura, el usuario puede (utilizando unos mecanismos MIP conocidos) desplazarse libremente (sin ninguna interrupción de las comunicaciones) desde una subred IP a otra. Adicionalmente, la conexión de datos puede conservarse con la ayuda de la red GSM, aunque el Terminal se desplace fuera del área de cobertura de la red de área local (inalámbrica). De este modo, las redes de área local establecen áreas locales (denominadas "puntos calientes") en las que el Terminal disfruta de una conexión de datos de alta velocidad, y cuando el usuario se desplaza fuera de la zona de cobertura de la red de área local puede mantenerse la conexión gracias a la red GSM. Dado que estos procedimientos son conocidos en sí y que no están propiamente relacionados con la invención, no se describirán en mayor detalle en este contexto.
De acuerdo con la invención, los mecanismos de autenticación de la red GSM se utilizan en el proceso de autenticación llevado a cabo en relación con el registro del terminal. En los siguientes párrafos se describirán en primer lugar el registro y la autenticación que van a llevarse a cabo en la misma conexión.
La figura 2 muestra un ejemplo de un intercambio de mensajes que se produce en relación con el registro. De acuerdo con el protocolo MIP, el agente externo FA está enviando constantemente mensajes de transmisión a su propia subred, que se denominan con el nombre de "anuncios del agente" y que están indicados mediante la referencia AA en la figura. Cuando el terminal se conecta a dicha subred, recibe estos mensajes, y de acuerdo con ellos, averigua si se encuentra en su propia red de inicio o en cualquier otra red. Si el terminal descubre que se encuentra en su propia red, funcionará sin ningún servicio de movilidad. De lo contrario, el terminal obtendrá una dirección c/o (dirección "care of") correspondiente a la red externa en cuestión. La dirección es la dirección del punto de la red al cual se ha conectado provisionalmente el terminal. Al mismo tiempo, esta dirección constituye el punto de terminación de un túnel que lleva a dicho terminal. Normalmente, el terminal obtiene la dirección de los mensajes de transmisión mencionados anteriormente enviados por el agente externo. A continuación, el terminal transmite a su propio agente local una solicitud de registro RR a través del agente externo FA. El mensaje contiene, entre otras cosas, la dirección c/o que acaba de obtener el terminal. En función de la solicitud de registro recibida, el agente local actualiza la información de ubicación del terminal en cuestión que se encuentra en su base de datos, y envía al terminal una respuesta de registro R_Reply [R_Respuesta] a través del agente externo. El mensaje de respuesta contiene toda la información necesaria relativa a la forma (o a las condiciones) en que el agente local ha aprobado la solicitud de registro.
El nodo móvil puede también registrarse con el agente local. El documento RFC que se ha descrito anteriormente recoge las normas mediante las cuales un nodo móvil va a registrarse, bien directamente con el agente local o bien a través del agente externo. Si el nodo móvil obtiene una dirección c/o en la forma que se ha descrito anteriormente, el registro deberá entonces llevarse siempre a cabo a través del agente externo.
Todos los mensajes que acaban de mencionarse entre el terminal, el agente externo y el agente local se ajustan al protocolo MIP.
A continuación se describe en mayor detalle la forma en la que se utilizan dichos mensajes en la presente invención.
La autenticación que va a llevarse a cabo en relación con el registro está basada en un valor de troceo calculado a partir del mensaje de registro. El cálculo utiliza el secreto compartido por la red y el usuario. El MIP contiene una Asociación de Seguridad de Movilidad definida para nodos móviles, que pueden utilizar los nodos para acordar entre ellos las características de seguridad que van a utilizar. La Asociación de Seguridad de Movilidad incluye una serie de contextos, y cada contexto indica el algoritmo de autenticación, el modo en que va a utilizarse dicho algoritmo, el secreto mencionado (por ejemplo, una clave o un par de claves) y la forma en que se va a proteger contra los llamados ataques de reproducción. Los nodos móviles seleccionan un determinado contexto para utilizarlo con el índice de parámetro de seguridad SPI mencionado anteriormente, que indica el contexto que debe utilizarse en cada momento.
En el MPI se define un mecanismo de extensión especial mediante el cual se añaden las denominadas extensiones a los mensajes de control MIP o a los mensajes ICMP (Protocolo de Mensajes de Control de Internet), pudiendo transmitirse información adicional en dichas extensiones.
La solicitud y la respuesta de registro (RR y R_Reply, figura 2) utilizan el protocolo UDP (User Datagram Protocol [Protocolo Datagrama Usuario]). La figura 3 muestra la estructura general de las cabeceras de estos mensajes de registro. Las cabeceras IP y UDP van seguidas de campos MIP, comprendiendo un campo de tipo 31, que indica el tipo de mensaje MIP, un campo de código 32, que en el caso de una solicitud de registro indica diversas informaciones relativas al nodo móvil y a la solicitud de registro, y en el caso de una respuesta de registro, indica el resultado de la solicitud de registro, un campo de vida útil 33, que indica la duración de la validez de la solicitud o del registro aceptado, un campo de dirección inicial 34, que contiene la dirección IP del nodo móvil, un campo de agente local 35, que contiene la dirección IP del agente local del nodo móvil, y un campo de identificación 37, que contiene un número que conecta entre sí la solicitud y la correspondiente respuesta. La solicitud de registro también contiene un campo de dirección c/o 36 que indica la dirección IP del punto de terminación del túnel que se ha mencionado anteriormente (la respuesta de registro no incluye este campo).
La parte fija de la cabecera que se ha descrito anteriormente está seguida de las extensiones que acaban de describirse. Se dispone de extensiones especiales para la autenticación (extensiones de autenticación). Por ejemplo, los mensajes de registro entre el nodo móvil y su agente local se autentifican con la ayuda de una extensión de autenticación Móvil-Local, que está reservada especialmente para este propósito y que debe encontrarse presente en todas las solicitudes de registro y respuestas de registro (por otra parte, la extensión de autenticación Móvil-externo utilizada entre el nodo móvil y el agente externo se encuentra presente en las solicitudes y respuestas de registro tan sólo si existe una Asociación de Seguridad de Movilidad entre el nodo móvil y el agente externo).
La figura 4 muestra la estructura de una extensión utilizada entre un nodo móvil y su agente local. La extensión contiene la información de tipo que indica el tipo de extensión, la información de longitud que indica la longitud total de la extensión, el índice SPI, cuya longitud es de 4 octetos, y la autenticación, cuya longitud puede variar y tiene un valor por defecto de 128 bits.
Durante la autenticación, el algoritmo por defecto es el conocido algoritmo MD5 en el denominado modo prefijo+sufijo. MD5 es un algoritmo que, partiendo de un mensaje con una longitud arbitraria, calcula un resumen con una longitud de 128 bits, que es el valor de troceo (hash) o de comprobación mencionado anteriormente, y que en este caso funciona como la autenticación en el cual se basa la autenticación. El modo prefijo+sufijo significa que en la cadena de bits a partir de la cual se calcula la autenticación existe un primer y último secreto (por ejemplo, una clave común) que es común a la red y al nodo móvil. En la extensión de autenticación, el índice SPI se utiliza para indicar qué contexto se utiliza. Por su parte, el contexto indica cómo debe generarse la autenticación (valor de troceo). La autenticación se transmite a su equivalente en la extensión de autenticación (figuras 3 y 4), por lo que dicho equivalente es capaz, con la ayuda del SPI, de generar independientemente la autenticación y compararlo con la autenticación recibida.
La invención utiliza las características de una red de comunicaciones móviles, especialmente de la red GSM, para generar el secreto compartido de la forma siguiente:
El agente local HA busca desde el centro de autenticación AuC que se encuentra conectado con el registro de localización de abonados HLR de la red de comunicaciones móviles una serie de tripletas de autenticación específicas del usuario, cada una de las cuales contiene una interrogación (RAND), una respuesta firmada (SRES) y una clave Kc (una clave de cifrado específica de la conexión) de una forma perfectamente conocida. La información específica del abonado puede ser buscada, por ejemplo, de tal forma que los IMSIs (Identidades de Abonados Móviles Internacionales) correspondientes a las direcciones IP de los terminales estén almacenados en el agente local a efectos de consultas. La transmisión de las tripletas de autenticación puede llevarse a cabo de cualquier forma conocida, por ejemplo, facilitando al centro de autenticación una pila TCP/IP y transfiriendo las tripletas al agente local en uno o más datagramas IP. Como se ha mencionado anteriormente, el agente local y el registro de localización de abonados, así como el centro de autenticación, suelen ser normalmente propiedad del mismo operador, y pueden estar situados, por ejemplo, en el mismo cuarto, lo que significa que dicha conexión de transmisión es segura. Lo que es esencial es tan sólo la circunstancia de que el agente local recibe una respuesta firmada y una clave Kc de las tripletas de autenticación. De este modo, es posible incluso no transferir las interrogaciones. El agente local HA almacena consigo mismo las tripletas de autenticación.
Además. Las interrogaciones (RANDs) que contienen las tripletas de autenticación se transfieren adicionalmente al nodo móvil (al terminal TE1) mediante alguna forma existente de transmisión que sea adecuada. La transmisión puede ser llevada a cabo bien por el agente local, al recibir las tripletas de autenticación, o por el HLR/AuC en respuesta a la solicitud de tripleta de autenticación enviada por el agente local. Una alternativa consiste en transferir las interrogaciones utilizando un mensaje corto desde el HLR/AuC, mediante el centro de conmutación de mensajes móviles, SMSC, al terminal. Otra alternativa consiste en transmitir las interrogaciones a través de Internet, en un datagrama IP. No obstante, si el terminal todavía no ha estado conectado nunca con la red IP, la transmisión debe llevarse a cabo utilizando la red GSM (mediante un mensaje corto). En este caso, otra alternativa consiste en adoptar un acuerdo en el sentido de que, en relación con el primer registro, se utiliza un valor RAND predeterminado, con lo que la transmisión de las interrogaciones puede llevarse entonces a cabo a través de la red IP.
El mecanismo de transmisión de las tripletas de autenticación y las interrogaciones no resulta esencial desde el punto de vista de la invención, pero para la transmisión puede utilizarse cualquier técnica conocida. El número de tripletas de autenticación y interrogaciones que debe invocarse y transmitirse de una sola vez depende del mecanismo de transmisión utilizado. Por ejemplo, la longitud máxima de un mensaje corto (160 caracteres) limita el número de interrogaciones transmitidas cada vez a diez, debido a que la longitud de la interrogación es de 16 octetos.
Cuando el nodo móvil TE1 desea llevar a cabo un registro MIP, se selecciona una de las interrogaciones afectadas para ser utilizada en el nodo móvil, con lo que los algoritmos conocidos A3 y A8 se ejecutan en la tarjeta SIM utilizando dicha interrogación (compárese con la figura 2). El resultado es una respuesta (SRES) y una clave Kc, de las cuales la primera tiene una longitud de 32 bits y la segunda una longitud de 64 bits. En el mensaje de solicitud de registro RR mencionado anteriormente el valor SRES que acaba de calcularse se envía entonces como parámetro SPI (compárese con las figuras 2 y 4) y la clave obtenida Kc se utiliza como el secreto que se ha mencionado anteriormente, a partir del cual se calcula la autenticación, que se incluye en el mensaje de solicitud de registro. Como se ha mencionado anteriormente, 32 bits es exactamente la longitud del SIP definido en MIP. Al haber recibido el valor SRES, el agente local descubre qué interrogación ha seleccionado el usuario, con lo que puede elegir la Kc correspondiente y realizar la comprobación de la autenticación.
De este modo, el intercambio de mensajes de registro se lleva a cabo de una forma conocida en otro sentido, salvo que el valor de la respuesta calculada se transmite en el campo SPI del mensaje de solicitud de registro y, además, el secreto utilizado para calcular la autenticación es la clave generada con ayuda del sistema de comunicaciones móviles (la clave de cifrado Kc específica de la conexión generada en el sistema GSM).
Las tripletas de autenticación también pueden almacenarse, por ejemplo, en relación con el HLR/AuC o en cualquier tercer lugar sin que se transmitan al agente local. De este modo, el procedimiento es tal que al recibir el mensaje de solicitud de registro el agente local consulta desde el lugar de almacenamiento de las tripletas de autenticación cuál era la clave consultada. No obstante, esto exige una conexión segura entre el agente local y el lugar de almacenamiento.
El MIP determina los valores SPI permisibles; los valores 0...255 están reservados y no pueden ser utilizados para una asociación de seguridad. Si la interrogación genera un valor SRES que no sea permisible como valor SPI, deberá rechazarse la interrogación en cuestión. Dicha lógica puede interpretarse en relación con el HLR/AuC, que eliminará por filtrado las interrogaciones que generasen un valor no permisible. Alternativamente, dicha lógica puede interpretarse en el final del nodo móvil. Por ello, el nodo móvil no transmitirá dichas solicitudes de registro en las que el valor SRES corresponde a un valor SPI no permisible.
Es posible que, de las interrogaciones a transmitir o se han transmitido al terminal, dos o más son tales que ofrecen el mismo valor SRES. Si esto sucede, el secreto utilizado no se ha definido de forma inequívoca. En este caso se rechazan todas las interrogaciones en cuestión menos una. Esta lógica puede estar relacionada con el HLR/AuC o los terminales.
La figura 5 muestra los bloques funcionales de un terminal que resultan esenciales para la invención. La figura muestra solamente un interfaz de la red (red IP). Las interrogaciones procedentes de la red llegan al bloque de transmisión y recepción de mensajes, MEB, desde el cual se almacenan en el bloque de memoria MB. El bloque de selección SB selecciona una de las interrogaciones almacenadas y la introduce en la tarjeta SIM. La respuesta obtenida como resultado se introduce en el bloque de transmisión y recepción MEB, que inserta la respuesta en el campo reservado para el SPI del mensaje de solicitud de registro saliente. El bloque de autenticación AB define una autenticación para los mensajes salientes utilizando la clave Kc obtenida a partir del módulo SIM, y lleva a cabo la autenticación de los mensajes entrantes utilizando dicha clave.
La autenticación en la red GSM se basa en una comparación de un valor SRES de 32 bits. Debido a que la invención utiliza una clave de 64 bits Kc para la autenticación, el nivel de seguridad de la autenticación excede del nivel GSM. La clave de cifrado Kc no resulta útil como tal desde el punto de vista del MIP, sino que tan sólo genera el secreto compartido por el nodo móvil y por la red. No obstante, si el nivel de seguridad de autenticación conseguido se considera demasiado pobre, es posible utilizar, por ejemplo, una clave Kc generada por dos RANDs sucesivos como secreto.
A fin de impedir el denominado ataque de reproducción, es posible utilizar unos medios definidos en el MIP, una marca de tiempo o un "nonce", ya que ambos utilizan el campo de identificación descrito anteriormente. Cuando se utiliza una marca de tiempo, deberá garantizarse por separado una adecuada sincronización de los relojes utilizados por el usuario y por la red. No obstante, el procedimiento a utilizar debe seleccionarse de antemano, ya que no puede darse a conocer utilizando el SPI.
Alternativamente, puede utilizarse un procedimiento que garantice que las interrogaciones utilizadas son únicas, con lo que la red no puede transmitir ni aceptar interrogaciones que ya hayan sido utilizadas. Esto exige unas funciones adicionales en el HLR/AuC o en el agente local (o en ambos), de forma que no acepten una interrogación que ya haya sido utilizada.
La invención también puede utilizarse sin una red de comunicaciones móviles, dado que basta con que el sistema incluya un elemento de red capaz de generar tripletas de autenticación del mismo modo que el HLR/AuC. Por ello, los terminales también pueden ser fijos. Si no se ha utilizado una red de comunicaciones móviles, no es posible utilizar un mensaje corto para transmitir el primer conjunto de interrogaciones, pero debe realizarse el primer registro, por ejemplo, utilizando un valor de interrogación previamente acordado.
No es necesario transmitir desde el Terminal el valor de la interrogación, sino que basta con que el agente local sepa qué clave se ha seleccionado para ser utilizada. Puede darse este mensaje, por ejemplo, de forma que las interrogaciones se clasifiquen siguiendo un orden similar en ambos extremos, y el Terminal sólo indica el número consecutivo correspondiente a la interrogación elegida. Los números consecutivos utilizados pueden comenzar por cualquier número superior al valor máximo no permisible (255) del SPI, por ejemplo, a partir de un valor de 300.
Aunque se ha descrito la invención haciendo referencia a los ejemplos mostrados en las figuras adjuntas, es evidente que la invención no se limita a estos. Por ejemplo, la solución acorde con la intención no está necesariamente vinculada al MIP, sino que puede utilizarse conjuntamente con cualquier protocolo del mismo tipo, en el que la autenticación se transmita con ayuda de un mensaje o incluso de varios mensajes diferentes, y en el que se transmite información sobre el modo en el que debería generarse la autenticación. De este modo, la invención no está necesariamente vinculada a la red IP. La autenticación tampoco debe llevarse a cabo necesariamente en relación con el registro. La ejecución del módulo de identificación (SIM) también puede variar, pero debe generar la respuesta firmada de la misma manera que se hace en una red de comunicaciones móviles, para que se pueda llevar a cabo la comparación.

Claims (13)

1. Método de autenticación para una red de telecomunicaciones, comprendiendo dicho método las siguientes etapas:
generar, en la red de telecomunicaciones, un conjunto de bloques de datos de autenticación específicos de abonado, conteniendo cada bloque de datos de autenticación una respuesta firmada y una clave,
transmitir, al menos, una parte de las interrogaciones incluidas en los bloques de datos de autenticación a un equipo terminal (TE1),
proporcionar una unidad de identificación en el equipo terminal que recibe la interrogación como entrada y que a partir de dicha interrogación determina la respuesta firmada y la clave,
caracterizado por
elegir en el equipo terminal (TE1) una de las interrogaciones y, en función de la interrogación elegida, definir la respuesta firmada y de la clave utilizando la unidad de identificación del equipo terminal (TE1), y
transmitir a la red de telecomunicaciones desde dicho equipo terminal (TE1) una autenticación y una unidad de datos (SPI), conteniendo la unidad de datos (SPI) información relativa a la forma en que se genera la autenticación y notificando a la red la clave utilizada para generar dicha autenticación, correspondiente a la interrogación elegida, y
definir por la red de telecomunicaciones un valor de troceo para su comparación con dicha autenticación, definiéndose dicho valor de troceo utilizando dicha clave, como se determinó a partir de dicha unidad de datos (SPI).
2. Método de acuerdo con lo definido en la reivindicación 1 caracterizado porque la unidad de datos es un Índice de Parámetros de Seguridad del mensaje de registro del protocolo IP móvil.
3. Método de acuerdo con lo definido en la reivindicación 1 o 2, caracterizado porque el valor de la respuesta firmada determinada en el equipo terminal se encuentra situado en la unidad de datos.
4. Método de acuerdo con lo definido en la reivindicación 1 caracterizado porque las interrogaciones se clasifican en el equipo terminal siguiendo un orden, con ayuda de unos criterios de clasificación predeterminados y un número consecutivo correspondiente a la interrogación elegida que se localiza en la unidad de datos.
5. Método de acuerdo con lo definido en la reivindicación 1 caracterizado porque la unidad de identificación utilizada en el equipo terminal es el módulo de identificación de abonado SIM utilizado por el sistema GSM y porque dichos bloques de autenticación son tripletas de autenticación utilizadas por el sistema GSM.
6. Método de acuerdo con lo definido en la reivindicación 5 caracterizado porque las tripletas de autenticación se extraen del centro de autenticación AuC del sistema GSM.
7. Método de acuerdo con lo definido en la reivindicación 6 caracterizado porque las interrogaciones a transmitir al equipo terminal son transmitidas utilizando un conocido servicio de conmutación de mensajes cortos.
8. Método de acuerdo con lo definido en la reivindicación 1 caracterizado porque las interrogaciones a transmitir al equipo terminal son transmitidas en un datagrama IP a enviar a través de la red.
9. Método de acuerdo con lo definido en la reivindicación 1 caracterizado porque los bloques de autenticación se transmiten al agente local del equipo terminal y con la ayuda de dicha unidad de datos se facilita un mensaje sobre qué clave correspondiente a qué interrogación se ha seleccionado, con lo que dicho valor de troceo se define en el agente local.
10. Sistema de autenticación para una red de telecomunicaciones, que comprende:
un equipo terminal (TE1) que tiene una unidad de identificación, que recibe como entrada una interrogación a partir de la cual se definen una respuesta firmada y una clave,
medios de generación (HLR/AuC) para generar bloques de datos de autenticación, configurándose dichos bloques de datos de autenticación de forma que contengan la interrogación, la respuesta firmada y la clave,
medios de transmisión para transmitir al equipo terminal dichas interrogaciones contenidas en los bloques de datos de autenticación,
caracterizado porque dicho equipo terminal comprende adicionalmente:
medios de selección (SB) para elegir una interrogación a utilizar, y unos primeros medios de transmisión de mensajes dispuestos para:
localizar en dicha unidad de datos un valor que indica una clave, donde dicha clave corresponde a la interrogación elegida para su utilización en el equipo terminal; y
definir una autenticación en función de la clave elegida; y dispuesto adicionalmente para:
transmitir dicha autenticación y una unidad de datos (SPI) a la red de telecomunicaciones, conteniendo dicha unidad de datos información relativa a la forma en que se genera la autenticación,
comprendiendo adicionalmente el sistema medios de comprobación (HA) para definir un valor de troceo con ayuda de la unidad de datos (SPI) en función de la clave elegida.
11. Sistema como el definido en la reivindicación 10, caracterizado porque la unidad de identificación localizada en conexión con el equipo terminal, es un módulo de identificación de abonado SIM utilizado en el sistema de comunicaciones móviles GSM.
12. Sistema como el definido en la reivindicación 10, caracterizado porque dichos medios de generación incluyen un centro de autenticación AuC del sistema de comunicaciones móviles GSM.
13. Sistema como el definido en la reivindicación 10, caracterizado porque dichos medios de transmisión comprenden medios (SMSC) que llevan a cabo un conocido centro de conmutación de mensajes cortos 15.
ES99934737T 1998-07-07 1999-07-02 Metodo de auntenticacion y el correspondiente sistema para red de telecomunicaciones. Expired - Lifetime ES2285848T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI981564A FI105965B (fi) 1998-07-07 1998-07-07 Autentikointi tietoliikenneverkosssa
FI981564 1998-07-07

Publications (1)

Publication Number Publication Date
ES2285848T3 true ES2285848T3 (es) 2007-11-16

Family

ID=8552156

Family Applications (1)

Application Number Title Priority Date Filing Date
ES99934737T Expired - Lifetime ES2285848T3 (es) 1998-07-07 1999-07-02 Metodo de auntenticacion y el correspondiente sistema para red de telecomunicaciones.

Country Status (9)

Country Link
US (1) US7660772B2 (es)
EP (1) EP1095533B1 (es)
JP (1) JP2002520708A (es)
AT (1) ATE357827T1 (es)
AU (1) AU5040399A (es)
DE (1) DE69935590T2 (es)
ES (1) ES2285848T3 (es)
FI (1) FI105965B (es)
WO (1) WO2000002407A2 (es)

Families Citing this family (145)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8706630B2 (en) 1999-08-19 2014-04-22 E2Interactive, Inc. System and method for securely authorizing and distributing stored-value card data
CA2384436C (en) * 1999-09-10 2010-06-29 Portogo, Inc. Systems and method for insuring correct data transmission over the internet
FR2802372B1 (fr) * 1999-12-09 2002-05-03 France Telecom Systeme de paiement electronique a travers un reseau de telecommunication
AU780943B2 (en) * 1999-12-30 2005-04-28 International Business Machines Corporation Method of payment by means of an electronic communication device
US7895126B1 (en) * 2000-03-10 2011-02-22 Kudelski S.A. Method, communications system and receiver device for the billing of access controlled programmes and /or data from broadcast transmitters
US7147558B2 (en) * 2000-03-22 2006-12-12 Wms Gaming Inc. System and method for dispensing gaming machine credits in multiple different media of monetary exchange
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
US8903737B2 (en) * 2000-04-25 2014-12-02 Accenture Global Service Limited Method and system for a wireless universal mobile product interface
PT1281137E (pt) * 2000-05-09 2004-02-27 Swisscom Mobile Ag Processo de transaccoes e sistema de venda
US7529563B1 (en) * 2000-07-10 2009-05-05 Pitroda Satyan G System for distribution and use of virtual stored value cards
US7240036B1 (en) 2000-07-13 2007-07-03 Gtech Global Services Corporation Method and system for facilitation of wireless e-commerce transactions
US7933589B1 (en) * 2000-07-13 2011-04-26 Aeritas, Llc Method and system for facilitation of wireless e-commerce transactions
US7979057B2 (en) 2000-10-06 2011-07-12 S.F. Ip Properties 62 Llc Third-party provider method and system
US7039022B1 (en) * 2000-11-16 2006-05-02 Telefonaktiebolaget Lm Ericsson (Publ) Transaction system
US20020116329A1 (en) * 2001-02-20 2002-08-22 Serbetcioglu Bekir Sami Systems and methods for approval of credit/debit account transactions using a wireless device
GB2367986B (en) * 2001-03-16 2002-10-09 Ericsson Telefon Ab L M Address mechanisms in internet protocol
KR20020078989A (ko) * 2001-04-12 2002-10-19 (주)엠커머스 휴대단말기를 이용한 신용카드 거래인증 시스템 및 그 방법
US7444513B2 (en) * 2001-05-14 2008-10-28 Nokia Corporiation Authentication in data communication
US6581845B2 (en) * 2001-07-11 2003-06-24 Ri-Ju Ye Chip-base plastic currency with cash amount loading function
US7328842B2 (en) * 2001-08-14 2008-02-12 Ikan Technologies Inc. Networked waste processing apparatus
FI20011680L (fi) * 2001-08-21 2003-02-22 Bookit Oy Ajanvarausmenetelmä ja -järjestelmä
US7603081B2 (en) * 2001-09-14 2009-10-13 Atc Technologies, Llc Radiotelephones and operating methods that use a single radio frequency chain and a single baseband processor for space-based and terrestrial communications
US7996888B2 (en) 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
CN1215386C (zh) * 2002-04-26 2005-08-17 St微电子公司 根据量子软计算控制过程或处理数据的方法和硬件体系结构
BRPI0309523B1 (pt) * 2002-04-26 2016-08-30 Thomson Licensing Sa método para permitir um dispositivo de usuário ganhar acesso a uma lan sem fios e método para acessar uma lan sem fios usando um dispositivo de usuário
CA2481872A1 (en) * 2002-04-28 2003-11-13 Paycool International Limited System to enable a telecom operator provide financial transactions services and methods for implementing such transactions
KR101002471B1 (ko) 2002-06-06 2010-12-17 톰슨 라이센싱 계층적 인증을 이용하는 브로커-기반 연동
AU2002315981B2 (en) * 2002-06-18 2009-02-19 Telefonaktiebolaget L M Ericsson (Publ) Parallel coordinated operations in private domains
US7784684B2 (en) * 2002-08-08 2010-08-31 Fujitsu Limited Wireless computer wallet for physical point of sale (POS) transactions
US7801826B2 (en) * 2002-08-08 2010-09-21 Fujitsu Limited Framework and system for purchasing of goods and services
US7349871B2 (en) * 2002-08-08 2008-03-25 Fujitsu Limited Methods for purchasing of goods and services
US7822688B2 (en) * 2002-08-08 2010-10-26 Fujitsu Limited Wireless wallet
US7606560B2 (en) * 2002-08-08 2009-10-20 Fujitsu Limited Authentication services using mobile device
US7353382B2 (en) * 2002-08-08 2008-04-01 Fujitsu Limited Security framework and protocol for universal pervasive transactions
US20040107170A1 (en) * 2002-08-08 2004-06-03 Fujitsu Limited Apparatuses for purchasing of goods and services
NZ538119A (en) * 2002-08-16 2006-09-29 Togewa Holding Ag Method and system for GSM authentication during WLAN roaming
GB2394327B (en) * 2002-10-17 2006-08-02 Vodafone Plc Device for facilitating and authenticating transactions
JP4511459B2 (ja) 2002-10-17 2010-07-28 ヴォウダフォン・グループ・ピーエルシー トランザクションの容易化および認証
US8783561B2 (en) 2006-07-14 2014-07-22 Modiv Media, Inc. System and method for administering a loyalty program and processing payments
US8626130B2 (en) * 2005-08-23 2014-01-07 Modiv Media, Inc. System and method for user controlled log-in; interacting and log-out
US9811836B2 (en) 2002-10-23 2017-11-07 Modiv Media, Inc System and method of a media delivery services platform for targeting consumers in real time
US10430798B2 (en) 2002-10-23 2019-10-01 Matthew Volpi System and method of a media delivery services platform for targeting consumers in real time
US11257094B2 (en) 2002-10-23 2022-02-22 Catalina Marketing Corporation System and method of a media delivery services platform for targeting consumers in real time
US10657561B1 (en) 2008-08-20 2020-05-19 Modiv Media, Inc. Zone tracking system and method
EG23422A (en) * 2002-11-24 2005-07-10 Ashraf Kamal Salem Mashhour Scheme for spreading and easy use of electronic services and remote payments.
US6934535B2 (en) * 2002-12-02 2005-08-23 Nokia Corporation Privacy protection in a server
US7136937B2 (en) * 2003-05-25 2006-11-14 M Systems Ltd. Contact and contactless interface storage device with processor
US7761374B2 (en) * 2003-08-18 2010-07-20 Visa International Service Association Method and system for generating a dynamic verification value
GB2406925B (en) * 2003-10-09 2007-01-03 Vodafone Plc Facilitating and authenticating transactions
US8655309B2 (en) 2003-11-14 2014-02-18 E2Interactive, Inc. Systems and methods for electronic device point-of-sale activation
US7877605B2 (en) * 2004-02-06 2011-01-25 Fujitsu Limited Opinion registering application for a universal pervasive transaction framework
WO2005091666A1 (ja) * 2004-03-17 2005-09-29 Ip Talk Corporation 無線通信端末及び無線通信方法
US7792516B2 (en) * 2004-11-08 2010-09-07 Tonie Soderstrom Purchase card system and method therefor
GB2410113A (en) * 2004-11-29 2005-07-20 Morse Group Ltd A system and method of accessing banking services via a mobile telephone
US9821344B2 (en) 2004-12-10 2017-11-21 Ikan Holdings Llc Systems and methods for scanning information from storage area contents
EP1866531A2 (en) * 2005-03-09 2007-12-19 Zajac Optimum Output Motors, Inc. Internal combustion engine and method with improved combustion chamber
FR2883115A1 (fr) * 2005-03-11 2006-09-15 France Telecom Procede d'etablissement d'un lien de communication securise
US20080313056A1 (en) * 2005-06-03 2008-12-18 Shadow Enterprises Inc. Ordering and Image Transmission System and Method Utilizing Instant Messaging
US8947542B2 (en) * 2005-07-26 2015-02-03 Alex Is The Best, Llc Integrated internet camera system and method
US7633524B2 (en) * 2005-07-26 2009-12-15 Frank Clemente Integrated internet camera system
US7494067B1 (en) * 2005-09-07 2009-02-24 Sprint Communications Company L.P. Alternate authorization for proximity card
DE102006006072B3 (de) * 2006-02-09 2007-08-23 Siemens Ag Verfahren zum Sichern der Authentizität von Nachrichten, die gemäß einem Mobile Internet Protokoll ausgetauscht werden
US8430298B2 (en) * 2006-02-13 2013-04-30 The Western Union Company Presentation instrument package arrangement
US7896252B2 (en) * 2006-02-13 2011-03-01 The Western Union Company Presentation instrument with user-created pin and methods for activating
US8145568B2 (en) * 2006-07-06 2012-03-27 Firethorn Mobile, Inc. Methods and systems for indicating a payment in a mobile environment
US8467766B2 (en) 2006-07-06 2013-06-18 Qualcomm Incorporated Methods and systems for managing payment sources in a mobile environment
US8160959B2 (en) 2006-07-06 2012-04-17 Firethorn Mobile, Inc. Methods and systems for payment transactions in a mobile environment
US8121945B2 (en) 2006-07-06 2012-02-21 Firethorn Mobile, Inc. Methods and systems for payment method selection by a payee in a mobile environment
US8489067B2 (en) 2006-07-06 2013-07-16 Qualcomm Incorporated Methods and systems for distribution of a mobile wallet for a mobile device
US9911114B2 (en) 2006-07-06 2018-03-06 Qualcomm Incorporated Methods and systems for making a payment via a stored value card in a mobile environment
US8510220B2 (en) 2006-07-06 2013-08-13 Qualcomm Incorporated Methods and systems for viewing aggregated payment obligations in a mobile environment
KR20090097960A (ko) 2007-01-09 2009-09-16 비자 유에스에이 인코포레이티드 임계 표시자를 구비하는 모바일 전화기 지불 프로세스
CN101291329A (zh) * 2007-04-16 2008-10-22 林仲宇 以电话号码及识别码做为网络在线刷卡双重认证之方法
US8768778B2 (en) * 2007-06-29 2014-07-01 Boku, Inc. Effecting an electronic payment
CN103686733A (zh) 2007-08-13 2014-03-26 苹果公司 用于移动ipv4的新diameter信令
WO2009026460A1 (en) 2007-08-23 2009-02-26 Giftango Corporation Systems and methods for electronic delivery of stored value
DE102007050055A1 (de) * 2007-10-17 2009-05-20 Deutsche Telekom Ag Verfahren zum Abwickeln eines Parkvorgangs mit Hilfe eines Mobilfunkgerätes
US7726579B2 (en) * 2008-01-10 2010-06-01 Sony Corporation In-chassis TV chip with dynamic purse
GB2457445A (en) * 2008-02-12 2009-08-19 Vidicom Ltd Verifying payment transactions
US20090288012A1 (en) 2008-05-18 2009-11-19 Zetawire Inc. Secured Electronic Transaction System
GB0809383D0 (en) 2008-05-23 2008-07-02 Vidicom Ltd Customer to supplier funds transfer
US20100076833A1 (en) * 2008-09-19 2010-03-25 Giftango Corporation Systems and methods for managing and using a virtual card
US20100082487A1 (en) * 2008-09-26 2010-04-01 Giftango Corporation Systems and methods for managing a virtual card based on geographical information
US20100131347A1 (en) * 2008-11-24 2010-05-27 Research In Motion Limited Electronic payment system using mobile wireless communications device and associated methods
US8930272B2 (en) * 2008-12-19 2015-01-06 Ebay Inc. Systems and methods for mobile transactions
US9652761B2 (en) * 2009-01-23 2017-05-16 Boku, Inc. Systems and methods to facilitate electronic payments
US9990623B2 (en) * 2009-03-02 2018-06-05 Boku, Inc. Systems and methods to provide information
US8700530B2 (en) * 2009-03-10 2014-04-15 Boku, Inc. Systems and methods to process user initiated transactions
US20100299220A1 (en) * 2009-05-19 2010-11-25 Boku, Inc. Systems and Methods to Confirm Transactions via Mobile Devices
US20100306015A1 (en) * 2009-05-29 2010-12-02 Boku, Inc. Systems and Methods to Schedule Transactions
US9595028B2 (en) 2009-06-08 2017-03-14 Boku, Inc. Systems and methods to add funds to an account via a mobile communication device
US20100312645A1 (en) * 2009-06-09 2010-12-09 Boku, Inc. Systems and Methods to Facilitate Purchases on Mobile Devices
US9697510B2 (en) * 2009-07-23 2017-07-04 Boku, Inc. Systems and methods to facilitate retail transactions
US9519892B2 (en) * 2009-08-04 2016-12-13 Boku, Inc. Systems and methods to accelerate transactions
US20110078077A1 (en) * 2009-09-29 2011-03-31 Boku, Inc. Systems and Methods to Facilitate Online Transactions
US20110125610A1 (en) * 2009-11-20 2011-05-26 Boku, Inc. Systems and Methods to Automate the Initiation of Transactions via Mobile Devices
US20110137740A1 (en) 2009-12-04 2011-06-09 Ashmit Bhattacharya Processing value-ascertainable items
US8412626B2 (en) * 2009-12-10 2013-04-02 Boku, Inc. Systems and methods to secure transactions via mobile devices
US20110143710A1 (en) * 2009-12-16 2011-06-16 Boku, Inc. Systems and methods to facilitate electronic payments
WO2011084648A2 (en) * 2009-12-16 2011-07-14 Giftango Corporation Systems and methods for generating a virtual value item for a promotional campaign
US10255591B2 (en) * 2009-12-18 2019-04-09 Visa International Service Association Payment channel returning limited use proxy dynamic value
US8566188B2 (en) * 2010-01-13 2013-10-22 Boku, Inc. Systems and methods to route messages to facilitate online transactions
US20110185406A1 (en) * 2010-01-26 2011-07-28 Boku, Inc. Systems and Methods to Authenticate Users
US20110213671A1 (en) * 2010-02-26 2011-09-01 Boku, Inc. Systems and Methods to Process Payments
US20110217994A1 (en) * 2010-03-03 2011-09-08 Boku, Inc. Systems and Methods to Automate Transactions via Mobile Devices
US20110238483A1 (en) * 2010-03-29 2011-09-29 Boku, Inc. Systems and Methods to Distribute and Redeem Offers
US8583504B2 (en) * 2010-03-29 2013-11-12 Boku, Inc. Systems and methods to provide offers on mobile devices
US10068287B2 (en) 2010-06-11 2018-09-04 David A. Nelsen Systems and methods to manage and control use of a virtual card
CA2808093A1 (en) 2010-08-11 2012-02-16 Boku, Inc. Systems and methods to identify carrier information for transmission of premium messages
US9031869B2 (en) 2010-10-13 2015-05-12 Gift Card Impressions, LLC Method and system for generating a teaser video associated with a personalized gift
US9483786B2 (en) 2011-10-13 2016-11-01 Gift Card Impressions, LLC Gift card ordering system and method
US8699994B2 (en) 2010-12-16 2014-04-15 Boku, Inc. Systems and methods to selectively authenticate via mobile communications
US8583496B2 (en) 2010-12-29 2013-11-12 Boku, Inc. Systems and methods to process payments via account identifiers and phone numbers
US8700524B2 (en) 2011-01-04 2014-04-15 Boku, Inc. Systems and methods to restrict payment transactions
US9123040B2 (en) 2011-01-21 2015-09-01 Iii Holdings 1, Llc Systems and methods for encoded alias based transactions
US10089606B2 (en) 2011-02-11 2018-10-02 Bytemark, Inc. System and method for trusted mobile device payment
US20120296826A1 (en) 2011-05-18 2012-11-22 Bytemark, Inc. Method and system for distributing electronic tickets with visual display
US10762733B2 (en) 2013-09-26 2020-09-01 Bytemark, Inc. Method and system for electronic ticket validation using proximity detection
US10453067B2 (en) 2011-03-11 2019-10-22 Bytemark, Inc. Short range wireless translation methods and systems for hands-free fare validation
US10360567B2 (en) 2011-03-11 2019-07-23 Bytemark, Inc. Method and system for distributing electronic tickets with data integrity checking
US8494967B2 (en) 2011-03-11 2013-07-23 Bytemark, Inc. Method and system for distributing electronic tickets with visual display
WO2012148842A1 (en) 2011-04-26 2012-11-01 Boku, Inc. Systems and methods to facilitate repeated purchases
US9191217B2 (en) 2011-04-28 2015-11-17 Boku, Inc. Systems and methods to process donations
US9830622B1 (en) 2011-04-28 2017-11-28 Boku, Inc. Systems and methods to process donations
US20130073458A1 (en) * 2011-09-19 2013-03-21 Cardinalcommerce Corporation Open wallet for electronic transactions
US20130159178A1 (en) * 2011-12-14 2013-06-20 Firethorn Mobile, Inc. System and Method For Loading A Virtual Token Managed By A Mobile Wallet System
US10417677B2 (en) 2012-01-30 2019-09-17 Gift Card Impressions, LLC Group video generating system
US8682385B2 (en) * 2012-05-11 2014-03-25 International Business Machines Corporation Managing third party transactions at a mobile operator
US10943432B2 (en) 2012-09-04 2021-03-09 E2Interactive, Inc. Processing of a game-playing transaction based on location
US10229561B2 (en) 2012-09-04 2019-03-12 Linq3 Technologies Llc Processing of a user device game-playing transaction based on location
EP2893504A4 (en) 2012-09-04 2016-02-24 Linq3 Technologies Llc SYSTEM AND METHOD FOR INTEGRATED GAME THROUGH THE USE OF BAR CODES ON SMARTPHONES AND PORTABLE DEVICES
US9565911B2 (en) 2013-02-15 2017-02-14 Gift Card Impressions, LLC Gift card presentation devices
US11219288B2 (en) 2013-02-15 2022-01-11 E2Interactive, Inc. Gift card box with slanted tray and slit
US10115268B2 (en) 2013-03-15 2018-10-30 Linq3 Technologies Llc Systems and methods for integrated game play at payment-enabled terminals
US10217107B2 (en) 2013-05-02 2019-02-26 Gift Card Impressions, LLC Stored value card kiosk system and method
US9443268B1 (en) 2013-08-16 2016-09-13 Consumerinfo.Com, Inc. Bill payment and reporting
US10325314B1 (en) 2013-11-15 2019-06-18 Consumerinfo.Com, Inc. Payment reporting systems
US10262346B2 (en) 2014-04-30 2019-04-16 Gift Card Impressions, Inc. System and method for a merchant onsite personalization gifting platform
CN105338164A (zh) 2014-08-01 2016-02-17 阿里巴巴集团控股有限公司 充值提示方法和充值提示装置
US11803784B2 (en) 2015-08-17 2023-10-31 Siemens Mobility, Inc. Sensor fusion for transit applications
CA2989051C (en) 2015-08-17 2024-05-28 Bytemark, Inc. Short range wireless translation methods and systems for hands-free fare validation
US10954049B2 (en) 2017-12-12 2021-03-23 E2Interactive, Inc. Viscous liquid vessel for gifting
US12020309B2 (en) 2018-05-18 2024-06-25 E2Interactive, Inc. Augmented reality gifting on a mobile device
US10880313B2 (en) 2018-09-05 2020-12-29 Consumerinfo.Com, Inc. Database platform for realtime updating of user data from third party sources
JP2022502922A (ja) * 2018-09-27 2022-01-11 コンヴィーダ ワイヤレス, エルエルシー 3gppプライベートlan

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2066715C (en) * 1990-08-29 1995-03-21 Kenneth C. Kung Challenge-and-response user authentication protocol
US5311596A (en) * 1992-08-31 1994-05-10 At&T Bell Laboratories Continuous authentication using an in-band or out-of-band side channel
US5455863A (en) * 1993-06-29 1995-10-03 Motorola, Inc. Method and apparatus for efficient real-time authentication and encryption in a communication system
US5537474A (en) * 1994-07-29 1996-07-16 Motorola, Inc. Method and apparatus for authentication in a communication system
US7743248B2 (en) * 1995-01-17 2010-06-22 Eoriginal, Inc. System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
US5991407A (en) * 1995-10-17 1999-11-23 Nokia Telecommunications Oy Subscriber authentication in a mobile communications system
US5864757A (en) * 1995-12-12 1999-01-26 Bellsouth Corporation Methods and apparatus for locking communications devices
US6167279A (en) * 1996-03-13 2000-12-26 Telcordia Technologies, Inc. Method and system for supporting PACS using a GSM mobile switching center
US5729537A (en) * 1996-06-14 1998-03-17 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for providing anonymous data transfer in a communication system
EP0960402B1 (en) * 1996-06-19 2007-09-26 Behruz Vazvan Real time system and method for remote purchase payment and remote bill payment transactions and transferring of electronic cash and other required data
US6219793B1 (en) * 1996-09-11 2001-04-17 Hush, Inc. Method of using fingerprints to authenticate wireless communications
FI103469B (fi) * 1996-09-17 1999-06-30 Nokia Telecommunications Oy Kopioidun tilaajatunnuksen väärinkäytön estäminen matkaviestinjärjeste lmässä
US6909708B1 (en) * 1996-11-18 2005-06-21 Mci Communications Corporation System, method and article of manufacture for a communication system architecture including video conferencing
US7145898B1 (en) * 1996-11-18 2006-12-05 Mci Communications Corporation System, method and article of manufacture for selecting a gateway of a hybrid communication system architecture
US6377691B1 (en) * 1996-12-09 2002-04-23 Microsoft Corporation Challenge-response authentication and key exchange for a connectionless security protocol
US6061346A (en) * 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
US7003480B2 (en) * 1997-02-27 2006-02-21 Microsoft Corporation GUMP: grand unified meta-protocol for simple standards-based electronic commerce transactions
WO1998044402A1 (en) * 1997-03-27 1998-10-08 British Telecommunications Public Limited Company Copy protection of data
US6414950B1 (en) 1997-10-14 2002-07-02 Lucent Technologies Inc. Sequence delivery of messages
US6076163A (en) * 1997-10-20 2000-06-13 Rsa Security Inc. Secure user identification based on constrained polynomials
US6772336B1 (en) * 1998-10-16 2004-08-03 Alfred R. Dixon, Jr. Computer access authentication method
KR100395526B1 (ko) * 2001-12-14 2003-08-25 삼성전자주식회사 잉크젯 프린터의 캐리지 얼라인먼트 조정장치
JP2004242142A (ja) * 2003-02-07 2004-08-26 Nippon Telegr & Teleph Corp <Ntt> ユーザ管理方法、該方法に使用する加入者収容ルータ装置及び加入者認証サーバ装置、及び該方法を実行させるためのコンピュータプログラム

Also Published As

Publication number Publication date
ATE357827T1 (de) 2007-04-15
FI105965B (fi) 2000-10-31
EP1095533B1 (en) 2007-03-21
DE69935590T2 (de) 2007-10-25
US7660772B2 (en) 2010-02-09
EP1095533A2 (en) 2001-05-02
AU5040399A (en) 2000-01-24
JP2002520708A (ja) 2002-07-09
DE69935590D1 (de) 2007-05-03
US20010005840A1 (en) 2001-06-28
WO2000002407A2 (en) 2000-01-13
FI981564A0 (fi) 1998-07-07
WO2000002407A3 (en) 2000-02-24
FI981564A7 (fi) 2000-01-08

Similar Documents

Publication Publication Date Title
ES2285848T3 (es) Metodo de auntenticacion y el correspondiente sistema para red de telecomunicaciones.
ES3037810T3 (en) Method, device, and system for anchor key generation and management in a communication network for encrypted communication with service applications
EP1671449B1 (en) Authenticated key exchange based on pairwise master key
US10425808B2 (en) Managing user access in a communications network
EP1771029B1 (en) Method for performing authentication in a communications system
US7280820B2 (en) System and method for authentication in a mobile communications system
US8514851B2 (en) Mobile IPv6 authentication and authorization baseline
US12089034B2 (en) Protection of privacy in wireless telecommunication networks
US20110268274A1 (en) Authentication and Key Establishment in Wireless Sensor Networks
US20050232429A1 (en) Securing home agent to mobile node communication with HA-MN key
KR20000012072A (ko) 두 당사자 인증 및 키 일치 방법
ES2349292T3 (es) Procedimiento y servidor para proporcionar una clave de movilidad.
EA014148B1 (ru) Способ и система для предоставления ключа протокола mobile ip
US11330428B2 (en) Privacy key in a wireless communication system
WO2005060150A1 (en) Method and apparatus for authenticating subscriber and network in wireless internet system
Qiu et al. A PMIPv6-based secured mobility scheme for 6LoWPAN
KR100596397B1 (ko) 모바일 IPv6 환경에서 라디우스 기반 AAA 서버의세션키 분배 방법
KR100670790B1 (ko) 이동 IPv6 환경에서 AAA기반 구조를 통한IPSec 보안 연계 분배 방법
ES2616499T3 (es) Aparatos y método para autenticación en redes de IP heterogéneas
Oladayo et al. PA-AKA: Privacy-Aware and Lightweight Authentication Scheme for Long Term Evolution (LTE)
Chen et al. Research on the Model of IPSec over WLAN and Improving of Key Exchange
Georgiades et al. Distributed authentication protocol for the security of binding updates in mobile IPv6
HK1091616B (en) Authenticated key exchange based on pairwise master key
Helal et al. A privacy preserving authentication in WLAN using RADIUS