ES2336665T3 - Funcion de interfuncionamiento para la auntentificacion de un termninal en terminal en una area local inalambrica. - Google Patents
Funcion de interfuncionamiento para la auntentificacion de un termninal en terminal en una area local inalambrica. Download PDFInfo
- Publication number
- ES2336665T3 ES2336665T3 ES03761172T ES03761172T ES2336665T3 ES 2336665 T3 ES2336665 T3 ES 2336665T3 ES 03761172 T ES03761172 T ES 03761172T ES 03761172 T ES03761172 T ES 03761172T ES 2336665 T3 ES2336665 T3 ES 2336665T3
- Authority
- ES
- Spain
- Prior art keywords
- authentication
- iwf
- access
- wlan
- wireless
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000004044 response Effects 0.000 claims abstract description 34
- 238000004891 communication Methods 0.000 claims abstract description 29
- 238000000034 method Methods 0.000 claims description 49
- 230000001413 cellular effect Effects 0.000 claims description 13
- 230000010267 cellular communication Effects 0.000 claims description 8
- 230000008569 process Effects 0.000 description 21
- 230000007246 mechanism Effects 0.000 description 14
- 230000006870 function Effects 0.000 description 13
- 238000012545 processing Methods 0.000 description 11
- 238000013403 standard screening design Methods 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 6
- 238000013475 authorization Methods 0.000 description 5
- 230000032258 transport Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 210000004271 bone marrow stromal cell Anatomy 0.000 description 2
- 210000004027 cell Anatomy 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 229910003460 diamond Inorganic materials 0.000 description 2
- 239000010432 diamond Substances 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000002245 particle Substances 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000004846 x-ray emission Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000003278 mimic effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Selective Calling Equipment (AREA)
Abstract
Un aparato (204) de función de interfuncionamiento, IWF, en comunicación con una red (202) de área local inalámbrica, WLAN, y una red de comunicación celular, que se comunica con un dispositivo (208) inalámbrico, estando el aparato (204) de IWF adaptado para determinar una capacidad de autenticación asociada con el dispositivo (208) inalámbrico a partir de una base (210) de datos usando una identidad recibida de dicho dispositivo (208) inalámbrico, en el que dicha capacidad de autenticación comprende o bien un algoritmo de autenticación celular y encriptación de voz, CAVE, o bien un algoritmo de acuerdo de clave de autenticación, AKA, comprendiendo el aparato (204) de IWF: la base (210) de datos adaptada para almacenar la capacidad de autenticación correspondiente al dispositivo (208) inalámbrico; una interfaz WLAN adaptada para: enviar, a través de la WLAN (202), un desafío de acceso al dispositivo (208) inalámbrico basándose en dicha capacidad de autenticación determinada; y recibir, a través de la WLAN (202), una petición de acceso desde el dispositivo (208) inalámbrico, conteniendo la petición de acceso una respuesta al desafío de acceso desde el dispositivo (208) inalámbrico, en el que la respuesta al desafío de acceso la genera el dispositivo (208) inalámbrico basándose en una clave de autenticación predeterminada; y una interfaz de control de acceso, AC, en el que el aparato (204) de IWF está adaptado para dirigir la interfaz AC para que transmita una petición de autenticación a la red de comunicación celular, y para recibir una respuesta de autenticación generada por la red de comunicación celular basándose en la clave de autenticación predeterminada, si el aparato (204) de IWF no dispone de la información para autenticar el dispositivo (208) inalámbrico.
Description
Función de interfuncionamiento para la
autenticación de un terminal en una red de área local
inalámbrica.
La presente invención se refiere a una función
de interfuncionamiento para un sistema de comunicación, y más
específicamente a mecanismos para la autenticación y el intercambio
de claves comunes a través de una función de interfuncionamiento
para su uso en una red de área local inalámbrica (WLAN).
Una red de área local inalámbrica (WLAN) permite
a los usuarios un acceso prácticamente sin restricciones a redes de
datos y servicios de protocolo de Internet (IP). El uso de una WLAN
no se limita a ordenadores portátiles y otros dispositivos
informáticos, sino que se está expandiendo rápidamente para incluir
teléfonos móviles, asistentes digitales personales (PDA), y otros
pequeños dispositivos inalámbricos soportados por una red o
portadora externa. Por ejemplo, un dispositivo inalámbrico que se
comunica a través de una portadora celular puede itinerar hacia una
WLAN en un cibercafé o espacio de trabajo. En esta situación, el
dispositivo inalámbrico tiene acceso al sistema celular, pero desea
acceder a la WLAN. El acceso a la WLAN requiere autenticación. Como
el dispositivo inalámbrico ya ha obtenido acceso al sistema celular,
la necesidad de otra autenticación es redundante. Hay una necesidad
por tanto, de una función de interfuncionamiento que permite una
autenticación común para el acceso a un sistema celular y a una
WLAN.
Cabe resaltar el documento US 6 128 389 A, que
da a conocer un centro de autenticación segura (SAC) que puede
acoplarse a sistemas de gestión de claves de autenticación (SAMS) de
diversos proveedores de sistemas de comunicación. En un ejemplo del
proceso de autenticación para estaciones móviles a las que dan
servicio sistemas basados en IS-41 usando el
algoritmo CAVE de autenticación celular y encriptación de voz, un
sistema de servicio transmite un indicador de desafío global y un
número aleatorio a la estación móvil. En respuesta, la estación
móvil genera una señal de autenticación. El sistema de servicio
envía la señal de autenticación al SAC. Si el SAC no dispone de
datos secretos compartidos (SSD), o quiere actualizar los SSD, el
SAC transmite una petición al SAMS.
Cabe resaltar también el artículo "Wireless
LAN Access Architecture for Mobile Operators":
Ala-Laurila, J. et al. IEEE Comunication
Magazine, páginas 82 a 89, noviembre de 2001; IEEE Service Centre,
Piscataway, N.J, EE.UU. El artículo describe una arquitectura de
sistema LAN que combina tecnología de acceso por radio a WLAN con
infraestructuras de itinerancia y funciones de gestión basadas en
SIM de operadores móviles. En el sistema dado a conocer, el acceso
a WLAN se autentica y se carga usando GSM-SIM.
Según la presente invención, se proporcionan un
procedimiento y un aparato, según se exponen en las reivindicaciones
1 y 3. En las reivindicaciones dependientes se reivindican
realizaciones de la invención.
La figura1 es un sistema de comunicación que
incluye una red de área local inalámbrica (WLAN).
La figura 2 es un sistema de comunicación que
tiene una unidad de función de interfuncionamiento (IWF).
La figura 3 es un diagrama de sincronismo de un
proceso de autenticación en un sistema de comunicación
La figura 4 es un diagrama de flujo de un
proceso de autenticación.
La figura 5 es un diagrama de sincronismo de un
proceso de autenticación en un sistema de comunicación.
La figura 6 es un diagrama de flujo de un
proceso de autenticación en una IWF en un sistema de
comunicación.
La figura 7 es un diagrama de flujo del
procesamiento de autenticación en una estación móvil.
La palabra "ejemplar" se usa en el presente
documento con el significado de "servir como un ejemplo, caso o
ilustración ". Cualquier realización descrita en el presente
documento como "ejemplar" no debe interpretarse necesariamente
como preferida o ventajosa respecto a otras realizaciones.
Una estación de abonado HDR, denominada en el
presente documento como terminal de acceso (AT), puede ser móvil o
estacionaria, y puede comunicarse con una o más estaciones base HDR,
denominadas en el presente documento como transceptores de banco de
módems (MPT). Un terminal de acceso transmite y recibe paquetes de
datos a través de uno o más transceptores de banco de módems a un
controlador de estación base HDR, denominado en el presente
documento como un controlador de banco de módems (MPC). Los
transceptores de banco de módems y controladores de banco de módems
son partes de una red denominada red de acceso. Una red de acceso
transporta paquetes de datos entre múltiples terminales de acceso.
La red de acceso puede estar conectada además a redes adicionales
fuera de la red de acceso, tales como una intranet corporativa o
Internet, y puede transportar paquetes de datos entre cada terminal
de acceso y tales redes externas. Un terminal de acceso que ha
establecido una conexión de canal de tráfico activo con uno o más
transceptores de banco de módems se denomina terminal de acceso
activo, y se dice que está en estado de tráfico. Un terminal de
acceso que está en el proceso de establecer una conexión de canal
de tráfico activo con uno o más transceptores de banco de módems se
dice que está en un estado de establecimiento de conexión. Un
terminal de acceso puede ser cualquier dispositivo de datos que se
comunica a través de una canal inalámbrico o a través de un canal
por cable, por ejemplo usando fibra óptica o cables coaxiales. Un
terminal de acceso puede ser además cualquiera de varios tipos de
dispositivos que incluyen pero no se limitan a tarjeta de PC,
tarjeta Compact Flash, módem externo o interno, o teléfono
inalámbrico o de línea fija. El enlace de comunicación a través del
cual el terminal de acceso envía señales al transceptor de banco de
módems se denomina enlace inverso. El enlace de comunicación a
través del cual un transceptor de banco de módems envía señales a un
terminal de acceso se denomina enlace
directo.
directo.
Se ilustra una red 100 de de área local
inalámbrica (WLAN) en la figura 1 que tiene múltiples puntos 106,
108, 110 de acceso (AP). Un AP es un concentrador o puente que
proporciona un control de topología en estrella del lado
inalámbrico de la WLAN 100, así como acceso a la red por cable.
Cada AP 106, 108, 110, así como otros no
mostrados, soporta una conexión a un servicio de datos, tal como
Internet. Una estación 102 de trabajo, tal como un ordenador
portátil, u otros dispositivos informáticos digitales, se comunica
con un AP a través de la interfaz aérea, de ahí la expresión LAN
inalámbrica. El AP se comunica entonces con un servidor de
autenticación (AS) o centro de autenticación (AC). El AC es un
componente para realizar servicios de autenticación para
dispositivos que solicitan su admisión en una red. Las
implementaciones incluyen servicio de usuario de acceso telefónico
de autenticación remota (RADIUS), que es una autenticación de
usuario de Internet descrita en RFC 2138, "Remote Autentication
Dial in User Service (RADIUS)" de C. Rigney et al.,
publicado en abril de 1997, y otros servidores de autenticación,
autorización y contabilidad (AAA).
La conexión a redes inalámbricas está surgiendo
como un aspecto significativo del funcionamiento entre redes.
Presenta un conjunto de aspectos únicos basado en el hecho de que el
único límite de una red inalámbrica es la intensidad de la señal de
radio. No hay ningún cableado para definir la pertenencia como
miembro en una red. No hay ningún procedimiento físico que
restrinja a un sistema dentro del alcance de radio para que sea un
miembro de una red inalámbrica. La conexión a redes inalámbricas,
más que cualquier otra tecnología de conexión a redes, necesita un
mecanismo de control de acceso y autenticación. Diversos grupos
están trabajando actualmente en el desarrollo de un mecanismo de
autenticación estándar. Actualmente, la norma aceptada es la IEEE
802.11.
La naturaleza de una red basada en RF deja
abierta la posibilidad de la interceptación de paquetes por
cualquier radio dentro del alcance de un transmisor. La
interceptación puede producirse bastante lejos del alcance de
"trabajo" de los usuarios usando antenas de alta ganancia. Con
herramientas fácilmente disponibles, el intruso no se limita
simplemente a recopilar paquetes para su análisis posterior, sino
que puede en realidad ver sesiones interactivas como páginas web
que está visualizando un usuario inalámbrico válido. Un intruso
también puede captar intercambios de autenticación débiles, como
algunos datos de inicio de sesión en sitios web. El intruso podría
duplicar después estos datos de inicio de sesión y obtener
acceso.
Una vez que un atacante ha obtenido el
conocimiento de cómo una WLAN controla la admisión, puede o bien
obtener su admisión en la red por sí mismo, o bien robar un acceso
de usuario válido. Robar un acceso de usuario es sencillo si el
atacante puede imitar la dirección MAC del usuario válido y usar su
dirección IP asignada. El atacante espera hasta que el sistema
válido deja de usar la red y entonces asume su posición en la red.
Esto permitiría a un atacante el acceso directo a todos los
dispositivos dentro de una red, o usar la red para obtener acceso a
la red más amplia de Internet, pareciendo en todo momento ser un
usuario válido de la red atacada. Por tanto, la autenticación y la
encriptación se convierten en asuntos clave en la implementación de
una WLAN.
La autenticación es el proceso de probar la
identidad de un individuo o una aplicación en una comunicación. Tal
identificación permite al proveedor de servicios verificar la
entidad como un usuario válido y también verificar al usuario para
los servicios específicos solicitados. La autenticación y la
autorización tienen en realidad significados muy específicos,
aunque los dos sustantivos se usan a menudo de manera
intercambiable, y en la práctica a menudo no se distinguen
claramente.
La autenticación es el proceso en el que un
usuario establece el derecho a una identidad, en esencia, el derecho
a usar un nombre. Existe un gran número de técnicas que pueden
usarse para autenticar un usuario, contraseñas, técnicas
biométricas, tarjetas inteligentes, certificados.
Un nombre o una identidad tiene atributos
asociados al mismo/a la misma. Los atributos pueden estar
estrechamente ligados a un nombre (por ejemplo, en una carga útil
de certificado) o pueden almacenarse en un directorio u otra base
de datos con una clave correspondiente al nombre. Los atributos
pueden cambiar con el tiempo.
\newpage
La autorización es el proceso de determinar si
una identidad (más un conjunto de atributos asociados con esa
identidad) tiene permiso para realizar alguna acción, tal como
acceder a un recurso. Obsérvese que el permiso para realizar una
acción no garantiza que pueda realizarse la acción. Obsérvese que
las decisiones de autenticación y autorización pueden tomarse en
diferentes puntos, por diferentes entidades.
En una red celular, la característica de
autenticación es una capacidad de red que permite que redes
celulares validen la identidad de un dispositivo inalámbrico,
reduciendo de ese modo el uso no autorizado de redes celulares. El
proceso es transparente para los abonados. No se requiere que los
clientes hagan nada para autenticar la identidad de sus teléfonos
cuando realizan una llamada.
La autenticación normalmente implica un esquema
criptográfico, en el que el proveedor de servicios y el usuario
tienen cierta información compartida y cierta información privada.
La información compartida se denomina normalmente como "secreto
compartido".
\vskip1.000000\baselineskip
La clave de autenticación (clave A) es un valor
secreto que es único para cada teléfono celular individual. Se
registra con el proveedor de servicios celulares y se almacena en el
teléfono y en el centro de autenticación (AC). La clave A la
programa en el teléfono el fabricante. También puede introducirla
manualmente el usuario, desde el menú del dispositivo inalámbrico,
o mediante un terminal especial en el punto de venta.
El dispositivo inalámbrico y el AC deben tener
la misma clave A para producir los mismos cálculos. La función
principal de la clave A es usarse como parámetro para calcular los
datos secretos compartidos (SSD).
\vskip1.000000\baselineskip
Se usan SSD como entrada para cálculos de
autenticación en el dispositivo inalámbrico y el AC, y se almacenan
en ambos lugares. A diferencia de la clave A, los SSD pueden
modificarse a través de la red. El AC y el dispositivo inalámbrico
comparten tres elementos que entran en el cálculo de los SSD: 1) el
número de serie electrónico (ESN); 2) la clave de autenticación
(clave A); y 3) un número aleatorio para el cálculo de datos
secretos compartidos (RANDSSD).
El ESN y el RANDSSD se transmiten a través de la
red y a través de la interfaz aérea. Los SSD se actualizan cuando
un dispositivo realiza su primer acceso al sistema, y posteriormente
de manera periódica. Cuando se calculan los SSD, el resultado son
dos valores separados, SSD-A y
SSD-B. SSD-A se usa para la
autenticación. SSD-B se usa para la encriptación y
la privacidad de voz.
Dependiendo de las capacidades del sistema de
servicio, pueden compartirse SSD o no compartirse entre el AC y el
centro de conmutación móvil (MSC) de servicio. Si se comparten datos
secretos, significa que el AC los enviará al MSC de servicio y el
MSC de servicio debe poder ejecutar CAVE. Si no se comparten, el AC
guardará los datos y realizará la autenticación.
El modo de compartir afecta a cómo se lleva a
cabo un desafío de autenticación. Un desafío de autenticación es un
mensaje enviado para plantear un desafío sobre la identidad del
dispositivo inalámbrico. Básicamente, el desafío de autenticación
envía cierta información, normalmente datos numéricos aleatorios,
para su procesamiento por el usuario. Entonces el usuario procesa
la información y envía una respuesta. Se analiza la respuesta para
la verificación del usuario. Con datos secretos compartidos, un
desafío se gestiona en el MSC de servicio. Con datos secretos no
compartidos, un desafío lo gestiona el AC. Compartiendo datos
secretos, el sistema puede minimizar la cantidad de tráfico enviado
y permitir que se produzcan desafíos más rápidamente en el
conmutador de
servicio.
servicio.
\vskip1.000000\baselineskip
En un sistema dado, un registro de posición base
(HLR) controla el proceso de autenticación actuando como
intermediario entre el MSC y el AC. Se configura el MSC de servicio
para que soporte la autenticación con el HLR de móvil y
viceversa.
El dispositivo inicia el proceso notificando al
MSC de servicio si puede realizar la autenticación, estableciendo
un campo de autorización en el tren de mensajes de encabezado. En
respuesta, el MSC de servicio inicia el proceso de
registro/autenticación con una petición de autenticación.
Enviando la petición de autenticación, el MSC de
servicio le dice al HLR/AC si puede realizar cálculos de CAVE. El
AC controla cuál de los MSC de servicio, así como las capacidades de
dispositivo se usarán de los disponibles. Cuando el MSC de servicio
no dispone de capacidad para CAVE, no pueden compartirse SSD entre
el AC y MSC y por tanto todos los procesos de autenticación se
realizan en el AC.
El propósito de la petición de autenticación
(AUTHREQ) es autenticar el teléfono y solicitar SSD. La
AUTHREQ
contiene dos parámetros para la autenticación, los parámetros AUTHR y RAND. Cuando el AC obtiene la
AUTHREQ, usa el RAND y los últimos SSD conocidos para calcular AUTHR. Si coincide con el AUTHR enviado en la AUTHREQ, entonces la autenticación es satisfactoria. El resultado devuelto a la AUTHREQ contendrá los SSD si pueden compartiese.
contiene dos parámetros para la autenticación, los parámetros AUTHR y RAND. Cuando el AC obtiene la
AUTHREQ, usa el RAND y los últimos SSD conocidos para calcular AUTHR. Si coincide con el AUTHR enviado en la AUTHREQ, entonces la autenticación es satisfactoria. El resultado devuelto a la AUTHREQ contendrá los SSD si pueden compartiese.
El proceso de autenticación consiste en un
diálogo de desafío de y respuesta. Si se comparten SSD, se ejecuta
el diálogo entre el MSC y el dispositivo. Si no se comparten SSD, se
ejecuta el diálogo entre el HLR/AC y el dispositivo. Dependiendo
del tipo de conmutación, el MSC puede realizar o bien un desafío
único, un desafío global, o bien ambos. Algunos MSC no pueden
actualmente realizar un desafío global. El desafío único es un
desafío que sólo se produce durante intentos de llamada, porque usa
el canal de voz. El desafío único presenta una autenticación a un
solo dispositivo durante el origen de la llamada y la entrega de la
llamada. El desafío global es un desafío que se produce durante el
registro, el origen de la llamada y la entrega de la llamada. El
desafío global presenta un desafío de autenticación a todas las MS
que estén usando un canal de control de radio particular. Se
denomina desafío global porque
se difunde en el canal de control de radio, y el desafío lo usan todos los teléfonos que acceden a ese canal de control.
se difunde en el canal de control de radio, y el desafío lo usan todos los teléfonos que acceden a ese canal de control.
Durante un desafío, el dispositivo responde a un
número aleatorio proporcionado por el MSC o el AC. El dispositivo
usa el número aleatorio y los datos secretos compartidos almacenados
en el dispositivo para calcular una respuesta al MSC. El MSC
también usa el número aleatorio y los datos secretos compartidos
para calcular cuál debe ser la respuesta desde el dispositivo.
Estos cálculos se realizan a través del algoritmo CAVE. Si las
respuestas no son iguales, se deniega el servicio. El proceso de
desafío no aumenta la cantidad de tiempo que lleva conectar la
llamada. De hecho, la llamada puede continuar en algunos casos, para
sólo interrumpirse cuando fracasa la autenticación.
Las redes de área local inalámbricas (WLAN) han
adquirido una tremenda popularidad como medio de proporcionar a los
usuarios un acceso sin cables a redes de datos de IP. Las redes
inalámbricas de tercera generación (3G) también están diseñadas
para ofrecer acceso a datos de alta velocidad; aunque las tasas de
datos que soportan normalmente son inferiores a las de las WLAN,
las redes 3G redes ofrecen una cobertura de datos sobre una zona
mucho más amplia. Aunque podrían verse como competidores, las redes
WLAN y 3G pueden ser complementarias: las WLAN ofrecen cobertura de
"puntos calientes" de alta capacidad en zonas públicas tales
como salas de aeropuertos y vestíbulos de hoteles, mientras que las
redes 3G pueden proporcionar a los usuarios un servicio de datos
casi ubicuo cuando están en movimiento. Por tanto, el mismo operador
puede proporcionar servicios de acceso tanto a 3G como a WLAN con
una única suscripción de usuario. Esto significa que la MS usa el
mismo procedimiento de autenticación y secreto para ambos tipos de
autenticación de acceso.
En una autenticación de acceso a 3G, el centro
de autenticación (AC) autentica la MS. El AC y la MS tienen un
secreto compartido. En el lado de red, el secreto compartido se
almacena de manera segura en el AC y no se distribuye a ninguna
otra entidad de red. En el lado de MS, el secreto compartido se
almacena de manera segura en la memoria con seguridad y no se
distribuye fuera de ésta. El AC y la MS usan o bien el algoritmo de
autenticación celular y encriptación de voz (CAVE) o bien el de
acuerdo de clave de autenticación (AKA) como algoritmo de
autenticación. Los parámetros de autenticación se entregan entre la
MS y el AC a través de mensajes de señalización aéreos 3G y
mensajes de señalización por la red (por ejemplo,
IS-41).
En autenticación de acceso a WLAN, es deseable
que la MS se autentique por el mismo AC usando el mismo secreto
compartido y algoritmo de autenticación (AKA o CAVE). Sin embargo,
se usan diferentes mecanismos para entregar los parámetros de
autenticación en WLAN. Específicamente, los parámetros de
autenticación se entregan a través del protocolo de autenticación
extensible (EAP) y un protocolo AAA (RADIUS o Diameter). El desafío
es hacer interfuncionar los mecanismos de entrega entre 3G y WLAN
de modo que los parámetros de autenticación puedan entregarse entre
la MS y el AC para la autenticación de acceso a WLAN.
Tal como se estableció anteriormente, el
algoritmo CAVE se usa comúnmente para comunicaciones celulares y
por tanto, es de uso y distribución amplios. También se usan
algoritmos alternativos para la autenticación. Específicamente en
comunicaciones de datos, existe una variedad de algoritmos de
aplicación y complejidad variables. Para coordinar estos
mecanismos, se ha desarrollado el protocolo de autenticación
extensible (EAP) como marco de protocolo general que soporta
múltiples mecanismos de autenticación y distribución de claves. El
EAP se describe en "PPP Extensible Autentication Protocol
(EAP)" de L. Blunk et al., RFC 2284, publicado en marzo
de 1998.
Un mecanismo de este tipo soportado por el EAP
según se define en "EAP AKA Autentication" de J. Arkko et
al., publicado como borrador en Internet en febrero de 2002, es
el algoritmo AKA. Existe una necesidad, por tanto, de extender EAP
para que incluya el algoritmo celular CAVE. Esto es deseable para
proporcionar compatibilidad con versiones anteriores de nuevos
sistemas y redes.
El protocolo de autenticación extensible (EAP)
es un protocolo general para la autenticación que soporta múltiples
mecanismos de autenticación. El EAP no selecciona un mecanismo de
autenticación específico durante la configuración y el control de
los enlaces, sino que en su lugar pospone esto hasta que comienza el
procedimiento de autenticación. Esto permite al autenticador
solicitar más información antes de determinar el mecanismo de
autenticación específico. El autenticador se define como el extremo
del enlace que requiere la autenticación. El autenticador especifica
el protocolo de autenticación que va a usarse durante el
establecimiento del enlace.
Según una realización, se implementa una nueva
entidad de red y se denomina función de interfuncionamiento (IWF) o
más específicamente, la función de interfuncionamiento (IWF)
AAA/IS-41. La IWF realiza el interfuncionamiento de
los mecanismos de entrega de los parámetros de autenticación (por
ejemplo, CAVE, AKA) entre redes inalámbricas, tales como redes 3G y
WLAN. Se ilustra un IWF 204 en la figura 2 como parte de un sistema
200 de comunicación. El sistema 200 incluye una WLAN 202, una IWF
204 y un AC 206. Como se ilustra, una estación 208 de trabajo está
actualmente dentro del alcance de comunicación de la WLAN 202. La
IWF 204 proporciona una interfaz entre el AC 206 y la WLAN 202, que
permite el uso de una autenticación común para permitir que la MS
208 obtenga acceso a la red. Obsérvese que la MS 208 puede ser una
estación de trabajo inalámbrica, un usuario remoto, u otro
dispositivo inalámbrico que pueda comunicarse a través de una red
distinta a la WLAN 202, que en este caso es la red de la que el AC
206 es una parte.
La IWF 204 es una función de interfuncionamiento
unidireccional, es decir, la petición de autenticación se origina
desde la WLAN 202. Obsérvese que en la presente realización e
ilustración, AAA es el mecanismo de entrega para transportar
parámetros de autenticación entre la WLAN 202 y la IWF 204. Además,
IS-41 es el mecanismo de entrega para transportar
parámetros de autenticación entre la IWF 204 y el AC 206. De manera
específica en este ejemplo, se usará RADIUS como protocolo AAA.
En la figura 3 se ilustra el procesamiento de
autenticación. Inicialmente, la IWF 204 recibe un mensaje de
petición de acceso de RADIUS que contiene la identidad de la MS 208
(o estación de trabajo inalámbrica) que desea realizar la
autenticación para el acceso a la WLAN 202. La IWF 204 está
configurada con una base 210 de datos que almacena la capacidad de
autenticación asociada con la MS 208, así como otra MS 208
registrada actualmente a través del AC 206. La base 210 de datos
está indexada por cada identidad de MS 208. Por tanto, la IWF 204
puede determinar la capacidad de autenticación de la MS 208 (por
ejemplo, AKA y/o CAVE).
Si la MS 208 sólo soporta CAVE, la IWF 204
realiza el siguiente procedimiento que concuerda con la figura 3.
La IWF envía un mensaje de desafío de acceso de RADIUS que contiene
un mensaje de petición de EAP que contiene un desafío de CAVE. Como
se trata a continuación en el presente documento, el desafío
contiene un número aleatorio que va a usar la MS 208 para computar
una respuesta de autenticación. La IWF 204 recibe el mensaje de
petición de acceso de RADIUS que contiene el mensaje de respuesta
de EAP (que contiene la respuesta al desafío de CAVE). La respuesta
de CAVE contiene la respuesta de autenticación de la MS 208, es
decir, el resultado de los cómputos usando el número aleatorio, y
otros parámetros específicos de la MS 208.
Si la IWF 204 no puede verificar el mensaje de
respuesta de EAP, o específicamente no puede verificar la respuesta
de CAVE al desafío de CAVE, la IWF 204 envía un mensaje de AUTHREQ,
que es un mensaje de IS-41, al AC 206. En este
caso, la IWF 204 no dispone de la información necesaria para
confirmar la respuesta al desafío. El mensaje de AUTHREQ contiene
la IMSI asignada al MS 208, el número aleatorio (es decir, el
desafío), y la respuesta de autenticación producida por la MS 208.
El AC 206, que tiene conocimiento del secreto compartido específico
de la MS 208, verifica entonces la respuesta al desafío de la MS
208. El AC 206 devuelve el mensaje de AUTHREQ, que es un mensaje de
IS-41, a la IWF. El mensaje de AUTHREQ contiene el
resultado de la autenticación. Si es satisfactorio, el mensaje de
AUTHREQ también contiene una clave denominada clave de algoritmo de
encriptación de mensajes celulares (CMEA), que se usa para proteger
el tráfico de la MS 208 en la WLAN 202. Si la IWF 204 no puede
recibir el mensaje de AUTHREQ desde el AC 206 tras un número de
reintentos predeterminado, la IWF 204 envía el mensaje de rechazo
de acceso de RADIUS que contiene el fracaso de EAP para la WLAN 202.
La incapacidad para recibir un mensaje de AUTHREQ puede indicar
problemas de red entre la IWF 204 y el AC 206.
Si la IWF 204 puede verificar la respuesta al
desafío desde la MS 208, y tal verificación es satisfactoria, la
IWF 204 genera la clave de CMEA. Si la MS 208 se autentica
satisfactoriamente, la IWF 204 envía un mensaje de aceptación de
acceso de RADIUS para la WLAN 202. Un mensaje de este tipo contiene
un mensaje de éxito de EAP así como la clave de CMEA. Si la MS 208
fracasa en la autenticación, la IWF 204 envía un mensaje de rechazo
de acceso de RADIUS que contiene un mensaje de fracaso de EAP a la
WLAN 202.
La figura 4 ilustra un proceso 400 de
autenticación según una realización, en el que la MS 208 soporta el
protocolo CAVE. El proceso se inicia cuando la MS 208 y la WLAN 202
empiezan las negociaciones de identificación en la etapa 402.
También en esta etapa, la WLAN 202 envía un mensaje de petición de
acceso de RADIUS que contiene la identidad de la MS 208. Como se
indicó anteriormente, la identidad puede proporcionarse por medio de
la IMSI u otro identificador único para la MS 202. El proceso
implica que la MS 208 trate de acceder a la WLAN 202 y en
respuesta, la WLAN 202 solicite la identificación de la MS 208,
etapa 402. En este punto, la IWF 204 envía un mensaje de desafío de
acceso de RADIUS a la WLAN 202, que contiene el desafío de CAVE en
la etapa 404. En respuesta al desafío, la MS 208 computa una
respuesta y proporciona la respuesta a la WLAN 208 (no mostrado).
La respuesta se envía entonces a la IWF 204 en un mensaje de
respuesta de acceso de RADIUS en la etapa 406. Si la IWF 204 no
dispone de conocimiento del secreto compartido para la MS 208 en el
rombo 408 de decisión, continúa el procesamiento hasta la etapa 410
en la que la IWF 204 envía un mensaje de AUTHREQ al AC 206. El
mensaje de AUTHREQ solicita la autenticación de la MS 208. Si se
devuelve un mensaje de AUTHREQ en el rombo 412 de decisión,
continúa el procesamiento hasta el rombo 414 de decisión para
determinar si el mensaje de AUTHREQ indica una autenticación
satisfactoria, es decir, el resultado de la autenticación es la
aprobación para el acceso a la WLAN. Si no se recibe el mensaje de
AUTHREQ en el rombo 412 de decisión, continúa el procesamiento
hasta la etapa 416, en la que la IWF envía un mensaje de rechazo de
acceso de RADIUS.
Continuando desde el rombo 408 de decisión, si
la IWF 204 tiene conocimiento de la información secreta compartida
de la MS 208, la IWF 204 puede determinar si la autenticación es
satisfactoria en el rombo 418 de decisión. Una autenticación
satisfactoria avanza a la etapa 420 para computar la clave de CMEA.
Un mensaje de aceptación de acceso de RADIUS se envía entonces en
la etapa 424. Obsérvese que una autenticación satisfactoria en la
etapa 414 (para la autenticación por el AC 206) también avanza a la
etapa 420. Desde el rombo 418 de decisión, si la autenticación no
es satisfactoria, la IWF envía un mensaje de rechazo de acceso de
RADIUS en la etapa 422.
En una realización alternativa, la IWF 204 usa
el protocolo AKA para enviar un desafío. Como se ilustra en la
figura 5, si la MS 208 soporta AKA, la IWF 204 implementa el desafío
de AKA, y se cambia el orden del procesamiento de autenticación. En
este escenario, la información suficiente para autenticar un
usuario, tal como la MS 208, se proporciona en un vector de
autenticación (AV). Obsérvese que el AC 206 puede enviar la
información de secreto compartido (SS) en el AV a la IWF 204. Según
la presente realización, el AV incluye el SS, el desafío y una
clave de cifrado (CK). La CK se usa para encriptar tráfico de
MS.
Si la IWF 204 no dispone de vector de
autenticación (AV) para autenticar la MS 208, la IWF 204 envía un
mensaje de AUTHREQ para solicitar el AV desde el AC 206. El mensaje
de AUTHREQ contiene la identidad de la MS 208, tal como la IMSI, y
la petición para el AV. El AC 206 responde con el mensaje de AUTHREQ
que contiene el AV. El AV consiste en un número aleatorio (RAND),
una respuesta esperada (XRES), una clave de cifrado (CK) y un
testigo de autenticación (AUTN). El AC puede proporcionar múltiples
AV en el mensaje de AUTHREQ, de modo que no es necesario que la IWF
solicite desde el AC 206 una autenticación posterior.
Si la IWF 204 no puede recibir el mensaje de
AUTHREQ desde el AC 206 (que puede ser tras cierto número
predeterminado de reintentos), la IWF 204 envía un mensaje de
rechazo de acceso de RADIUS que contiene un mensaje de fracaso de
EAP a la WLAN 202, tal como cuando existen problemas de red entre la
IWF 204 y el AC 206.
Si la AUTHREQ recibida no contiene el AV, la IWF
204 envía el mensaje de rechazo de acceso de RADIUS que contiene el
mensaje de fracaso de EAP a la WLAN 202. Por ejemplo, un caso de
este tipo puede presentarse cuando la MS 202 tiene una suscripción
que ha expirado.
Si la IWF 204 tiene el AV, la IWF 204 envía un
mensaje de desafío de acceso de RADIUS que contiene un mensaje de
petición de EAP que tiene un desafío de AKA para la WLAN 202. El
desafío de AKA contiene el AUTN y el RAND. El AUTN lleva las
credenciales del AC 206 y será verificado por la MS 208. El RAND es
un desafío para la MS 208 que se usa para calcular una respuesta de
autenticación (RES). La MS 208 proporciona la RES a la WLAN
202.
La IWF 204 recibe el mensaje de petición de
acceso de RADIUS que contiene una respuesta de EAP que incluye un
desafío de CAVE desde la WLAN 202. El desafío de CAVE contiene la
respuesta de autenticación (RES) de la MS 208 recibida a través de
la WLAN 202. La IWF 204 compara la RES con XRES. Para una
coincidencia, la MS 208 se autentica satisfactoriamente, y la IWF
204 envía un mensaje de aceptación de acceso de RADIUS a la WLAN
202. Un mensaje de este tipo contiene un mensaje de éxito de EAP y
una CK. La CK se usará para proteger el tráfico de la MS 208 en la
WLAN 202. Si la MS 208 fracasa en la autenticación, la IWF 204 envía
un mensaje de rechazo de acceso de RADIUS que contiene un mensaje
de fracaso de EAP a la WLAN 202.
La figura 6 ilustra un procedimiento 500 de
autenticación que usa el AV. Si la IWF 204 tiene el AV suficiente
para verificar la MS 208 en el rombo 502 de decisión, el proceso
continúa hasta la etapa 506, o si no continúa el procesamiento
hasta la etapa 504. En la etapa 506, la IWF 204 envía un mensaje de
desafío de acceso de RADIUS a la WLAN 202 para la MS 208. El
desafío se retransmite entonces a la MS 208 para su procesamiento,
y se proporciona una respuesta de vuelta a la WLAN 202 (no
mostrado). La IWF 204 recibe el mensaje de petición de acceso de
RADIUS en la etapa 510, y determina si la autenticación de la MS es
satisfactoria en el rombo 512 de decisiones. En una autenticación
satisfactoria, la IWF 204 envía un mensaje de aceptación de acceso
de RADIUS en la etapa 514, o si no la IWF 204 envía un mensaje de
rechazo de acceso de RADIUS en la etapa 516.
Volviendo al rombo 502 de decisión, si la IWF
204 no dispone del AV, la IWF envía un mensaje de AUTHREQU al AC
206 en la etapa 504. A la recepción del AV, la IWF 204 continúa el
procesamiento hasta la etapa 506, o si no continúa el procesamiento
hasta la etapa 516.
La figura 7 ilustra una IWF 600 adaptada para
interconectarse entre una WLAN (no mostrada), y por tanto que puede
realizar los procedimientos necesarios para la comunicación,
autenticación, intercambio de claves y otras comunicaciones de
seguridad con la misma, y un AC (no mostrado), y por tanto que puede
realizar los procedimientos necesarios para la comunicación,
autenticación, intercambio de claves y otras comunicaciones de
seguridad con el mismo. La IWF 600 incluye una unidad 602 de
interfaz de WLAN, que prepara, transmite, recibe y/o interpreta
comunicaciones con una WLAN. De manera similar, la IWF 600 incluye
una unidad 604 de interfaz de AC, que prepara, transmite, recibe y/o
interpreta comunicaciones con un AC. La IWF 600 incluye además una
unidad 608 de procedimiento de CAVE, una unidad 610 de
procedimiento de EAP y una unidad 612 de procedimiento de RADIUS. La
IWF 600 puede incluir cualquier número de tales unidades de
procedimiento (no mostradas) según se requiera para la función de
interfuncionamiento en un sistema dado. Las unidades de
procedimiento, tales como la unidad 608 de procedimiento de CAVE, la
unidad 610 de procedimiento de EAP y la unidad 612 de procedimiento
de RADIUS, pueden implementarse en software, hardware, firmware, o
una combinación de los mismos. Los diversos módulos dentro de la IWF
600 se comunican a través de un bus 614 de comunicación.
Los expertos en la técnica entenderán que la
información y las señales pueden representarse usando cualquiera de
una variedad de tecnologías y técnicas diferentes. Por ejemplo, los
datos, instrucciones, órdenes, información, señales, bits, símbolos
y elementos de código a los que puede hacerse referencia a lo largo
de la descripción anterior pueden representarse mediante tensiones,
corrientes, ondas electromagnéticas, partículas o campos
magnéticos, partículas o campos ópticos, o cualquier combinación de
los mismos.
Los expertos apreciarán además que los diversos
bloques lógicos, módulos, circuitos y etapas algorítmicas
ilustrativos descritos en conexión con las realizaciones dadas a
conocer en el presente documento pueden implementarse como hardware
electrónico, software informático o combinaciones de los mismos.
Para ilustrar con claridad esta intercambiabilidad de hardware y
software, se han descrito anteriormente diversos componentes,
bloques, módulos, circuitos y etapas ilustrativos en general en
cuanto a su funcionalidad. El que tal funcionalidad se implemente
como hardware o software depende de las limitaciones particulares de
aplicación y diseño impuestas al sistema global. Los expertos en la
técnica pueden implementar la funcionalidad descrita de diversas
maneras para cada aplicación particular, pero no debe interpretarse
que tales decisiones de implementación provocan un alejamiento del
alcance de la presente invención.
Los diversos bloques lógicos, módulos y
circuitos ilustrativos descritos en conexión con las realizaciones
dadas a conocer en el presente documento pueden implementarse o
realizarse con un procesador de propósito general, un procesador de
señal digital (DSP), un circuito integrado de aplicación específica
(ASIC), una disposición de puertas programables en campo (FPGA) u
otro dispositivo lógico programable, puerta discreta o lógica de
transistor, componentes de hardware discretos o cualquier
combinación de los mismos diseñada para realizar las funciones
descritas en el presente documento. Un procesador de propósito
general puede ser un microprocesador, pero como alternativa, el
procesador puede ser cualquier procesador, controlador,
microcontrolador o máquina de estados convencional. También puede
implementarse un procesador como una combinación de dispositivos de
computación, por ejemplo, una combinación de un DSP y un
microprocesador, una pluralidad de microprocesadores, uno o más
microprocesadores en conjunción con un núcleo de DSP, o cualquier
otra configuración de este tipo.
Las etapas de un procedimiento o algoritmo
descritas en conexión con las realizaciones dadas a conocer en el
presente documento pueden realizarse directamente en hardware, en un
módulo de software ejecutado por un procesador, o en una
combinación de ambos. Un modulo de software puede residir en memoria
RAM, memoria flash, memoria ROM, memoria EPROM, memoria EEPROM,
registros, disco duro, un disco extraíble, un
CD-ROM, o cualquier otra forma de medio de
almacenamiento conocida en la técnica. Un medio de almacenamiento
ejemplar se acopla al procesador de modo que el procesador pueda
leer información del y escribir información en el medio de
almacenamiento. Como alternativa, el medio de almacenamiento puede
estar integrado en el procesador. El procesador y el medio de
almacenamiento pueden residir en un ASIC. El ASIC puede residir en
un terminal de usuario. Como alternativa, el procesador y el medio
de almacenamiento pueden residir como componentes discretos en un
terminal de usuario.
La descripción anterior de las realizaciones
dadas a conocer se proporciona para permitir a cualquier experto en
la técnica realizar o usar la presente invención. Diversas
modificaciones de estas realizaciones serán fácilmente evidentes
para los expertos en la técnica, y los principios genéricos
definidos en el presente documento pueden aplicarse a otras
realizaciones sin alejarse del alcance de la invención, según se
define en las reivindicaciones adjuntas.
Claims (6)
-
\global\parskip0.920000\baselineskip
1. Un aparato (204) de función de interfuncionamiento, IWF, en comunicación con una red (202) de área local inalámbrica, WLAN, y una red de comunicación celular, que se comunica con un dispositivo (208) inalámbrico, estando el aparato (204) de IWF adaptado para determinar una capacidad de autenticación asociada con el dispositivo (208) inalámbrico a partir de una base (210) de datos usando una identidad recibida de dicho dispositivo (208) inalámbrico, en el que dicha capacidad de autenticación comprende o bien un algoritmo de autenticación celular y encriptación de voz, CAVE, o bien un algoritmo de acuerdo de clave de autenticación, AKA, comprendiendo el aparato (204) de IWF:- \quad
- la base (210) de datos adaptada para almacenar la capacidad de autenticación correspondiente al dispositivo (208) inalámbrico;
- \quad
- una interfaz WLAN adaptada para:
- \quad
- enviar, a través de la WLAN (202), un desafío de acceso al dispositivo (208) inalámbrico basándose en dicha capacidad de autenticación determinada; y
- \quad
- recibir, a través de la WLAN (202), una petición de acceso desde el dispositivo (208) inalámbrico, conteniendo la petición de acceso una respuesta al desafío de acceso desde el dispositivo (208) inalámbrico, en el que la respuesta al desafío de acceso la genera el dispositivo (208) inalámbrico basándose en una clave de autenticación predeterminada; y
- \quad
- una interfaz de control de acceso, AC,
- \quad
- en el que el aparato (204) de IWF está adaptado para dirigir la interfaz AC para que transmita una petición de autenticación a la red de comunicación celular, y para recibir una respuesta de autenticación generada por la red de comunicación celular basándose en la clave de autenticación predeterminada, si el aparato (204) de IWF no dispone de la información para autenticar el dispositivo (208) inalámbrico.
\vskip1.000000\baselineskip
- 2. El aparato (204) de IWF según la reivindicación 1, estando el aparato de IWF adaptado para comunicarse con la WLAN (202) a través de un primer protocolo de transporte que comprende uno de un protocolo RADIUS o DIAMETER, y adaptado para comunicarse con la red de comunicación celular a través de un segundo protocolo de transporte que comprende un protocolo IS-41.
- 3. Un procedimiento para autenticar un dispositivo (208) inalámbrico mediante una red de comunicación celular para acceder a una red de área local inalámbrica, WLAN, (202), comprendiendo el procedimiento:
- \quad
- determinar una capacidad de autenticación asociada con el dispositivo (208) inalámbrico a partir de una base (210) de datos usando una identidad recibida de dicho dispositivo (208) inalámbrico, en el que dicha capacidad de autenticación comprende o bien un algoritmo de autenticación celular y encriptación de voz, CAVE, o bien un algoritmo de acuerdo de clave de autenticación, AKA;
- \quad
- enviar, a través de la WLAN (202), un desafío de acceso al dispositivo (208) inalámbrico basándose en dicha capacidad de autenticación determinada;
- \quad
- generar una petición de acceso por el dispositivo (208) inalámbrico basándose en una clave de autenticación predeterminada, conteniendo la petición de acceso una respuesta al desafío de acceso desde el dispositivo (208) inalámbrico;
- \quad
- recibir la petición de acceso a través de la WLAN (202) en un aparato (204) de función de interfuncionamiento IWF en comunicación con el dispositivo (208) inalámbrico y la red de comunicación celular;
- \quad
- si el aparato (204) de IWF no dispone de la información para autenticar el dispositivo (208) inalámbrico:
- \quad
- transmitir una petición de autenticación a la red de comunicación celular; y
- \quad
- autenticar el dispositivo (208) inalámbrico mediante la red de comunicación celular basándose en la clave de autenticación predeterminada.
\vskip1.000000\baselineskip
- 4. El procedimiento según la reivindicación 3, que comprende además:
- \quad
- conceder acceso inalámbrico por la WLAN (202) a la WLAN si el dispositivo (208) inalámbrico se autentica mediante la red de comunicación celular basándose en la clave de autenticación predeterminada.
\vskip1.000000\baselineskip
- 5. El procedimiento según la reivindicación 3, la petición de acceso se recibe en el aparato (204) de IWF a través de un primer protocolo de transporte que comprende uno de un protocolo RADIUS o DIAMETER.
- 6. El procedimiento según la reivindicación 3, la petición de autenticación se transmite a la red de comunicación celular a través de un segundo protocolo de transporte que comprende un protocolo IS-41.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US176562 | 1988-04-01 | ||
| US10/176,562 US8630414B2 (en) | 2002-06-20 | 2002-06-20 | Inter-working function for a communication system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2336665T3 true ES2336665T3 (es) | 2010-04-15 |
Family
ID=29734169
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES09013590T Expired - Lifetime ES2387599T3 (es) | 2002-06-20 | 2003-06-20 | Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica |
| ES03761172T Expired - Lifetime ES2336665T3 (es) | 2002-06-20 | 2003-06-20 | Funcion de interfuncionamiento para la auntentificacion de un termninal en terminal en una area local inalambrica. |
| ES10009983.7T Expired - Lifetime ES2524294T3 (es) | 2002-06-20 | 2003-06-20 | Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES09013590T Expired - Lifetime ES2387599T3 (es) | 2002-06-20 | 2003-06-20 | Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES10009983.7T Expired - Lifetime ES2524294T3 (es) | 2002-06-20 | 2003-06-20 | Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US8630414B2 (es) |
| EP (3) | EP1514384B1 (es) |
| JP (1) | JP4624785B2 (es) |
| KR (1) | KR101068424B1 (es) |
| CN (2) | CN101018178B (es) |
| AT (1) | ATE456237T1 (es) |
| AU (1) | AU2003243676A1 (es) |
| BR (2) | BRPI0311913B1 (es) |
| DE (1) | DE60331064D1 (es) |
| DK (1) | DK2257095T3 (es) |
| ES (3) | ES2387599T3 (es) |
| PT (1) | PT2257095E (es) |
| TW (2) | TWI375438B (es) |
| WO (1) | WO2004002073A2 (es) |
Families Citing this family (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050012257A (ko) * | 2002-06-06 | 2005-01-31 | 톰슨 라이센싱 에스.에이. | Wlan과 이동 통신 네트워크 간의 연동의 혼성 결합을위한 논리 무선 네트워크 제어기(rnc)로서의 연동기능(iwf) |
| CN1685694B (zh) * | 2002-08-14 | 2010-05-05 | 汤姆森特许公司 | 支持多个虚拟操作员的公共无线局域网的会话密钥管理 |
| US7249177B1 (en) * | 2002-11-27 | 2007-07-24 | Sprint Communications Company L.P. | Biometric authentication of a client network connection |
| US20040184466A1 (en) * | 2003-03-18 | 2004-09-23 | Ju-Nan Chang | Mobile server for internetworking wpan, wlan, and wwan |
| GB0400694D0 (en) * | 2004-01-13 | 2004-02-18 | Nokia Corp | A method of connection |
| EP1562343A1 (fr) | 2004-02-09 | 2005-08-10 | France Telecom | Procédé et système de gestion d'autorisation d'accès d'un utilisateur au niveau d'un domaine administratif local lors d'une connexion de l'utilisateur à un réseau IP |
| US7426550B2 (en) | 2004-02-13 | 2008-09-16 | Microsoft Corporation | Extensible wireless framework |
| KR100533003B1 (ko) * | 2004-03-02 | 2005-12-02 | 엘지전자 주식회사 | 사용자 인증을 위한 프로토콜 개선 방법 |
| FI116182B (fi) * | 2004-03-23 | 2005-09-30 | Teliasonera Finland Oyj | Tilaajan autentikointi |
| US7974234B2 (en) | 2004-10-22 | 2011-07-05 | Alcatel Lucent | Method of authenticating a mobile network node in establishing a peer-to-peer secure context between a pair of communicating mobile network nodes |
| JP4275108B2 (ja) * | 2005-06-06 | 2009-06-10 | 株式会社日立コミュニケーションテクノロジー | 復号鍵配信方法 |
| US7660851B2 (en) * | 2005-07-06 | 2010-02-09 | Microsoft Corporation | Meetings near me |
| US20070180499A1 (en) * | 2006-01-31 | 2007-08-02 | Van Bemmel Jeroen | Authenticating clients to wireless access networks |
| US8555350B1 (en) * | 2006-06-23 | 2013-10-08 | Cisco Technology, Inc. | System and method for ensuring persistent communications between a client and an authentication server |
| US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
| US7707415B2 (en) * | 2006-09-07 | 2010-04-27 | Motorola, Inc. | Tunneling security association messages through a mesh network |
| US7734052B2 (en) * | 2006-09-07 | 2010-06-08 | Motorola, Inc. | Method and system for secure processing of authentication key material in an ad hoc wireless network |
| JP5144679B2 (ja) * | 2006-12-19 | 2013-02-13 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 通信ネットワークにおけるユーザアクセス管理 |
| US10171998B2 (en) | 2007-03-16 | 2019-01-01 | Qualcomm Incorporated | User profile, policy, and PMIP key distribution in a wireless communication network |
| CN102318386B (zh) * | 2008-12-15 | 2016-11-23 | 皇家Kpn公司 | 向网络的基于服务的认证 |
| CN101808321B (zh) * | 2009-02-16 | 2014-03-12 | 中兴通讯股份有限公司 | 一种安全认证方法 |
| CN101534571B (zh) * | 2009-04-07 | 2011-06-22 | 中兴通讯股份有限公司 | 实现网络之间iwf业务互通的方法和系统 |
| WO2010118570A1 (zh) * | 2009-04-15 | 2010-10-21 | 华为技术有限公司 | 一种WiMAX和WiFi网络融合的系统和装置 |
| CN101562814A (zh) * | 2009-05-15 | 2009-10-21 | 中兴通讯股份有限公司 | 一种第三代网络的接入方法及系统 |
| US9100388B2 (en) | 2012-02-10 | 2015-08-04 | Qualcomm Incorporated | Secure mechanism for obtaining authorization for a discovered location server |
| CN103391527B (zh) * | 2012-05-11 | 2016-12-07 | 南京中兴软件有限责任公司 | 无线接入热点设备中功能共享的实现方法、设备及系统 |
| US10034168B1 (en) * | 2013-04-25 | 2018-07-24 | Sprint Spectrum L.P. | Authentication over a first communication link to authorize communications over a second communication link |
| US10433163B2 (en) | 2016-09-19 | 2019-10-01 | Qualcomm Incorporated | Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure |
| CN114531256B (zh) * | 2020-11-03 | 2024-12-10 | 阿里巴巴集团控股有限公司 | 数据通信方法及系统 |
| US20240298174A1 (en) * | 2020-12-31 | 2024-09-05 | Samsung Electronics Co., Ltd. | Method and systems for authenticating ue for accessing non-3gpp service |
Family Cites Families (65)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5796727A (en) * | 1993-04-30 | 1998-08-18 | International Business Machines Corporation | Wide-area wireless lan access |
| US5490203A (en) * | 1993-07-26 | 1996-02-06 | Bell Communications Research Inc. | Method and system utilizing a location caching strategy to locate nomadic users in a communication services system |
| SE9401879L (sv) * | 1994-05-31 | 1995-12-01 | Ericsson Telefon Ab L M | Anordning vid telekommunikationssystem |
| US5537474A (en) * | 1994-07-29 | 1996-07-16 | Motorola, Inc. | Method and apparatus for authentication in a communication system |
| AU6380496A (en) * | 1995-06-07 | 1996-12-30 | E-Comm Incorporated | Handheld remote computer control and methods for secured int eractive real-time telecommunications |
| JP3526688B2 (ja) | 1996-03-29 | 2004-05-17 | 富士通株式会社 | コネクションレスな通信における従量制課金システムおよび方法 |
| JPH10149237A (ja) | 1996-11-20 | 1998-06-02 | Kyushu Syst Joho Gijutsu Kenkyusho | 半導体回路 |
| US5850445A (en) * | 1997-01-31 | 1998-12-15 | Synacom Technology, Inc. | Authentication key management system and method |
| US6105133A (en) * | 1997-03-10 | 2000-08-15 | The Pacid Group | Bilateral authentication and encryption system |
| JPH10285630A (ja) | 1997-03-31 | 1998-10-23 | Mitsubishi Electric Corp | 携帯無線電話機の広域ローミング認証装置および広域ローミング認証方法 |
| US5889772A (en) | 1997-04-17 | 1999-03-30 | Advanced Micro Devices, Inc. | System and method for monitoring performance of wireless LAN and dynamically adjusting its operating parameters |
| US6085247A (en) * | 1998-06-08 | 2000-07-04 | Microsoft Corporation | Server operating system for supporting multiple client-server sessions and dynamic reconnection of users to previous sessions using different computers |
| WO1999026159A2 (en) * | 1997-11-14 | 1999-05-27 | Microsoft Corporation | Server operating system for supporting multiple client-server sessions and dynamic reconnection of users to previous sessions |
| FR2773935A1 (fr) * | 1998-01-19 | 1999-07-23 | Canon Kk | Procedes de communication entre systemes informatiques et dispositifs les mettant en oeuvre |
| JPH11215116A (ja) | 1998-01-27 | 1999-08-06 | Nippon Telegr & Teleph Corp <Ntt> | 鍵管理方法およびシステム |
| RU2132597C1 (ru) | 1998-03-25 | 1999-06-27 | Войсковая часть 43753 | Способ шифрования и передачи шифрованной речевой информации в сетях сотовой подвижной связи стандартов gsm-900, dcs-1800 |
| US6584310B1 (en) * | 1998-05-07 | 2003-06-24 | Lucent Technologies Inc. | Method and apparatus for performing authentication in communication systems |
| FI105978B (fi) | 1998-05-12 | 2000-10-31 | Nokia Mobile Phones Ltd | Menetelmä langattoman päätelaitteen kytkemiseksi tiedonsiirtoverkkoon ja langaton päätelaite |
| DE19822795C2 (de) | 1998-05-20 | 2000-04-06 | Siemens Ag | Verfahren und Anordnung zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer ersten Computereinheit und einer zweiten Computereinheit |
| US7277424B1 (en) * | 1998-07-21 | 2007-10-02 | Dowling Eric M | Method and apparatus for co-socket telephony |
| TW372384B (en) | 1998-07-27 | 1999-10-21 | Nat Datacomm Corp | Connection link method between wireless local area network station and wireless access point |
| US6334185B1 (en) | 1998-09-08 | 2001-12-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for centralized encryption key calculation |
| JP2000124893A (ja) | 1998-10-16 | 2000-04-28 | Hitachi Ltd | 暗号/復号アルゴリズムの変換方法、暗号通信システムにおける送信装置および受信装置 |
| GB2342817A (en) | 1998-10-16 | 2000-04-19 | Nokia Mobile Phones Ltd | Secure session setup based on wireless application protocol |
| TW389016B (en) | 1998-10-23 | 2000-05-01 | Lin Shau Wen | Encryption device for communication system and method thereof |
| US6178506B1 (en) | 1998-10-23 | 2001-01-23 | Qualcomm Inc. | Wireless subscription portability |
| EP1062768B1 (en) | 1999-01-13 | 2005-11-02 | Koninklijke Philips Electronics N.V. | A wireless local area network(lan) and a method of operating the lan |
| SE9900472L (sv) | 1999-02-12 | 2000-08-13 | Ericsson Telefon Ab L M | Förfarande och arrangemang för att möjliggöra krypterad kommunikation |
| US6507907B1 (en) | 1999-02-26 | 2003-01-14 | Intel Corporation | Protecting information in a system |
| KR100327345B1 (ko) | 1999-04-08 | 2002-03-06 | 윤종용 | 가변 전류 이득 특성을 갖는 입출력 센스앰프를 구비한메모리 장치 |
| US7023868B2 (en) * | 1999-04-13 | 2006-04-04 | Broadcom Corporation | Voice gateway with downstream voice synchronization |
| GB2355885A (en) | 1999-07-30 | 2001-05-02 | Nokia Telecommunications Oy | Network access control |
| EP1075123A1 (en) | 1999-08-06 | 2001-02-07 | Lucent Technologies Inc. | Dynamic home agent system for wireless communication systems |
| US6769000B1 (en) * | 1999-09-08 | 2004-07-27 | Nortel Networks Limited | Unified directory services architecture for an IP mobility architecture framework |
| JP3570310B2 (ja) | 1999-10-05 | 2004-09-29 | 日本電気株式会社 | 無線lanシステムにおける認証方法と認証装置 |
| AUPQ412899A0 (en) | 1999-11-18 | 1999-12-09 | Prescient Networks Pty Ltd | A gateway system for interconnecting wireless ad-hoc networks |
| JP3362780B2 (ja) | 1999-12-15 | 2003-01-07 | 日本電信電話株式会社 | 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体 |
| DE10006196B4 (de) | 2000-02-11 | 2004-08-19 | Zimmer Ag | Parallel-Spinnprozeß mit Fadenverwirbelung zwischen Galetten und Spinnanlage hierzu |
| US7116646B1 (en) * | 2000-03-07 | 2006-10-03 | Telefonakitebolaget Lm Ericsson (Publ) | CDMA internet protocol mobile telecommunications network architecture and methodology |
| FI20000760A0 (fi) | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US7961712B2 (en) * | 2000-05-08 | 2011-06-14 | Broadcom Corporation | System and method for supporting multiple voice channels |
| JP2002009762A (ja) | 2000-06-26 | 2002-01-11 | Sony Corp | 情報処理システム、情報処理方法、および情報処理装置、並びにプログラム提供媒体 |
| KR100624195B1 (ko) | 2000-07-07 | 2006-09-19 | 엘지전자 주식회사 | 이동 단말기간 패킷 서비스를 제공하기 위한 이동 통신시스템 및 그 기지국 제어기내 보코더의 데이터 처리방법 |
| WO2002009458A2 (en) * | 2000-07-24 | 2002-01-31 | Bluesocket, Inc. | Method and system for enabling seamless roaming in a wireless network |
| US6996631B1 (en) * | 2000-08-17 | 2006-02-07 | International Business Machines Corporation | System having a single IP address associated with communication protocol stacks in a cluster of processing systems |
| JP2002077441A (ja) | 2000-09-01 | 2002-03-15 | Yozan Inc | 通信端末 |
| DE10043203A1 (de) | 2000-09-01 | 2002-03-21 | Siemens Ag | Generische WLAN-Architektur |
| FR2813500B1 (fr) | 2000-09-05 | 2002-11-01 | Thierry Templai | Dispositif de desherbage thermique |
| JP2002124952A (ja) | 2000-10-12 | 2002-04-26 | Furukawa Electric Co Ltd:The | 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム |
| KR100423153B1 (ko) | 2000-12-05 | 2004-03-18 | 엘지전자 주식회사 | 통신 망에서의 단말기 인증 방법 |
| EP1356653B1 (en) * | 2001-01-24 | 2011-07-20 | Broadcom Corporation | Method for processing multiple security policies applied to a data packet structure |
| US7350076B1 (en) | 2001-05-16 | 2008-03-25 | 3Com Corporation | Scheme for device and user authentication with key distribution in a wireless network |
| US7730528B2 (en) * | 2001-06-01 | 2010-06-01 | Symantec Corporation | Intelligent secure data manipulation apparatus and method |
| WO2003017125A1 (en) * | 2001-08-07 | 2003-02-27 | Tatara Systems, Inc. | Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks |
| KR100438155B1 (ko) | 2001-08-21 | 2004-07-01 | (주)지에스텔레텍 | 무선랜 네트워크 시스템 및 그 운용방법 |
| US8140845B2 (en) * | 2001-09-13 | 2012-03-20 | Alcatel Lucent | Scheme for authentication and dynamic key exchange |
| US20030095663A1 (en) * | 2001-11-21 | 2003-05-22 | Nelson David B. | System and method to provide enhanced security in a wireless local area network system |
| WO2003105380A1 (en) | 2002-06-06 | 2003-12-18 | Thomson Licensing S.A. | Wlan as a logical support node (sgsn) for interworking between the wlan and a mobile communications system |
| US20030236980A1 (en) * | 2002-06-20 | 2003-12-25 | Hsu Raymond T. | Authentication in a communication system |
| US20030235305A1 (en) * | 2002-06-20 | 2003-12-25 | Hsu Raymond T. | Key generation in a communication system |
| US7593717B2 (en) | 2003-09-12 | 2009-09-22 | Alcatel-Lucent Usa Inc. | Authenticating access to a wireless local area network based on security value(s) associated with a cellular system |
| CN1601958B (zh) | 2003-09-26 | 2010-05-12 | 北京三星通信技术研究有限公司 | 基于cave算法的hrpd网络接入认证方法 |
| US20050138355A1 (en) | 2003-12-19 | 2005-06-23 | Lidong Chen | System, method and devices for authentication in a wireless local area network (WLAN) |
| US8094821B2 (en) * | 2004-08-06 | 2012-01-10 | Qualcomm Incorporated | Key generation in a communication system |
| DE102006008745A1 (de) * | 2005-11-04 | 2007-05-10 | Siemens Ag | Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels |
-
2002
- 2002-06-20 US US10/176,562 patent/US8630414B2/en not_active Expired - Fee Related
-
2003
- 2003-06-20 DE DE60331064T patent/DE60331064D1/de not_active Expired - Lifetime
- 2003-06-20 TW TW100103772A patent/TWI375438B/zh not_active IP Right Cessation
- 2003-06-20 ES ES09013590T patent/ES2387599T3/es not_active Expired - Lifetime
- 2003-06-20 EP EP03761172A patent/EP1514384B1/en not_active Expired - Lifetime
- 2003-06-20 CN CN2007100883777A patent/CN101018178B/zh not_active Expired - Fee Related
- 2003-06-20 AT AT03761172T patent/ATE456237T1/de not_active IP Right Cessation
- 2003-06-20 BR BRPI0311913-0A patent/BRPI0311913B1/pt unknown
- 2003-06-20 PT PT100099837T patent/PT2257095E/pt unknown
- 2003-06-20 BR BRPI0311913-0A patent/BR0311913A/pt not_active IP Right Cessation
- 2003-06-20 ES ES03761172T patent/ES2336665T3/es not_active Expired - Lifetime
- 2003-06-20 WO PCT/US2003/019460 patent/WO2004002073A2/en not_active Ceased
- 2003-06-20 KR KR1020107013415A patent/KR101068424B1/ko not_active Expired - Fee Related
- 2003-06-20 DK DK10009983.7T patent/DK2257095T3/en active
- 2003-06-20 TW TW092116827A patent/TWI351194B/zh not_active IP Right Cessation
- 2003-06-20 AU AU2003243676A patent/AU2003243676A1/en not_active Abandoned
- 2003-06-20 ES ES10009983.7T patent/ES2524294T3/es not_active Expired - Lifetime
- 2003-06-20 EP EP10009983.7A patent/EP2257095B1/en not_active Expired - Lifetime
- 2003-06-20 CN CN038184303A patent/CN1672368B/zh not_active Expired - Fee Related
- 2003-06-20 JP JP2004516003A patent/JP4624785B2/ja not_active Expired - Fee Related
- 2003-06-20 EP EP09013590A patent/EP2144399B1/en not_active Expired - Lifetime
Also Published As
| Publication number | Publication date |
|---|---|
| CN1672368B (zh) | 2012-01-11 |
| CN101018178A (zh) | 2007-08-15 |
| KR101068424B1 (ko) | 2011-09-28 |
| ES2387599T3 (es) | 2012-09-27 |
| TWI351194B (en) | 2011-10-21 |
| JP2005530459A (ja) | 2005-10-06 |
| CN1672368A (zh) | 2005-09-21 |
| AU2003243676A1 (en) | 2004-01-06 |
| BRPI0311913B1 (pt) | 2018-01-02 |
| EP2257095A1 (en) | 2010-12-01 |
| EP1514384A2 (en) | 2005-03-16 |
| CN101018178B (zh) | 2013-05-08 |
| TW200405734A (en) | 2004-04-01 |
| TW201123772A (en) | 2011-07-01 |
| US20030236982A1 (en) | 2003-12-25 |
| TWI375438B (en) | 2012-10-21 |
| ATE456237T1 (de) | 2010-02-15 |
| JP4624785B2 (ja) | 2011-02-02 |
| EP2144399A1 (en) | 2010-01-13 |
| WO2004002073A3 (en) | 2004-06-17 |
| EP1514384B1 (en) | 2010-01-20 |
| KR20100085185A (ko) | 2010-07-28 |
| WO2004002073A2 (en) | 2003-12-31 |
| BR0311913A (pt) | 2007-05-08 |
| EP2257095B1 (en) | 2014-09-24 |
| DE60331064D1 (de) | 2010-03-11 |
| DK2257095T3 (en) | 2014-12-01 |
| ES2524294T3 (es) | 2014-12-05 |
| US8630414B2 (en) | 2014-01-14 |
| EP2144399B1 (en) | 2012-06-20 |
| PT2257095E (pt) | 2014-11-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2336665T3 (es) | Funcion de interfuncionamiento para la auntentificacion de un termninal en terminal en una area local inalambrica. | |
| CA2862069C (en) | Key generation in a communication system | |
| US8094821B2 (en) | Key generation in a communication system | |
| US7760710B2 (en) | Rogue access point detection | |
| KR101068426B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| HK1109266A (en) | Inter-working function for a communication system |