ES2328708T3 - Procedimiento para adaptar los reglajes de seguridad de una estacion de comunicaciones y estacion de comunicaciones. - Google Patents

Procedimiento para adaptar los reglajes de seguridad de una estacion de comunicaciones y estacion de comunicaciones. Download PDF

Info

Publication number
ES2328708T3
ES2328708T3 ES05109197T ES05109197T ES2328708T3 ES 2328708 T3 ES2328708 T3 ES 2328708T3 ES 05109197 T ES05109197 T ES 05109197T ES 05109197 T ES05109197 T ES 05109197T ES 2328708 T3 ES2328708 T3 ES 2328708T3
Authority
ES
Spain
Prior art keywords
security
event
mobile terminal
station
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES05109197T
Other languages
English (en)
Inventor
Renato Cantini
Paul Aebi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Swisscom AG
Original Assignee
Swisscom AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Swisscom AG filed Critical Swisscom AG
Application granted granted Critical
Publication of ES2328708T3 publication Critical patent/ES2328708T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • H04W8/183Processing at user equipment or user record carrier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Alarm Systems (AREA)

Abstract

Un procedimiento para adaptar los parámetros de seguridad de una estación de comunicaciones (12) dependiendo de un evento que afecta a la seguridad, en el que la estación de comunicaciones (12) comprende un terminal móvil (16) con un módulo de identificación (18), y el procedimiento comprende las siguientes etapas de: (a) identificación del evento que afecta a la seguridad, que se produce en dicha estación de comunicaciones y/o dicho terminal móvil (16); (b) actualización de un registro de seguridad (30) existente en el módulo de identificación (18) de acuerdo con el evento que afecta a la seguridad; y (c) adaptación y refuerzo del nivel de seguridad de la estación de comunicaciones (12) de acuerdo con el registro de seguridad (30) del módulo de identificación (18), caracterizado porque dichos parámetros de seguridad, que se definen en el registro de seguridad (30), se usan para limitar el derecho o derechos de una aplicación, un grupo de aplicaciones o la totalidad de las aplicaciones (60, 60 1, 60 2) ejecutadas por dicha estación de comunicaciones (12) o terminal móvil (16), incluida la restricción de acceso a aplicaciones (60, 601, 602) existentes en dicho módulo de identificación (18) por parte de otros componentes de dicha estación de comunicaciones (12).

Description

Procedimiento para adaptar los reglajes de seguridad de una estación de comunicaciones y estación de comunicaciones.
\global\parskip0.900000\baselineskip
Campo técnico de la invención
La presente invención se refiere a un procedimiento para adaptar los parámetros de seguridad de una estación de comunicaciones que comprende un puesto de trabajo y un terminal móvil provisto de un módulo de identificación, y a una estación de comunicaciones de acuerdo con las reivindicaciones independientes.
Descripción de la técnica relacionada
En la técnica anterior, se describen diferentes mecanismos de control de acceso para, por ejemplo, regular el control de acceso de una aplicación a unos datos o a un dispositivo, en los documentos WO-A1-00/67212, US-A-5.517.014 o US-B1-6.216.014.
Además, el documento US-A1-2004/172370 se refiere a reglas de acceso de cumplimiento de sujetos con objetos con una política de seguridad predeterminada en una tarjeta inteligente. Cada regla de acceso define el derecho de un sujeto a llevar a cabo una acción sobre un objeto. La política de seguridad define las reglas de seguridad para el acceso de los sujetos a los objetos. Para una operación relacionada con un objeto dado, se compara con las reglas de seguridad al menos una regla de acceso relacionada con el objeto dado para aceptar la operación cuando la regla de acceso cumpla con todas las reglas de seguridad; en caso contrario, no se acepta la operación. Una operación puede ser la carga de un objeto tal como una aplicación, una modificación de las reglas de acceso, la supresión o adición de un sujeto, o una solicitud de acceso a un objeto dado por parte de un sujeto o grupo de sujetos.
En el documento EP-A1-11475978, se describen los detalles de un aparato y un procedimiento para gestionar procesos simultáneos de control de recursos de radio de la red de acceso a radio terrestre universal (UTRAN) que cambian la configuración de seguridad en el equipo de un usuario del sistema universal de telecomunicaciones móviles (UMTS). De acuerdo con un aspecto de la descripción, se proporciona un aparato que constituye un equipo de usuario que posee un gestor de mensajes, un procesador secuencial, una memoria de instrucciones, y un detector de cambios en la configuración de seguridad. Dicho gestor de mensajes está conectado con dicha memoria de instrucciones, con dicho procesador secuencial, y con dicho detector de cambios en la configuración de seguridad para guardar, procesar y detectar respectivamente los cambios en la configuración en instrucciones, y para determinar si existe alguna instrucción en el equipo del usuario, de tal modo que, para la UTRAN, parezca que el equipo del usuario procesa instrucciones de forma simultánea. De acuerdo con otro aspecto, se proporciona un procedimiento para procesar instrucciones simultáneas en el equipo de un usuario que posea una configuración de seguridad, que incluye las siguientes etapas: determinación de si existe alguna instrucción en el equipo del usuario; tras recibir una instrucción recibida: suspensión del procesamiento de instrucciones existente; determinación de si las instrucciones contienen algún cambio en la configuración de seguridad; y rechazo de la instrucción recibida o conservación de la instrucción recibida antes de retomar la instrucción existente; de tal modo que, para la UTRAN, parezca que el equipo del usuario procesa instrucciones de forma simultánea.
El documento EP-A1-1478196 se refiere a un módulo y un procedimiento para detectar al menos un evento en un equipo de abonado de telefonía celular móvil, que se basa en detectar el momento en que una tarjeta se pone en contacto operativo con el terminal de teléfono móvil, si el código que identifica al terminal o la tarjeta es el mismo que el código correspondiente leído en una ocasión anterior. Si no es el mismo, se entiende que se ha producido un cambio de terminal o un cambio de tarjeta, o que el terminal o la tarjeta han sido usados por primera vez, y se genera y envía un mensaje correspondiente. El código que identifica el terminal puede ser el IMEI, y el código que identifica la tarjeta puede ser el IMSI y/o el ICC-ID.
El documento WO-A1-01/08435 se refiere a un procedimiento y unos dispositivos, relacionados con el mismo, para configurar el nivel de seguridad de las funciones de cifrado usadas en los terminales de comunicaciones. En un teléfono móvil, se reciben de forma segura parámetros de situación tales como el código de identificación de un país en el que se encuentre situado temporalmente el terminal de telecomunicaciones, desde una fuente segura y a través de una red de telefonía móvil. Además, en dicha red de telecomunicaciones se determinan parámetros de seguridad tales como la máxima longitud aceptable (en bits) de las claves de cifrado, basándose en los parámetros de situación recibidos; y dichos parámetros de seguridad son usados por las funciones de cifrado y determinan el nivel de seguridad.
En la técnica anterior, en condiciones normales, la tarjeta SIM de una estación móvil no detecta que se produzca cambio alguno en el hardware o el software del terminal móvil o de un ordenador conectado al terminal móvil. Pueden producirse cambios en la conectividad de la red o en el estado de bloqueo del ordenador sin que la tarjeta SIM reciba la información. Por lo tanto, el terminal móvil y/o el ordenador asociado suele implantar sus propios mecanismos de seguridad, que son totalmente independientes de la tarjeta SIM. Esto puede ser perjudicial, ya que las aplicaciones ejecutadas en la tarjeta SIM pueden exponer las credenciales confidenciales a un entorno de ejecución externa. Por lo tanto, podría ser conveniente disponer de una tarjeta SIM capaz de imponer una política de seguridad. Además, es posible que el operador de red que expide la tarjeta SIM desee que sus abonados se vean obligados a respetar ciertos mecanismos de seguridad, o que ofrezca a los usuarios una manera más sencilla de utilizar su estación de comunicaciones de forma segura.
\global\parskip1.000000\baselineskip
Breve resumen de la invención
Un objetivo de la presente invención es crear un procedimiento para adaptar los parámetros de seguridad de una estación de comunicaciones que comprende un terminal móvil provisto de un módulo de identificación y crear una estación de comunicaciones y un módulo de identificación correspondientes.
Otro objetivo de la invención es adaptar los parámetros de seguridad de un módulo de identificación, tal como una tarjeta SIM, a eventos externos, es decir, eventos que se producen fuera de la tarjeta SIM.
De acuerdo con la invención, estos objetivos se logran mediante un procedimiento para adaptar los parámetros de seguridad de una estación de comunicaciones dependiendo de un evento que afecta a la seguridad de acuerdo con el preámbulo de la reivindicación 1, en la que dichos parámetros de seguridad, que se definen en el registro de seguridad, se usan para limitar el derecho o los derechos de una sola aplicación, un grupo de aplicaciones o todas las aplicaciones ejecutadas por dicha estación de comunicaciones o terminal móvil, incluida la restricción de acceso a aplicaciones incluidas en dicho módulo de identificación por parte de otros componentes de dicha estación de comunicaciones.
De acuerdo con la invención, estos objetivos también se logran mediante una estación de comunicaciones que comprende un terminal móvil provisto de un módulo de identificación de acuerdo con el preámbulo de la reivindicación 25, en el que dichos parámetros de seguridad, que se definen en el registro de seguridad, se usan para limitar el derecho o los derechos de una aplicación, un grupo de aplicaciones o todas las aplicaciones ejecutadas por dicha estación de comunicaciones o terminal móvil, incluida la restricción de acceso a aplicaciones en dicho módulo de identificación por parte de otros componentes de dicha estación de comunicaciones.
De acuerdo con la presente invención, un "evento que afecta a la seguridad" comprende una o una pluralidad de las siguientes acciones, llevadas a cabo por el usuario o por cualquier aplicación: cambio en la configuración del hardware de dicha estación de comunicaciones o terminal móvil, conexión de dicha estación de comunicaciones o terminal móvil a una red o sistema externo, evento generado por una aplicación ejecutada por dicha estación de comunicaciones o terminal móvil y evento transmitido de forma inalámbrica a dicha estación de comunicaciones. Éstas son algunas de las posibles acciones: creación, liberación, pérdida y cierre de canales de acceso desde y hacia la estación de comunicaciones, bloqueo o desbloqueo del estado de la estación de trabajo, retirada o instalación de componentes de hardware o software, inicio automático desde un dispositivo y detección de contenidos, tráfico, modificaciones, etc., malintencionados o que resulten sospechosos. Por supuesto, esta lista no incluye todos los eventos posibles; se presenta simplemente con fines ilustrativos y la invención no se limita en modo alguno a estos ejemplos. Se podría usar cualquier otro evento que pudiera resultar dañino o de relevancia para el usuario, la estación de comunicaciones o el terminal móvil. También se podría tener en cuenta un acceso a Internet adicional o acceso WLAN en un punto de acceso inalámbrico (hot spot), tal como se menciona anteriormente. Dicho evento podría incluir la actividad de un software antivirus, un firewall existente y/o una puerta de enlace IPSec. También se podrían tener en cuenta el estado de la sesión del usuario y/o el estado de un canal de conexión que implica dicho estado de comunicación.
Un evento se identifica mediante un gestor de eventos, que podría incorporarse en la estación de comunicaciones y/o el terminal móvil. La etapa de identificación de un evento que afecta a la seguridad se lleva a cabo preferentemente con uno o una pluralidad de los campos obligatorios tales como: identificador de evento, tipo de evento, fecha y hora y/o número de secuencia y campos opcionales tales como nivel crítico del evento o información adicional específica para el tipo de evento. Después de haberse identificado un evento y almacenado el evento en un registro de eventos, también se actualiza preferentemente un registro de seguridad. El registro de seguridad define todos los parámetros de seguridad de la estación de comunicaciones y para el terminal móvil. Los parámetros de seguridad también determinan preferentemente los requisitos de autenticación para una aplicación ejecutada por dicho módulo de identificación y/o dicho terminal móvil. Dichos parámetros de seguridad, que se definen en el registro de seguridad, se usan para limitar el derecho o los derechos de una sola o de la totalidad de las aplicaciones ejecutadas por dicha estación de comunicaciones o terminal móvil.
En una forma de realización ventajosa, la estación de comunicaciones comprende un ordenador y una estación móvil. La estación móvil comprende a su vez un terminal móvil, por ejemplo un teléfono celular o una tarjeta de acceso a una red celular, y un módulo de identificación, por ejemplo una tarjeta SIM. De este modo, el procedimiento de la invención comprende una etapa de adaptación de los mecanismos de seguridad usados por el ordenador y/o por el terminal móvil mediante la consulta de un registro de seguridad existente en el módulo de identificación, con el fin de determinar el nivel de seguridad que corresponda.
El módulo de identificación (por ejemplo, una tarjeta SIM) puede estar provisto de un gestor de eventos, registro de eventos y registro de seguridad compartidos, pero también es posible proporcionar un gestor de eventos y un registro de eventos compartidos y destinar un único registro de seguridad para una aplicación o un grupo de aplicaciones. La invención también es factible con un gestor de eventos compartido y un único registro de eventos y registro de seguridad para una aplicación o grupo de aplicaciones y con un único gestor de eventos, registro de eventos y registro de seguridad para una aplicación o grupo de aplicaciones.
La ventaja obtenida con la presente invención reside en que proporciona un equilibrio aceptable entre los requisitos de seguridad y la facilidad de uso y ausencia de interrupciones que se exige. Por ejemplo, la obtención de un acceso adecuado a credenciales y funciones confidenciales en el módulo de identificación y de un uso adecuado de las mismas podría depender de que se produzcan eventos específicos en el entorno de ejecución externa. Los mecanismos de control de acceso del módulo de identificación se adaptarán a estos eventos específicos siguiendo una política de seguridad pertinente definida y almacenada en el módulo de identificación y recuperada desde el mismo.
De este modo, el procedimiento de la invención limita el acceso a aplicaciones del módulo de identificación por parte del entorno externo, dependiendo del registro de seguridad.
Breve descripción de los dibujos
La invención se entenderá mejor con la ayuda de la descripción de una forma de realización, incluida a modo de ejemplo e ilustrada por las figuras, en las que:
la fig. 1a muestra una primera forma de realización de un sistema integral de comunicaciones, que ilustra una forma de realización de la presente invención;
la fig. 1b muestra una segunda forma de realización de un sistema integral de comunicaciones, que ilustra una forma de realización de la presente invención;
la fig. 1c muestra una tercera forma de realización de un sistema integral de comunicaciones, que ilustra una forma de realización de la presente invención;
la fig. 2 muestra la estructura de un módulo de identificación de acuerdo con la presente invención;
la fig. 3 ilustra un ejemplo de la invención de la autenticación para túneles VPN;
la fig. 4 ilustra una primera forma de realización de la invención con un gestor de eventos, registro de eventos y registro de seguridad compartidos dentro de la tarjeta SIM para todas las aplicaciones de la tarjeta SIM;
la fig. 5 ilustra una segunda forma de realización de la invención con un gestor de eventos y registro de eventos compartidos y un único registro de seguridad para una aplicación de la tarjeta SIM;
la fig. 6 ilustra una tercera forma de realización de la invención con un gestor de eventos compartido y un único registro de seguridad y registro de eventos para una aplicación de la tarjeta SIM; y
la fig. 7 ilustra una cuarta forma de realización de la invención con un único gestor de eventos, registro de seguridad y registro de eventos para una aplicación de la tarjeta SIM.
Descripción detallada de posibles formas de realización de la invención
Haciendo referencia en primer lugar a la fig. 1a, un sistema de comunicaciones, que se indica generalmente con el número 10, permite la comunicación de datos entre una estación de comunicaciones 12 y una red IP 14. En la solicitud de patente publicada WO-A1-01/60013 se da a conocer un sistema de comunicaciones de este tipo. La red IP 14 puede tratarse de una intranet privada a la cual se permite el acceso de forma selectiva, o cualquier otro tipo de red de comunicación de datos privados. Cuando la estación de comunicaciones 12 cuenta con el permiso para acceder a la red 14, se pueden comunicar datos entre las mismas. Además, entre la estación de comunicaciones 12 y la red 14, se puede establecer una red privada virtual como la que se da a conocer detalladamente en el documento WO-A1-01/60013.
En la forma de realización ejemplar que se ilustra en las figs. 1a a 1c, el sistema de comunicaciones 10 comprende una red de acceso inalámbrico, por ejemplo una red GSM (sistema global para comunicaciones móviles), a la cual está conectada la red IP 14. En otras formas de realización, el sistema de comunicaciones 10 puede comprender, como alternativa, otra estructura tal como una WLAN, UMTS, GPRS, EDGE o cualquier otra red de comunicaciones conocida.
La estación de comunicaciones 12 incluye un transceptor de radio, por ejemplo una estación móvil tal como un teléfono móvil convencional. La estación móvil comprende un terminal móvil 16, en este caso un equipo GSM, WLAN, GPRS, EDGE o UMTS, y un módulo de identificación 18, en este caso una tarjeta SIM (módulo de identidad del abonado), que se introduce en el terminal móvil 16 o se conecta al mismo de cualquier otro modo. Se puede usar otro tipo de módulos de identificación, incluido el USIM utilizado en las redes UMTS, o módulos de identificación virtual, que comprenden únicamente componentes de software.
El módulo de identificación incluye una posición de almacenamiento 20 para almacenar información de autenticación del abonado para autenticar el módulo incorporado en el sistema de comunicación celular 22, de forma convencional. El módulo de identificación puede incluir además una posición de almacenamiento para almacenar la dirección de la red IP privada 14.
En la forma de realización de la fig. 1a, la estación móvil 16 está conectada a un ordenador 13 mediante un enlace por cable o inalámbrico, por ejemplo a través de un conector de infrarrojos, por medio de Bluetooth, ZigBee, NFC, HomeRF o cualquier otro medio adecuado. El ordenador puede ser un ordenador personal portátil en el que se ejecute un cliente de Internet, por ejemplo un navegador web, el correo electrónico de un cliente, etc. En la forma de realización de la fig. 1b, el terminal móvil 16 consiste en una tarjeta extraíble, como por ejemplo una tarjeta PC Card, introducida en una ranura adecuada del ordenador 13, introduciéndose el propio módulo de identificación en la tarjeta extraíble.
En la forma de realización de acuerdo con la fig. 1c, el terminal móvil 16 y el ordenador 13 están integrados, formando un único aparato, por ejemplo un "teléfono inteligente" o una PDA con un interfaz para una red celular. El módulo de identificación se introducirá directamente en este equipo.
El ordenador 13 también se puede conectar directamente a Internet 15 a través de un enlace, que no se ilustra, por ejemplo un módem, una tarjeta de red, un "router", etc., independiente de la estación móvil 16.
En la forma de realización en la que ciertas partes del sistema de comunicaciones 10 están formadas a partir de una estructura de un sistema de comunicaciones GSM, tal estructura, así como la interfaz aérea formada entre la estación de comunicaciones remota 12 y la red IP privada 14, están definidas por las normas del sistema GSM.
Cuando se encuentra en funcionamiento, en el momento en que un usuario del ordenador desee acceder a la red IP privada 14, se generan las instrucciones apropiadas para iniciar una solicitud de acceso a la red IP privada 14 a través de la red celular 22.
De acuerdo con la presente invención, la política de control de acceso, definida por los parámetros de seguridad, de la estación de comunicaciones 12 depende de los eventos que afectan a la seguridad que se hayan identificado, gestionado y/o recuperado en el módulo de identificación 18. En particular, el acceso mediante el ordenador 13 y/o el terminal móvil 16 a ciertos datos, tales como credenciales o aplicaciones del módulo de identificación 18, depende de dichos eventos que afectan a la seguridad, almacenados en un registro de seguridad del módulo de identificación.
En la fig. 2, se muestra de forma esquemática el módulo de identificación 18 de la invención, que comprende, además de los elementos convencionales, un gestor de eventos 26, un registro de eventos 28 y un registro de seguridad 30.
De acuerdo con la invención, el gestor de eventos 26 del módulo de identificación 18 reconoce los eventos que afectan a la seguridad. De acuerdo con la presente invención, un "evento que afecta a la seguridad" comprende una o una pluralidad de las siguientes acciones, llevadas a cabo por el usuario o cualquier aplicación: cambio en la configuración de hardware de dicha estación de comunicaciones 12 o terminal móvil 16, conexión de dicha estación de comunicaciones 12 o terminal móvil 16 a una red o sistema externo, evento generado por una aplicación ejecutada por dicha estación de comunicaciones 12 o terminal móvil 16 y evento transmitido de forma inalámbrica a dicha estación de comunicaciones 12. Algunas de las posibles acciones son: la creación, liberación, pérdida o cierre de canales de acceso desde y hacia la estación de comunicaciones 12 (por ejemplo, túnel VPN IPSec), bloqueo o desbloqueo del estado de la estación de trabajo 12, retirada o instalación de componentes de hardware o software (nuevas interfaces o periféricos de red/conectividad, nuevos controladores o aplicaciones de red/conectividad), inicio automático desde un dispositivo (CD-ROM, DVD, USB, etc.) y detección de contenidos (software antivirus), tráfico (el firewall existente), modificaciones (sistema de detección de intrusos HIDS), etc., malintencionados o que resulten sospechosos. Por supuesto, esta lista no incluye todos los eventos posibles; se presenta simplemente con fines ilustrativos y la invención no se limita en modo alguno a estos ejemplos. Se podría usar cualquier otro evento que pudiera resultar dañino o de relevancia para el usuario, la estación de comunicaciones 12 o el terminal móvil 16. También se podría tener en cuenta un acceso a Internet 15 adicional o acceso WLAN en un hot spot, tal como se menciona anteriormente. También se podrían tener en cuenta el estado de la sesión del usuario y/o el estado de un canal de conexión que implica dicho estado de comunicación.
El evento podría ser relevante para la estación de comunicaciones 12 y para el terminal móvil 16 o sólo para uno de dichos dispositivos. Además, se puede usar la política de seguridad para definir restricciones para aplicaciones de la estación de comunicaciones 12 y/o el terminal móvil 16.
El evento se podría identificar mediante un gestor de eventos 27 situado en el terminal móvil, que se podría proporcionar además del gestor de eventos 26 contenido en el módulo de identificación 18 de la estación de comunicaciones 12 (figura 4), o en su sustitución. En esta forma de realización, el gestor de eventos 27 de la estación de comunicaciones notificará el evento al gestor de eventos 26_{1} del módulo de identificación. Los eventos que afectan a la seguridad se identifican preferentemente con uno o una pluralidad de los campos obligatorios tales como identificador de eventos, tipo de evento, fecha y hora y/o número de secuencia y campos opcionales tales como nivel crítico del evento o información adicional específica para el tipo de evento.
Después de haberse identificado un evento y almacenado el evento en un registro de eventos 28, también se actualiza preferentemente un registro de seguridad 30. El registro de seguridad 30 define todos los parámetros de seguridad de la estación de comunicaciones 12 y/o el terminal móvil 16. Los parámetros de seguridad también determinan preferentemente los requisitos de autenticación para aplicaciones ejecutadas por dicho módulo de identificación 18, por dicho terminal móvil 16 y/o por el ordenador 13. Dichos parámetros de seguridad, que se definen en el registro de seguridad 30, se usan para limitar el derecho o los derechos de una sola, un grupo o la totalidad de las aplicaciones ejecutadas por dicha estación de comunicaciones 12 o terminal móvil 16, especialmente el derecho a acceder a alguna parte o funcionalidades del módulo de identificación. Cuando se desconecta la estación de comunicaciones 12, los parámetros de seguridad se pueden almacenar y se volverán a usar cuando se vuelva a conectar la estación de comunicaciones 12.
Para comprender mejor la presente invención, las figs. 3 a 7 ilustran diferentes ejemplos de la invención y diferentes formas de realización para materializar la presente invención.
A este respecto, la fig. 3 ilustra un procedimiento para establecer túneles de red privada virtual (VPN) simultáneos, al tiempo que se lleva a cabo una autenticación sólida y sin interrupciones, usando el procedimiento de la invención. En este ejemplo, un usuario inicia una aplicación de cliente (etapa 100) con el fin de establecer un canal de comunicación seguro, por una VPN a través de Internet, con una red remota.
Cuando se abre un primer túnel VPN, este evento es identificado (etapa 110) por el gestor de eventos 26 incorporado en el módulo de identificación (o posiblemente en el terminal móvil o en el ordenador). Después, el evento es almacenado en el registro de eventos 28 (etapa 120). De acuerdo con el procedimiento de la invención, el registro de seguridad 30 existente en el módulo de identificación 18 recibe la notificación (etapa 130) y se actualiza (etapa 140) de acuerdo con el evento identificado (inicio del primer túnel VPN). Los mecanismos de seguridad o parámetros de seguridad de toda la estación de comunicaciones 12 y/o el terminal móvil 16 dependerán del registro de seguridad 30 existente en el módulo de identificación 18. De este modo, la estación de comunicaciones consulta (etapa 150) y comprueba este nivel de seguridad (etapa 160).
En el presente ejemplo, el software usado para establecer una conexión VPN que está instalado en el ordenador 13 consulta (etapa 150) y comprueba este nivel de seguridad (etapa 160). La configuración existente en el registro requiere una autenticación de usuario, por ejemplo la introducción de un código PIN o la autenticación mediante características biométricas (etapa 170), para que se establezca un túnel VPN. Después de que se hayan presentado unas credenciales sólidas de autenticación de usuario (etapa 180), éstas se pueden almacenar en el módulo de identificación 18 y/o ser comprobadas por el mismo.
En la situación de la fig. 3, después se inicia un segundo túnel VPN. De nuevo, el gestor de eventos 26 identifica inmediatamente este evento (etapa 110), que se almacena en el registro de eventos 28 (etapa 120). Después, el registro de seguridad 30 recibe la notificación (etapa 130) y se actualiza (etapa 140). No obstante, en este caso, la configuración existente en el registro no requiere que continúe la autenticación, ya que ya se han presentado credenciales sólidas de autenticación. Esto da lugar al establecimiento de un túnel VPN sin interrupciones para el usuario.
Después de haber usado los canales de comunicación, se cierran ambos túneles VPN, uno después del otro. En todas las ocasiones, el gestor de eventos 26 identifica el evento (etapa 110), que se almacena en el registro de eventos 28 (etapa 120). El registro de seguridad 30 incorporado en el módulo de identificación 18 recibe la notificación y se adapta en consecuencia a cada momento (etapas 130, 140).
Cuando se inicia otro túnel VPN (es decir, el tercer túnel VPN de nuestro ejemplo), se realiza el mismo procedimiento descrito anteriormente para la primera VPN, es decir, identificación del evento mediante el gestor de eventos 26 (etapa 110), almacenar evento en el registro 28 (etapa 120), notificarlo al registro de seguridad y actualizarlo en consecuencia (etapas 130, 140).
Debido a que no quedó ningún túnel VPN y a que el registro de seguridad se adaptó en consecuencia, una vez más se requieren unas credenciales de autenticación sólidas como las mencionadas anteriormente (etapa 160), por ejemplo la introducción de un código PIN o la autenticación mediante características biométricas (etapa 170) tal como se describe anteriormente.
La fig. 4 ilustra una primera forma de realización de la invención con un gestor de eventos 26, registro de eventos 28 y registro de seguridad 30 compartidos para todas las aplicaciones 60 contenidas en el módulo de identificación 18. Tras haber iniciado una aplicación de cliente 40 (etapa 100), el evento se identifica a través del entorno de ejecución del cliente 50 mediante el gestor de eventos 27 de la estación de comunicaciones (etapa 110), se transmite al entorno de ejecución del módulo de identificación 70 y al gestor de eventos del módulo de identificación 26_{1} y se almacena en el registro de eventos 28 de este módulo de identificación 18 (etapa 120). El nivel de seguridad de la estación de comunicaciones 12 se actualiza dentro del registro de seguridad 30 del módulo de identificación 18 de acuerdo con el evento o eventos almacenados (etapas 130, 140). Los mecanismos de seguridad se usan de acuerdo con el nivel de seguridad aplicable mediante la comunicación entre la aplicación de cliente 40 y la aplicación de tarjeta SIM 60 y la consulta del nivel de seguridad dentro de un registro de seguridad 30 compartido (etapas 150, 160).
La fig. 5 ilustra una segunda forma de realización de la invención con un gestor de eventos 26_{1} y registro de eventos 28 compartidos y un único registro de seguridad 30_{1}, 30_{2} para una o para un grupo de aplicaciones 60_{1}, 60_{2}. La primera etapa de la forma de realización de la fig. 5 corresponde con la primera etapa de la forma de realización de la fig. 4, en la que, tras haber iniciado una aplicación de cliente 40 (etapa 100), el evento se identifica a través del entorno de ejecución del cliente 50 mediante el gestor de eventos 27 de la estación de comunicaciones (etapa 110), se transmite al entorno de ejecución de la tarjeta SIM 70 y al gestor de eventos 26_{1} y se almacena en el registro de eventos 28 de dicho módulo de identificación 18. De nuevo, el nivel de seguridad de la estación de comunicaciones 12 se actualiza dentro de un registro de seguridad 30_{1}, 30_{2} de una aplicación o un grupo de aplicaciones 60_{1}, 60_{2} del módulo de identificación 18 de acuerdo con el evento o eventos almacenados (etapas 150, 160).
La fig. 6 ilustra una tercera forma de realización de la invención con un gestor de eventos 26_{1} compartido para todas las aplicaciones 60_{1}, 60_{2} con el módulo de identificación 18. El procedimiento es básicamente el mismo que el que se explica en la fig. 4 y 5 de acuerdo con los principios básicos de la presente invención, con las etapas 100 a 160 que se describen anteriormente. No obstante, en la fig. 6, se proporciona un único registro de eventos 28_{1}, 28_{2} y registro de seguridad 30_{1}, 30_{2} para una aplicación o un grupo de aplicaciones 60_{1}, 60_{2}.
La fig. 7 ilustra una cuarta forma de realización de la invención, similar a las formas de realización que se han mostrado de acuerdo con las figs. 4, 5 y 6. En esta forma de realización, una aplicación o un grupo de aplicaciones 60_{1}, 60_{2} poseen un único gestor de eventos 26_{1}, 26_{2}, registro de eventos 28_{1}, 28_{2} y registro de seguridad 30_{1}, 30_{2}.
La ventaja obtenida con la presente invención reside en que proporciona un equilibrio aceptable entre los requisitos de seguridad y la facilidad de uso y ausencia de interrupciones que se exige. La obtención de un acceso adecuado a credenciales y funciones confidenciales en la tarjeta SIM y de un uso adecuado de las mismas podría depender de que se produzcan eventos específicos en el entorno de ejecución externa. Los mecanismos de control de acceso de la tarjeta SIM se adaptarán a estos eventos específicos.
Números de referencia
10
Sistema de comunicaciones
12
Estación de comunicaciones
13
Estación de trabajo
14
Red IP
15
Internet
16
Terminal móvil
18
Módulo de identificación del terminal móvil 16
20
Posición de almacenamiento
22
Sistema de comunicación celular
24
Línea de comunicación
26
Gestor de eventos de la tarjeta SIM
26_{1}, 26_{2}
Gestor de eventos de la tarjeta SIM para aplicación o aplicaciones de tarjeta SIM 60_{1}, 60_{2}
27
Gestor de eventos de la estación de comunicaciones
28, 28_{1}, 28_{2}
Registro de eventos
30, 30_{1}, 30_{2}
Registro de seguridad
40
Aplicación de cliente
50
Entorno de ejecución de cliente
60, 60_{1}, 60_{2}
Aplicación de tarjeta SIM
70
Entorno de ejecución de tarjeta SIM
100 a 170
Diferentes etapas del procedimiento de la invención
100
Inicio de la aplicación de cliente
110
Identificación del evento mediante el gestor de eventos 26
120
Almacenamiento del evento en el registro de eventos 28
130
Notificación al registro de seguridad 30
140
Actualización del nivel de seguridad en el registro de seguridad 30
150
Aplicación de tarjeta SIM de dirección 60
160
Consulta o comprobación del nivel de seguridad en el registro de seguridad 30
170
Autenticación del usuario
180
Cumplimiento de las condiciones de uso especificadas por el registro de seguridad 30 para la aplicación de tarjeta SIM 60

Claims (31)

1. Un procedimiento para adaptar los parámetros de seguridad de una estación de comunicaciones (12) dependiendo de un evento que afecta a la seguridad, en el que la estación de comunicaciones (12) comprende un terminal móvil (16) con un módulo de identificación (18), y el procedimiento comprende las siguientes etapas de:
(a)
identificación del evento que afecta a la seguridad, que se produce en dicha estación de comunicaciones y/o dicho terminal móvil (16);
(b)
actualización de un registro de seguridad (30) existente en el módulo de identificación (18) de acuerdo con el evento que afecta a la seguridad; y
(c)
adaptación y refuerzo del nivel de seguridad de la estación de comunicaciones (12) de acuerdo con el registro de seguridad (30) del módulo de identificación (18),
caracterizado porque
dichos parámetros de seguridad, que se definen en el registro de seguridad (30), se usan para limitar el derecho o derechos de una aplicación, un grupo de aplicaciones o la totalidad de las aplicaciones (60, 60_{1}, 60_{2}) ejecutadas por dicha estación de comunicaciones (12) o terminal móvil (16), incluida la restricción de acceso a aplicaciones (60, 60_{1}, 60_{2}) existentes en dicho módulo de identificación (18) por parte de otros componentes de dicha estación de comunicaciones (12).
\vskip1.000000\baselineskip
2. El procedimiento según la reivindicación 1, en el que dicho evento que afecta a la seguridad es identificado en dicho módulo de identificación (18) y/o en dicha estación de comunicaciones (12).
3. El procedimiento según cualquiera de las reivindicaciones 1 y 2, en el que dicho evento que afecta a la seguridad se almacena en dicho módulo de identificación (18).
4. El procedimiento según cualquiera de las reivindicaciones 1 a 3, en el que dicho evento que afecta a la seguridad se refiere a uno de los siguientes casos:
cambio en la configuración de hardware de dicha estación de comunicaciones (12) o terminal móvil (16), y/o
cambio en la configuración de software de dicha estación de comunicaciones (12) o terminal móvil, y/o
conexión de dicha estación de comunicaciones (12) o terminal móvil (16) a una red o sistema externo, y/o
evento generado por una aplicación ejecutada por dicha estación de comunicaciones (12) o terminal móvil (16), y/o
evento transmitido de forma inalámbrica a dicha estación de comunicaciones (12).
\vskip1.000000\baselineskip
5. El procedimiento según una cualquiera de las reivindicaciones 1 a 4, en el que dicho evento que afecta a la seguridad comprende uno o una pluralidad de los siguientes eventos: creación; liberación, pérdida o cierre de canales de acceso, bloqueo o desbloqueo del estado de la estación de trabajo, retirada o instalación de componentes de hardware o software, un inicio automático desde un dispositivo y detección de contenidos, tráfico o modificaciones que resulten maliciosos o sospechosos.
6. El procedimiento según una cualquiera de las reivindicaciones 1 a 4, en el que dicho evento que afecta a la seguridad se refiere a la actividad de un antivirus, un firewall y/o una puerta de acceso IPSec.
7. El procedimiento según una cualquiera de las reivindicaciones 1 a 6, en el que dicho evento que afecta a la seguridad se refiere al estado de la sesión del usuario y/o al estado de un canal de conexión que implica dicho estado de comunicación.
8. El procedimiento según una cualquiera de las reivindicaciones 1 a 7, en el que dicho evento que afecta a la seguridad se usa para limitar el derecho de una sola o de la totalidad de las aplicaciones ejecutadas por dicha estación de comunicaciones (12) o terminal móvil (16) de realizar algunas acciones.
9. El procedimiento según las reivindicaciones 1 a 8, en el que dichos parámetros de seguridad determinan el acceso a credenciales a partir de una señal de entrada del usuario.
10. El procedimiento según las reivindicaciones 1 a 8, en el que el acceso a credenciales contenidas en dicho módulo de identificación (18) depende de dicho nivel de seguridad.
11. El procedimiento según la reivindicación 9 ó 10, en el que dichas credenciales comprenden características biométricas del usuario.
12. El procedimiento según las reivindicaciones 1 a 11, en el que dicho nivel de seguridad determina los requisitos de autenticación para una aplicación ejecutada por dicho módulo de identificación (18) y/o por dicho terminal móvil (16).
13. El procedimiento según cualquiera de las reivindicaciones 1 a 12, en el que la estación de comunicaciones (12) comprende una estación de trabajo (13) y un terminal móvil (16) con un módulo de identificación (18) y el procedimiento comprende la etapa de adaptación de los mecanismos de seguridad para la estación de trabajo (13) y/o el terminal móvil (16), de acuerdo con el nivel de seguridad aplicable mediante una consulta en el registro de seguridad (30) del módulo de identificación (18).
14. El procedimiento según cualquiera de las reivindicaciones 1 a 13, que comprende la etapa de identificación de un evento que afecta a la seguridad con uno o una pluralidad de los siguientes campos: identificador de evento, tipo de evento, fecha y hora, número de secuencia, nivel crítico del evento o información adicional específica para el tipo de evento.
15. El procedimiento según cualquiera de las reivindicaciones 1 a 14, que comprende la etapa de actualización del nivel de seguridad de la estación de comunicaciones (12) dentro de un registro de seguridad (30) compartido por todas las aplicaciones ejecutadas por dicho módulo de identificación (18) y/o terminal móvil (16).
16. El procedimiento según cualquiera de las reivindicaciones 1 a 14, que comprende la etapa de actualización del nivel de seguridad de la estación de comunicaciones (12) dentro de un registro de seguridad diferente (30) para cada aplicación o para un grupo de aplicaciones, ejecutadas por dicho módulo de identificación (18) y/o terminal móvil (16).
17. El procedimiento según cualquiera de las reivindicaciones 1 a 16, que comprende la etapa de notificación al módulo de identificación (18) del evento que afecta a la seguridad y almacenamiento del evento que afecta a la seguridad en un registro de eventos (28) existente en dicho módulo de identificación (18).
18. El procedimiento de la reivindicación 17, en el que todas las aplicaciones ejecutadas por dicho módulo de identificación (18) y/o terminal móvil (16) comparten dicho registro de eventos (28).
19. El procedimiento de la reivindicación 17, en el que se usa un registro de eventos (28) diferente para cada aplicación o para un grupo de aplicaciones ejecutadas por dicho módulo de identificación (18) y/o terminal móvil (16).
20. El procedimiento según cualquiera de las reivindicaciones 1 a 19, que comprende la etapa de identificación de un evento que afecta a la seguridad por medio de un gestor de eventos (26, 26_{1}, 26_{2}, 27) incluido en dicho módulo de identificación (18) y/o en dicha estación de comunicaciones (12).
21. El procedimiento de la reivindicación 20, en el se proporciona dicho gestor de eventos (26, 26_{1}, 26_{2}) en dicho módulo de identificación (18) y es compartido por todas las aplicaciones ejecutadas por dicho módulo de identificación (18) y/o terminal móvil (16).
22. El procedimiento de la reivindicación 21, en el se proporciona un gestor de eventos (26, 26_{1}, 26_{2}) diferente para cada aplicación o para un grupo de aplicaciones ejecutadas por dicho módulo de identificación (18) y/o terminal móvil (16).
23. El procedimiento según una cualquiera de las reivindicaciones 1 a 22, que comprende las etapas de:
identificación de eventos que afectan a la seguridad con al menos un gestor de eventos (26, 26_{1}, 26_{2}, 27)
almacenamiento de los eventos que afectan a la seguridad en al menos un registro de eventos (28) del módulo de identificación (18),
actualización de un nivel de seguridad en al menos un registro de seguridad (30) de dicho módulo de identificación (18) de acuerdo con el evento almacenado,
comprobación de dicho nivel de seguridad.
\vskip1.000000\baselineskip
24. El procedimiento según una cualquiera de las reivindicaciones 1 a 23, que comprende la etapa de almacenamiento de los parámetros de seguridad cuando se desconecta la estación de comunicaciones (12) y reutilización de los parámetros de seguridad cuando se vuelve a conectar la estación de comunicaciones (12).
\newpage
25. Estación de comunicaciones (12) que comprende un terminal móvil (16) provisto de un módulo de identificación (18), en la que el módulo de identificación (18) comprende:
al menos un registro de eventos (28) para almacenar eventos identificados por un gestor de eventos (26, 26_{1}, 26_{2}), y al menos un registro de seguridad (30), en el que se definen los parámetros de seguridad, para adaptar y reforzar el nivel de seguridad de la estación de comunicaciones (12) de acuerdo con los eventos almacenados en el registro de eventos (28),
caracterizado porque
dichos parámetros de seguridad, que se definen en el registro de seguridad (30), se usan para limitar el derecho o derechos de una aplicación, un grupo de aplicaciones o la totalidad de las aplicaciones (60, 60_{1}, 60_{2}) ejecutadas por dicha estación de comunicaciones (12) o terminal móvil (16), incluida la restricción del acceso a aplicaciones (60, 60_{1}, 60_{2}) contenidas en dicho módulo de identificación (18) por parte de otros componentes de dicha estación de comunicaciones (12).
\vskip1.000000\baselineskip
26. Estación de comunicaciones (12) de acuerdo con la reivindicación precedente, que además comprende una estación de trabajo (13) y un terminal móvil (16), con al menos una unidad de dicho registro de seguridad (30) para actualizar el nivel de seguridad de la estación de trabajo (13) y/o el terminal móvil (16), de acuerdo con el evento almacenado en el registro de eventos (28).
27. Estación de comunicaciones (12) de acuerdo con la reivindicación precedente, en la que el terminal móvil (16) puede introducirse en la estación de trabajo (13) de forma que se pueda extraer.
28. Estación de comunicaciones (12) de acuerdo con cualquiera de las reivindicaciones 25 a 27, que además comprende varios registros de seguridad (30) para diferentes aplicaciones o para un grupo de aplicaciones.
29. Estación de comunicaciones (12) de acuerdo con la reivindicación precedente, que comprende varios registros de eventos (28) para diferentes aplicaciones o para un grupo de aplicaciones.
30. Estación de comunicaciones (12) de acuerdo con cualquiera de las reivindicaciones 25 a 29, que comprende al menos un gestor de eventos (26, 26_{1}, 26_{2}) para identificar los eventos que afectan a la seguridad en dicho módulo de identificación (18).
31. Estación de comunicaciones (12) de acuerdo con cualquiera de las reivindicaciones 25 a 30, que comprende diferentes gestores de eventos (26_{1}, 26_{2}) para diferentes aplicaciones o para un grupo de aplicaciones.
ES05109197T 2005-10-04 2005-10-04 Procedimiento para adaptar los reglajes de seguridad de una estacion de comunicaciones y estacion de comunicaciones. Expired - Lifetime ES2328708T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP05109197A EP1773078B1 (en) 2005-10-04 2005-10-04 Method for adapting the security settings of a communication station and communication station

Publications (1)

Publication Number Publication Date
ES2328708T3 true ES2328708T3 (es) 2009-11-17

Family

ID=35784774

Family Applications (1)

Application Number Title Priority Date Filing Date
ES05109197T Expired - Lifetime ES2328708T3 (es) 2005-10-04 2005-10-04 Procedimiento para adaptar los reglajes de seguridad de una estacion de comunicaciones y estacion de comunicaciones.

Country Status (5)

Country Link
US (6) US8792858B2 (es)
EP (1) EP1773078B1 (es)
AT (1) ATE436161T1 (es)
DE (1) DE602005015328D1 (es)
ES (1) ES2328708T3 (es)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7177598B2 (en) * 2000-11-15 2007-02-13 Wi-Lan, Inc. Method and system for reducing channel interference in a frame-synchronized wireless communication system
ATE515872T1 (de) * 2006-03-27 2011-07-15 Telecom Italia Spa Verfahren und system zum identifizieren von böswilligen nachrichten in mobilkommunikationsnetzen, diesbezügliches netz und computerprogrammprodukt dafür
US8955122B2 (en) 2007-04-04 2015-02-10 Sri International Method and apparatus for detecting malware infection
US20090075698A1 (en) * 2007-09-14 2009-03-19 Zhimin Ding Removable Card And A Mobile Wireless Communication Device
US8671438B2 (en) * 2008-04-04 2014-03-11 Cello Partnership Method and system for managing security of mobile terminal
US9608884B2 (en) * 2008-04-14 2017-03-28 Hewlett Packard Enterprise Development Lp System and method for remote management of a computer
DE102009032465B4 (de) * 2008-07-16 2016-10-13 Infineon Technologies Ag Sicherheit in Netzwerken
US8737294B2 (en) * 2008-08-11 2014-05-27 Via Telecom Co., Ltd. Apparatus and method for handling RLC retransmission failure according to activation status of security mode
CN102377629B (zh) * 2010-08-20 2014-08-20 华为技术有限公司 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
US9052758B2 (en) * 2010-12-31 2015-06-09 Blackberry Limited System and method for detecting accidental peripheral device disconnection
FR2973185B1 (fr) * 2011-03-22 2013-03-29 Sagem Defense Securite Procede et dispositif de connexion a un reseau de haute securite
CN102404706B (zh) * 2011-11-24 2014-08-13 中兴通讯股份有限公司 一种管理资费安全的方法及移动终端
US9077756B1 (en) * 2012-03-05 2015-07-07 Symantec Corporation Limiting external device access to mobile computing devices according to device type and connection context
KR101538424B1 (ko) * 2012-10-30 2015-07-22 주식회사 케이티 결제 및 원격 모니터링을 위한 사용자 단말
JP6582406B2 (ja) * 2014-12-25 2019-10-02 ブラザー工業株式会社 通信機器
US11350254B1 (en) * 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
EP3825068B1 (de) * 2019-11-22 2025-01-01 Andreas Stihl AG & Co. KG Verfahren zum anpassen einer vorrichtung an ein motorangetriebenes werkzeug, verfahren zum typabhängigen betreiben einer vorrichtung, vorrichtung zum anpassen an ein motorangetriebenes werkzeug und system
WO2022255751A1 (ko) * 2021-06-03 2022-12-08 현대자동차주식회사 통신 시스템에서 적응적 보안 적용을 위한 방법 및 장치

Family Cites Families (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06274397A (ja) 1993-03-24 1994-09-30 Toshiba Corp ファイル管理方式
FI952146A7 (fi) * 1995-05-04 1996-11-05 Nokia Telecommunications Oy Tilaajalaitteen käyttoikeuden tarkistus
FI101031B (fi) 1995-05-12 1998-03-31 Nokia Telecommunications Oy Tilaajalaitteen käyttöoikeuden tarkistus
FR2748834B1 (fr) 1996-05-17 1999-02-12 Gemplus Card Int Systeme de communication permettant une gestion securisee et independante d'une pluralite d'applications par chaque carte utilisateur, carte utilisateur et procede de gestion correspondants
CN1230324A (zh) * 1996-07-11 1999-09-29 格姆普拉斯有限公司 增强的短消息和同步与保护蜂窝电信系统中增强的短消息交换的方法
FI104223B (fi) 1996-12-17 1999-11-30 Nokia Mobile Phones Ltd Menetelmä SIM-kortin ohjauskomentojen välittämiseksi ulkopuoliselta laitteelta SM-kortille
ES2172870T3 (es) 1997-06-16 2002-10-01 Swisscom Mobile Ag Aparato movil, tarjeta chip y procedimiento de comunicacion.
WO1999024938A1 (de) * 1997-11-07 1999-05-20 Swisscom Ag Verfahren, system und vorrichtungen zur bestimmung der authentizität von personen
US6230002B1 (en) * 1997-11-19 2001-05-08 Telefonaktiebolaget L M Ericsson (Publ) Method, and associated apparatus, for selectively permitting access by a mobile terminal to a packet data network
US6119020A (en) * 1997-12-16 2000-09-12 Motorola, Inc. Multiple user SIM card secured subscriber unit
US6295446B1 (en) * 1998-10-19 2001-09-25 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus to detect fraudulent calls in a radio network
FR2793048A1 (fr) 1999-04-29 2000-11-03 Schlumberger Systems & Service Procede de gestion de commandes dans plusieurs fichiers d'application et carte a puce pour la mise en oeuvre du procede
FI114434B (fi) * 1999-05-11 2004-10-15 Nokia Corp Viestintälaitteet
WO2001008435A1 (de) * 1999-07-21 2001-02-01 Swisscom Mobile Ag Verfahren und geeignete vorrichtungen, um den sicherheitsgrad von kryptographiefunktionen zu setzen
ATE311063T1 (de) * 2000-02-08 2005-12-15 Swisscom Mobile Ag Vereinter einloggungsprozess
US6466779B1 (en) * 2000-03-07 2002-10-15 Samsung Electronics Co., Ltd. System and method for secure provisioning of a mobile station from a provisioning server using IWF-based firewall
DE10012057A1 (de) * 2000-03-14 2001-09-20 Bosch Gmbh Robert Verfahren zur Bereitstellung von Identifikations- und Authentisierungsdaten
JP3544918B2 (ja) * 2000-04-28 2004-07-21 株式会社東芝 無線通信装置及びユーザ認証方法
FR2810841B1 (fr) 2000-06-22 2005-07-29 Bull Cp8 Procede pour le traitement et la transmission de donnees numeriques sur un reseau de telephonie mobile, notamment a la norme "gsm", et systeme embarque a puce electronique
FR2817102B1 (fr) * 2000-11-22 2003-01-24 France Telecom Appel depuis un terminal radiotelephonique avec authentification biometrique
GB0103918D0 (en) * 2001-02-16 2001-04-04 Pathfinder Tech Resources Ltd Mobile telephone operation
FR2821231A1 (fr) 2001-02-19 2002-08-23 Bull Cp8 Procede d'administration d'une carte d'abonne pour un equipement de telephonie mobile du type a lecteur auxiliaire et systeme embarque pour la mise en oeuvre du procede
US7757094B2 (en) * 2001-02-27 2010-07-13 Qualcomm Incorporated Power management for subscriber identity module
FR2822256B1 (fr) 2001-03-13 2003-05-30 Gemplus Card Int Verification de la conformite d'acces a des objets dans un systeme de traitement de donnees avec une politique de securite
US7369851B2 (en) * 2002-04-19 2008-05-06 Hewlett-Packard Development Company, L.P. Communications network capable of determining SIM card changes in electronic devices
US8060139B2 (en) * 2002-06-24 2011-11-15 Toshiba American Research Inc. (Tari) Authenticating multiple devices simultaneously over a wireless link using a single subscriber identity module
WO2004019190A1 (en) 2002-08-08 2004-03-04 Nanyang Technological University Distributed processing in authentication
US7369859B2 (en) * 2003-10-17 2008-05-06 Kineto Wireless, Inc. Method and system for determining the location of an unlicensed mobile access subscriber
US20040116109A1 (en) * 2002-12-16 2004-06-17 Gibbs Benjamin K. Automatic wireless device configuration
SE527628C2 (sv) 2003-01-17 2006-04-25 Smarttrust Ab Metod för att en mobilstation ska välja det mest fördelaktiga nätverket vid roaming
WO2004091165A1 (en) * 2003-04-11 2004-10-21 Nokia Corporation A user identification module for access to multiple communication networks
FR2854303A1 (fr) * 2003-04-23 2004-10-29 France Telecom Procede de securisation d'un terminal mobile et applications de procede, l'execution d'applications necessitant un niveau de securite eleve
DE60307432T2 (de) 2003-05-07 2007-03-29 M-Stack Ltd. Vorrichtung und Verfahren zum Bearbeiten von gleichzeitigen UTRAN Funkressourcenkontrollprozessen, die die Sicherheitskonfiguration ändern, in einem UMTS Teilnahmegerät
ES2224850B1 (es) 2003-05-12 2005-12-01 Vodafone España, S.A. Modulo y metodo de deteccion de al menos un evento en un equipo de usuario de telefonia movil celular, programa de ordenador para llevar a cabo el metodo, y tarjeta y terminal con el modulo.
ATE407536T1 (de) * 2003-10-14 2008-09-15 Telecom Italia Spa Verfahren und system zur betriebsmittelsteuerung über ein mobiles endgerät, diesbezügliches netzwerk und computerprogrammprodukt dafür
US20050083883A1 (en) * 2003-10-20 2005-04-21 Jan-Ming Ho Mobile network agent
JP4539071B2 (ja) * 2003-10-23 2010-09-08 ソニー株式会社 携帯無線通信装置。
EP1536606A1 (fr) * 2003-11-27 2005-06-01 Nagracard S.A. Méthode d'authentification d'applications
EP1716710A2 (en) * 2004-02-17 2006-11-02 Check Point Software Technologies Ltd. Mobile network security system
US8554889B2 (en) * 2004-04-21 2013-10-08 Microsoft Corporation Method, system and apparatus for managing computer identity
JP4446047B2 (ja) * 2004-06-02 2010-04-07 ケイティー コーポレーション アプリケーション及び管理サービスの提供、並びに使用者インターフェースの変更システム及びその方法
US10079942B2 (en) * 2004-10-22 2018-09-18 Aeris Communications, Inc. Methods and apparatus for implementing telemetry applications on a subscriber identity module
EP1659810B1 (en) * 2004-11-17 2013-04-10 TELEFONAKTIEBOLAGET LM ERICSSON (publ) Updating configuration parameters in a mobile terminal
US20060121882A1 (en) 2004-12-02 2006-06-08 Spreadtrum Communications Corporation Desktop cellular phone having a SIM card with an encrypted SIM PIN
US20060156388A1 (en) * 2005-01-13 2006-07-13 Vlad Stirbu Method and apparatus for a security framework that enables identity and access control services
CA2544681C (en) 2005-04-22 2015-11-17 Protexis Inc. Location-specific or range-based licensing system
US20060287004A1 (en) * 2005-06-17 2006-12-21 Fuqua Walter B SIM card cash transactions
US7304570B2 (en) * 2005-08-10 2007-12-04 Scenera Technologies, Llc Methods, systems, and computer program products for providing context-based, hierarchical security for a mobile device

Also Published As

Publication number Publication date
US20240430679A1 (en) 2024-12-26
US9276961B2 (en) 2016-03-01
EP1773078A1 (en) 2007-04-11
US11153755B2 (en) 2021-10-19
US20070123216A1 (en) 2007-05-31
US20220014919A1 (en) 2022-01-13
US20160323747A1 (en) 2016-11-03
US8792858B2 (en) 2014-07-29
US20230147772A1 (en) 2023-05-11
DE602005015328D1 (de) 2009-08-20
EP1773078B1 (en) 2009-07-08
ATE436161T1 (de) 2009-07-15
US12120513B2 (en) 2024-10-15
US20150007257A1 (en) 2015-01-01
US12108251B2 (en) 2024-10-01

Similar Documents

Publication Publication Date Title
ES2328708T3 (es) Procedimiento para adaptar los reglajes de seguridad de una estacion de comunicaciones y estacion de comunicaciones.
EP2846586B1 (en) A method of accessing a network securely from a personal device, a corporate server and an access point
US9763086B2 (en) Owner access point to control the unlocking of an entry
US8132236B2 (en) System and method for providing secured access to mobile devices
US20080060061A1 (en) System and method for automatic network logon over a wireless network
US20120172016A1 (en) Method and system for controlling communication between an uicc and an external application
US20040162105A1 (en) Enhanced general packet radio service (GPRS) mobility management
US20080148350A1 (en) System and method for implementing security features and policies between paired computing devices
Zhao et al. Securesim: rethinking authentication and access control for sim/esim
BR102022015425A2 (pt) Processador de banda base de um equipamento de usuário
US20080244262A1 (en) Enhanced supplicant framework for wireless communications
ES2281998B2 (es) Seguridad en redes de comunicaciones.
KR100944246B1 (ko) 범용 가입자 식별 모듈을 탑재한 이동통신 단말기를 이용한보안 관리 시스템 및 방법
JP4987006B2 (ja) サービスへのアクセスを保留するための方法及び装置
JP2003219475A (ja) 通信端末及び無線通信端末
CN106878989A (zh) 一种接入控制方法及装置
FI128086B (en) Remote control of wireless user equipment
ES3060543T3 (en) Techniques to ensure a trusted communication for a user equipment
JP2025021449A (ja) アクティブアクセス認証方法及びこれを使用したデバイス
WO2006129288A1 (en) Method and devices for individual removal of a device from a wireless network
JP2011120123A (ja) 認証システムおよび認証方法
KR20170057732A (ko) 원격으로 제어되는 잠금 서비스를 제공하는 사용자 단말, 컴퓨터 프로그램 및 시스템