Autenticación del acceso a una red.

Un método de provisión de autenticación de acceso para un usuario que utiliza un equipo de usuario (1-2) que comunica (1) en una primera red de comunicaciones (1-30) que admite un primer tipo de identificación,

a una segunda red de comunicaciones (1-16, 1-20) que admite un segundo tipo de identificación, comprendiendo el método:

autenticar el equipo de usuario (1-2) en la primera red de comunicaciones (1-30) mediante el primer tipo de identificación;

crear, mediante una función de servidor de arranque en la primera red de comunicaciones, para el equipo de usuario autenticado en la primera red de comunicaciones, un identificador B-TID en la primera red de comunicaciones (1- 30), estando previsto el identificador B-TID para ser utilizado en el segundo tipo de identificación en respuesta a la autenticación del equipo de usuario (1-2) en la primera red de comunicaciones (1-30);

enviar el identificador B-TID creado al equipo de usuario sobre la primera red de comunicaciones;

recibir (5) en la primera red de comunicaciones, el identificador B-TID creado enviado desde el equipo de usuario a un elemento de control de acceso para la segunda red de comunicaciones, caracterizado porque el identificador B TID comprende una primera parte y una segunda parte;

recuperar (7), utilizando la primera parte, una segunda parte correspondiente a partir de una base de datos de la primera red de comunicaciones (1-30) mediante la función de servidor de arranque;

comparar la segunda parte recibida con la correspondiente segunda parte recuperada, y son iguales, proporcionar al equipo de usuario (1-2) autenticación de acceso para la segunda red de comunicaciones (1-16, 1-20).

Autenticación del acceso a una red

CAMPO DE LA INVENCIÓN

La presente invención se refiere a la tecnología de comunicaciones, y más en particular a la autenticación del acceso a una red.

ANTECEDENTES DE LA INVENCIÓN

Diferentes servicios multimedia de tercera generación 3G tienen la capacidad de utilizar la arquitectura genérica de arranque GBA (generic bootstrapping architecture) proporcionada por el proyecto de asociación de tercera generación 3GPP, y que se basa a en el protocolo de autenticación y gestión de claves AKA (authentication and key agreement) para distribuir certificados de abonado. Estos certificados son utilizados por los operadores móviles para autenticar a un abonado antes de que acceda a las aplicaciones y los servicios multimedia sobre un protocolo de transferencia de hipertexto HTTP. Los servicios y las aplicaciones incluyen presencia (tal como un sistema de mensajería instantánea) , conferencia de video, mensajería, difusión de video, una aplicación de pulsar para hablar, etc., y son ofrecidos por operadores IMS (subsistema multimedia de protocolo de internet, IP) . Una infraestructura de la arquitectura genérica de arranque permite asimismo una función de aplicación en la red y en el lado del usuario para utilizar claves compartidas. La arquitectura GBA ha sido mejorada mediante la implementación de una arquitectura genérica de autenticación GAA (generic authentication architecture) para proporcionar acceso seguro sobre HTTP utilizando la seguridad de la capa de transporte TLS (transport layer security) . GAA describe una arquitectura genérica para autenticación de pares que puede servir a priori para cualquier aplicación presente y futura. GAA se puede describir asimismo como una infraestructura de autenticación con un modelo de referencia de autenticación que vincula entre sí GBA, mecanismos de seguridad, características basadas en secretos compartidos y en certificados, y características funcionales.

Sin embargo, actualmente no es posible tener autenticación de acceso para un usuario que utiliza un equipo de usuario que comunica en una primera red de comunicaciones que admite un primer tipo de identificación, en una segunda red de comunicaciones que admite un segundo tipo de identificación, con el primer tipo de identificación. Esto causa problemas, por ejemplo, en la gestión de la red.

El documento Huang C-M y otros: "Authentication mechanism over the integrated UMTS network and WLAN platform using the cross-layer bootstrap", 20071004, volumen 1, número 5, 4 de octubre de 2007 (04/10/2009) , páginas 866874, describe un mecanismo de autenticación sobre el mecanismo de integración de acoplamiento separado utilizando un arranque multicapa. El documento describe una descripción de protocolos, un análisis de seguridad y un análisis de costes del mismo.

El documento de Olkkonen, Timo: "Generic Authentication Procedure", 12 de diciembre de 2006 (12/12/2006, páginas 1 a 5, XP002610576) describe la arquitectura para el procedimiento de autenticación genérico, el soporte para certificados de abonado y las diferencias entre el arranque 3G y 2G.

BREVE DESCRIPCIÓN DE LA INVENCIÓN

Por lo tanto, un objetivo de la presente invención es dar a conocer un método y un aparato para implementar el método de manera que resuelvan el problema mencionado. Los objetivos de la invención se consiguen mediante un método y un dispositivo que están caracterizados por lo indicado en las reivindicaciones independientes. Se dan a conocer realizaciones preferidas de la invención en las reivindicaciones dependientes.

La invención está basada en la idea de proporcionar autenticación a un sistema que no utiliza un identificador con el que se ha identificado inicialmente el equipo de usuario. Por ejemplo, puede realizarse una autenticación SIM (módulo de autenticación de abonado) en un entorno que no utilice un identificador SIM.

Una ventaja del método y el dispositivo de la invención es que la gestión de la red de sistemas diferentes se hace más sencilla y más eficiente, por ejemplo, porque ahorra recursos del sistema y porque no requiere realizar modificaciones al sistema o sistemas actuales.

BREVE DESCRIPCIÓN DE LOS DIBUJOS

A continuación, se describirá en detalle la invención mediante realizaciones preferidas y haciendo referencia a los dibujos adjuntos, en los cuales la figura 1 muestra una arquitectura de autenticación y servicio, según la invención y sus realizaciones.

DESCRIPCIÓN DETALLADA DE LA INVENCIÓN

A continuación, la invención y sus realizaciones se describirán principalmente en relación con dos sistemas de comunicaciones y con dos redes de acceso. Se describirán asimismo en relación con dos diferentes maneras de acceder a una red central. Sin embargo, la invención y sus realizaciones no están limitadas al número de sistemas de comunicaciones, o de redes de acceso, o de maneras de realizar el acceso. Asimismo, en relación con la invención, el funcionamiento y la estructura de los sistemas de comunicaciones y de las redes de acceso se describen solamente de la medida en que ayudan a la comprensión de la invención y de sus realizaciones. La invención y sus realizaciones no son específicas de los sistemas de comunicaciones y redes de acceso particulares, sino que se apreciará que la invención y sus realizaciones tienen aplicación en muchos tipos de sistemas y pueden aplicarse, por ejemplo, a un dominio de conmutación de circuitos, por ejemplo, en un sistema de comunicación celular digital GSM (Global System for Mobile Communications, sistema global de comunicaciones móviles) , en un dominio de conmutación de paquetes, por ejemplo en el sistema UMTS (Universal Mobile Telecommunications System, sistema universal de telecomunicaciones móviles) , y, por ejemplo, en redes según los estándares IEEE

802.11: WLAN (Wireless Local Area networks, redes inalámbricas de área local) , HomeRF (Radio Frequency, radiofrecuencia) o especificaciones (HIPERLAN1 y 2, HIPERACCESS) de BRAN (Broadband Radio Access Networks, redes de acceso radio de banda ancha) . La invención y sus realizaciones pueden aplicarse asimismo a un sistema de red heredado, que describe una red que no está basada en el protocolo IP (protocolo de internet) o el protocolo TCP/IP (protocolo de control de transmisión/protocolo de internet) . Ejemplos de redes heredadas incluyen cualquier red de acceso IP que no sea capaz de proporcionar autenticación de acceso de red basado en (U) SIM (UMTS Subscriber Identity Module, módulo de identidad de abonado UMTS) , como parte de un procedimiento natural de autenticación de acceso. Éstas incluyen las redes IPX (Internet Packet Exchange, intercambio de paquetes de internet) , SNA, Appletalk y DECnet. Una realización es una red de acceso WLAN sin ninguna clase de soporte de EAP (Extensible Authentication Protocol, protocolo de autenticación extensible) , tal como un punto de acceso basado en acceso web. La invención y sus realizaciones se pueden aplicar asimismo a sistemas de comunicaciones ad hoc que proporcionan acceso IP, tales como una red IrDA (Infrared Data Association, asociación de datos por infrarrojos) o una red Bluetooth. En otras palabras, los principios básicos de la invención se pueden utilizar para permitir autenticación entre y/o dentro de cualesquiera sistemas de comunicaciones móviles de la segunda, 2, 5-ésima, tercera y cuarta generaciones, tales como GSM, GPRS (General Packet Radio Service, servicio general de radiocomunicaciones por paquetes) , TETRA (Terrestrial Trunked Radio, sistema radioeléctrico terrestre con concentración de enlaces) , sistemas UMTS y sistemas HSPA (High Speed Packet Access, acceso a paquetes de alta velocidad) , por ejemplo en tecnología WCDMA (Wideband Code Division Multiple Access, acceso múltiple por división de código de banda ancha) . La presente invención es aplicable a cualquier terminal, servidor, componente correspondiente y/o a cualquier sistema de comunicaciones o cualquier combinación de diferentes sistemas de comunicaciones.

Los protocolos utilizados, las especificaciones de sistemas de comunicaciones, los servidores y los terminales de usuario, especialmente en comunicaciones inalámbricas, se desarrollan rápidamente. Dicho desarrollo puede requerir cambios extra en una realización. Por lo tanto, todas las palabras y expresiones utilizadas deberán interpretarse en sentido amplio y están previstas para ilustrar, no para limitar, la invención.

La figura 1 muestra una arquitectura de autenticación y servicio, según la invención y sus realizaciones. El elemento, un aparato 1-2, puede ser un terminal de usuario que es una pieza de un equipo o un dispositivo que asocia, o está dispuesto para asociar,... [Seguir leyendo]

1. Un método de provisión de autenticación de acceso para un usuario que utiliza un equipo de usuario (1-2) que comunica (1) en una primera red de comunicaciones (1-30) que admite un primer tipo de identificación, a una segunda red de comunicaciones (1-16, 1-20) que admite un segundo tipo de identificación, comprendiendo el método:

autenticar el equipo de usuario (1-2) en la primera red de comunicaciones (1-30) mediante el primer tipo de identificación;

crear, mediante una función de servidor de arranque en la primera red de comunicaciones, para el equipo de usuario autenticado en la primera red de comunicaciones, un identificador B-TID en la primera red de comunicaciones (130) , estando previsto el identificador B-TID para ser utilizado en el segundo tipo de identificación en respuesta a la autenticación del equipo de usuario (1-2) en la primera red de comunicaciones (1-30) ;

enviar el identificador B-TID creado al equipo de usuario sobre la primera red de comunicaciones;

recibir (5) en la primera red de comunicaciones, el identificador B-TID creado enviado desde el equipo de usuario a un elemento de control de acceso para la segunda red de comunicaciones, caracterizado porque el identificador B-TID comprende una primera parte y una segunda parte;

recuperar (7) , utilizando la primera parte, una segunda parte correspondiente a partir de una base de datos de la primera red de comunicaciones (1-30) mediante la función de servidor de arranque;

comparar la segunda parte recibida con la correspondiente segunda parte recuperada, y son iguales, proporcionar al equipo de usuario (1-2) autenticación de acceso para la segunda red de comunicaciones (1-16, 1-20) .

2. Un método acorde con la reivindicación 1, caracterizado por, antes de recibir (5) el identificador B-TID, autenticar el equipo de usuario (1-2) y la segunda red de comunicaciones (1-16, 1-20) .

3. Un método acorde con la reivindicación 1 ó 2, caracterizado por proporcionar un secreto compartido como la primera parte del identificador B-TID, sirviendo dicho secreto compartido como una contraseña conocida por el equipo de usuario (1-2) y por la base de datos (1-6) .

4. Un método acorde con cualquiera de las reivindicaciones 1 a 3, caracterizado por utilizar la segunda parte del identificador B-TID para designar e indexar la primera parte del identificador B-TID.

5. Un método acorde con cualquiera de las reivindicaciones 1 a 4, caracterizado porque el valor de la primera parte y/o la segunda parte del identificador B-TID es local o globalmente único.

6. Un método acorde con cualquiera de las reivindicaciones 1 a 5, caracterizado porque el valor del identificador B-TID comprende un numero aleatorio codificado y un nombre de servidor de dominio de la función que lleva a cabo la autenticación.

7. Un método acorde con cualquiera de las reivindicaciones 1 a 6, caracterizado porque la segunda parte del identificador B-TID es un identificador NAI.

8. Un método acorde con cualquiera de las reivindicaciones 1 a 7, caracterizado por la autenticación del equipo de usuario (1-2) para la segunda red de comunicaciones (1-16, 1-20) de acuerdo con un nombre de usuario y una contraseña, en el que el identificador B-TID es un nombre de usuario y la contraseña puede obtenerse a partir del secreto compartido.

9. Un método acorde con cualquiera de las reivindicaciones 1 a 8, caracterizado porque la autenticación de acceso para la segunda red de comunicaciones (116, 1-20) es una autenticación basada en internet o una autenticación heredada.

10. Un método acorde con cualquiera de las reivindicaciones 1 a 9, caracterizado por recibir (5) el identificador B-TID que comprende la primera parte y la segunda parte como un mensaje AAA (autenticación, autorización y contabilización) , mensaje AAA que es el mismo mensaje que el de la autenticación del equipo de usuario (1-2) para la primera red de comunicaciones (1-30) .

11. Un servidor intermediario (1-12) de provisión de autenticación de acceso para un usuario que utiliza un equipo de usuario (1-2) que comunica (1) en una primera red de comunicaciones (1-30) que admite un primer tipo de

identificación, a una segunda red de comunicaciones (1-16, 1-20) que admite un segundo tipo de identificación, que comprende:

medios para recibir (5) desde otro servidor intermediario un identificador B-TID enviado por el equipo de usuario mediante un elemento de control de acceso, caracterizado porque el identificador B-TID comprende una primera parte y una segunda parte, y está previsto para ser utilizado en el segundo tipo de identificación;

medios para enviar (7) una pregunta que comprende la primera parte, a un servidor de autenticación, autorización y contabilización que comprende una función de servidor de arranque y que se utiliza en la autenticación del equipo de usuario en la primera red de comunicaciones;

medios para recibir, como una respuesta a la pregunta, una segunda parte correspondiente;

medios para comparar la segunda parte recibida con la segunda parte correspondiente recibida, y si son iguales, medios para proporcionar mediante el otro servidor intermediario y el elemento de control de acceso, al equipo de usuario (1-2) , la autenticación de acceso para la segunda red de comunicaciones (1-16, 1-20) .

12. Un elemento de servidor (1-4) de provisión de autenticación de acceso para un usuario que utiliza un equipo de usuario (1-2) que comunica (1) en una primera red de comunicaciones (1-30) que admite un primer tipo de identificación, a una segunda red de comunicaciones (1-16, 1-20) que admite un segundo tipo de identificación, comprendiendo el elemento de servidor:

una función de servidor de arranque (BSF) ; y

medios para autenticar (BSF) el equipo de usuario (1-2) en la primera red de comunicaciones (1-30) mediante el primer tipo de identificación;

comprendiendo además el elemento de servidor medios para crear, en respuesta a la autenticación del equipo de usuario (1-2) en la primera red de comunicaciones, un identificador B-TID para el equipo de usuario, estando previsto el identificador para su utilización en el segundo tipo de identificación, dichos medios para crear estando configurados para utilizar la función de servidor de arranque a efectos de crear el identificador B-TID;

medios para transmitir (5) el identificador B-TID creado al equipo de usuario caracterizado por:

que el identificador B-TID comprende una primera parte y una segunda parte;

medios para recibir (6) , desde un servidor intermediario de autenticación, autorización y contabilización una pregunta que comprende la primera parte;

medios para recuperar (7) , utilizando la primera parte, una correspondiente segunda parte a partir de una base de datos (BSF) de la primera red de comunicaciones (1-30) ;

medios para comunicar la segunda parte recuperada al servidor intermediario de autenticación, autorización y contabilización.

13. Un sistema para proporcionar autenticación de acceso para un usuario que utiliza un equipo de usuario (1-2) que comunica (1) en una primera red de comunicaciones (1-30) que admite un primer tipo de identificación, a una segunda red de comunicaciones (1-16, 1-20) que admite un segundo tipo de identificación comprendiendo el sistema la primera red de comunicaciones y la segunda red de comunicaciones, en el que la primera red de comunicaciones (1-30) comprende un servidor de autenticación, autorización y contabilización AAA (1-4) que tiene una función de servidor de arranque BSF para autenticar el equipo de usuario (1-2) en la primera red de comunicaciones (1-30) mediante el primer tipo de identificación, y una base de datos de servidor de abonados propio HSS (1-6) que comprende información asociada con el equipo de usuario, y un servidor intermediario de itinerancia AAA propio, estando configurado el servidor AAA (1-4) para estar en comunicación con la base de datos del servidor de abonados propio y el servidor intermediario de itinerancia AAA propio,

la segunda red de comunicaciones comprende por lo menos un elemento de control de acceso y un servidor intermediario de itinerancia AAA visitado, el servidor intermediario de itinerancia AAA visitado está configurado para estar en comunicación con el elemento de control de acceso y el servidor intermediario de itinerancia AAA propio;

la función de servidor de arranque en el servidor AAA está configurada para crear un identificador B-TID para el

segundo tipo de identificación, en respuesta al autenticación del equipo de usuario (1-2) en la primera red de comunicaciones (1-30) y para enviar el identificador B-TID creado al equipo de usuario sobre la primera red de comunicación;

caracterizado porque el equipo de usuario está configurado para recibir el identificador B-TID creado procedente de la primera red de comunicaciones y para enviar el identificador B-TID creado, que comprende una primera parte y una segunda parte, al elemento de control de acceso en la segunda red de comunicaciones;

el elemento de control de acceso está configurado para transferir el identificador B-TID creado al servidor intermediario AAA de itinerancia visitado;

el servidor intermediario AAA de itinerancia visitado está configurado para transferir el identificador B-TID creado al 15 servidor intermediario AAA de itinerancia propio;

el servidor intermediario AAA de itinerancia propio está configurado para recibir el identificador B-TID creado, solicitar una correspondiente segunda parte mediante enviar la primera parte en una pregunta al servidor AAA, recibir la correspondiente segunda parte desde el servidor AAA y comparar la segunda parte recibida con la segunda parte correspondiente, y si son iguales proporcionar al equipo de usuario (1-2) autenticación de acceso a la segunda red de comunicaciones (1-16, 1-20) mediante el servidor intermediario AAA de itinerancia visitado y el elemento de control de acceso; y

el servidor AAA está configurado para recibir la pregunta, recuperar, por medio de la función de arranque, utilizando la primera parte, la segunda parte correspondiente a partir de la base de datos del servidor de abonados propio, y transmitir la correspondiente segunda parte al servidor intermediario AAA de itinerancia propio.

14. Un programa informático, caracterizado porque comprende medios de código informático adaptados para realizar cualquiera de las etapas de cualquiera de las reivindicaciones 1 a 10, cuando el programa se ejecuta en un ordenador o en un procesador.