Autenticación en un sistema de comunicaciones.

Un procedimiento para un sistema que comprende una red (101) de acceso y un servidor

(121) de autenticación configurado para autenticar un usuario por medio de un primer secreto (K1, K1') compartido, en el que el procedimiento comprende:

supervisar (401, 601) si un nodo (200, 200') de punto de acceso está o no en un modo aislado, en el que el servidor de autenticación no está disponible para propósitos de autenticación, o en un modo normal, en el que el servidor de autenticación está disponible para propósitos de autenticación;

difundir (402, 404, 603, 611) información que indica el modo actual; y

durante el modo aislado, autenticar (504, 605) el usuario en el nodo de punto de acceso o en un nodo que controla el nodo de punto de acceso por medio de un segundo secreto (K2) compartido.

Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E11290148.

Solicitante: Airbus DS SAS.

Inventor/es: GRECH,SANDRO, GRUET,CHRISTOPHE.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/06 (caracterizadas por un protocolo)

PDF original: ES-2488396_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Autenticación en un sistema de comunicaciones Campo

La presente invención se refiere a la autenticación de un aparato en un sistema de comunicaciones.

Antecedentes de la técnica

La siguiente descripción de los antecedentes de la técnica puede incluir ideas, descubrimientos, comprensiones o revelaciones, o asociaciones, junto con descripciones no conocidas en la técnica anterior pertinente a la presente invención, pero proporcionados por la invención. Algunas de dichas contribuciones de la invención pueden ser destacadas específicamente más adelante, mientras que otras de dichas contribuciones de la invención serán evidentes a partir de su contexto.

Una de las características principales de los sistemas de telecomunicaciones, especialmente en los sistemas de telecomunicaciones inalámbricas, es la autenticación de un usuario para prevenir un acceso ilegal. La autenticación es un procedimiento en el cual una parte autentica la otra parte según un procedimiento acordado que se basa, típicamente, en contraseñas y/o claves, y que puede ser transparente para el usuario. En las redes móviles, los mecanismos de acceso de seguridad de red incluyen una autenticación mutua de un usuario o, más específicamente, un módulo de identidad de abonado usado por el usuario con un terminal que proporciona interfaces de red, y una red, y la autenticación se basa, típicamente, en un mecanismo basado en pregunta- respuesta que usa criptografía simétrica. En el mecanismo, una clave secreta es almacenada, de manera permanente, en un módulo de identidad de abonado y en un centro de autenticación del entorno doméstico del abonado (red doméstica), en el que la clave raíz permanente es una clave raíz usada por el módulo de identidad de abonado y el centro de autenticación como una entrada en diferentes algoritmos, tal como el cálculo de una respuesta de autenticación, una clave de encriptación, una clave de integridad y/o una clave de anonimato, por ejemplo, en la fase de autenticación. La clave raíz permanente nunca es transmitida pero el centro de autenticación puede calcular un cierto número de vectores de autenticación con los que puede realizarse la autenticación en una red que proporciona servicio al dispositivo del usuario (y, por lo tanto, al usuario), sin la Implicación del centro de autenticación tantas veces como vectores de autenticación existentes.

Puede ocurrir que la autenticación sea imposible debido a que la conexión con el centro de autenticación se ha perdido debido a un fallo en la red, y no hay vectores de autentificación disponibles en la red de servicio. En esta situación, el único servicio disponible es una llamada a un centro de emergencia. Sin embargo, hay situaciones en las que sería útil disponer de un servicio un poco más amplio, por ejemplo, una llamada entre dos o más equipos de usuario en la misma red de acceso de radio.

El documento WO 2008/031926 se refiere a una radio móvil profesional denominada Terrestrial Trunked Radio (TETRA), en la que las estaciones móviles pueden comunicarse en un modo directo, es decir, directamente entre sí, o usando la infraestructura truncada denominada infraestructura de conmutación y de gestión (Switching and Management Infrastructure, SwMI). El documento WO 2008/031926 describe una estación móvil que tiene, además de un equipo móvil real, al menos dos módulos de identidad de abonado separados. Un módulo de abonado desconectable y el equipo móvil real pueden autenticarse entre sí por medio de una clave de sistema fuera de servicio almacenada en los módulos de abonado y en el equipo móvil real para propósitos de autenticación entre el módulo de abonado y el equipo móvil real cuando se va a usar un modo directo (un modo en el que la infraestructura truncada no está implicada en la comunicación), o la infraestructura truncada de servicio no está disponible. Si la autenticación con la clave de sistema fuera de servicio tiene éxito, una estación móvil que comprende el módulo de abonado y el equipo móvil real puede formar una conexión directa a otra estación móvil. Sin embargo, esa solución permite sólo llamadas entre estaciones móviles que están suficientemente cerca entre sí de manera que puedan comunicarse directamente entre sí sin el uso de recursos de la red.

El documento WO 2009/045895 describe un procedimiento para autenticar un dispositivo cliente a una red, de manera que la red selecciona un protocolo de autenticación compatible con el dispositivo cliente.

Sumario

De esta manera, un objeto de la presente invención es proporcionar un procedimiento y un aparato para implementar el procedimiento para proporcionar un conjunto restringido de servicios de red si la red no está disponible para la autenticación convencional. El objeto de la invención se consigue mediante procedimientos, un aparato, un producto de programa de ordenador y un sistema que se caracterizan por las afirmaciones en las reivindicaciones independientes. Las realizaciones preferidas de la invención se describen en las reivindicaciones dependientes.

Un aspecto de la invención proporciona, además de un secreto compartido permanente, que sólo está disponible para el módulo de identidad de abonado de un usuario y un centro de autenticación en el entorno doméstico del usuario, un secreto compartido adicional disponible en la red de acceso y en el módulo de identidad de abonado para la autenticación del usuario para el uso restringido de la red de acceso, cuando la autenticación basada en el secreto compartido permanente, es decir, la autenticación convencional, no está disponible.

Una ventaja de la invención es que proporciona un mecanismo para un acceso restringido a una red de acceso para los usuarios con derecho sin poner en riesgo (comprometer) el secreto compartido permanente.

Breve descripción de los dibujos

A continuación, las realizaciones se describirán en mayor detalle con referencia a los dibujos adjuntos, en los cuales

La Figura 1 muestra una arquitectura simplificada de un sistema según una realización;

Las Figuras 2 y 3 son diagramas de bloques de un aparato según las realizaciones;

Las Figuras 4 a 9 son diagramas de flujo que ilustran diferentes realizaciones; y La Figura 10 es un diagrama de señalización según una realización.

Descripción detallada de algunas realizaciones

Las siguientes realizaciones son ejemplares. Aunque la especificación puede hacer referencia a "un", "una" o "alguna" realización o realizaciones en diversas ubicaciones, esto no significa necesariamente que cada una de dichas referencias corresponda a la misma realización o realizaciones, o que la característica sólo se aplique a una única realización. Las características individuales de las diferentes realizaciones pueden ser combinadas también para proporcionar otras realizaciones.

La presente invención es aplicable a cualquier equipo de usuario, nodo de punto de acceso, componente correspondiente y/o a cualquier sistema de comunicaciones o cualquier combinación de diferentes sistemas de comunicaciones que soportan la autenticación de usuario por medio de un secreto compartido. El sistema de comunicación puede ser un sistema de comunicación fijo o un sistema de comunicación inalámbrico o un sistema de comunicación que utiliza tanto redes fijas como redes inalámbricas. Los protocolos usados, las especificaciones de los sistemas de comunicación, los nodos de punto de acceso y los equipos de usuario, especialmente en la comunicación inalámbrica, se desarrollan rápidamente. Dicho desarrollo puede requerir cambios adicionales para una realización. Por lo tanto, todas las palabras y expresiones deberían ser interpretadas en un sentido amplio y pretenden ilustrar, no restringir,... [Seguir leyendo]

 


Reivindicaciones:

1. Un procedimiento para un sistema que comprende una red (101) de acceso y un servidor (121) de autenticación configurado para autenticar un usuario por medio de un primer secreto (K1, K1 ) compartido, en el que el procedimiento comprende:

supervisar (401, 601) si un nodo (200, 200) de punto de acceso está o no en un modo aislado, en el que el servidor de autenticación no está disponible para propósitos de autenticación, o en un modo normal, en el que el servidor de autenticación está disponible para propósitos de autenticación;

difundir (402, 404, 603, 611) información que indica el modo actual; y

durante el modo aislado, autenticar (504, 605) el usuario en el nodo de punto de acceso o en un nodo que controla el nodo de punto de acceso por medio de un segundo secreto (K2) compartido.

2. Procedimiento según se reivindica en la reivindicación 1, en el que el procedimiento comprende además proporcionar (507, 607) al usuario, durante el modo aislado, un acceso de red restringido si la autenticación por medio del segundo secreto (K2) compartido tiene éxito.

3. Procedimiento según se reivindica en la reivindicación 1 o 2, que comprende además:

mantener, durante el modo aislado, información acerca de cada usuario autenticado por medio del segundo secreto;

detectar (405) que el servidor de autenticación está disponible de nuevo para los propósitos de autenticación;

transmitir (408) la información acerca de los usuarios autenticados al servidor de autenticación para su reautenticación.

4. Un procedimiento para un equipo (300, 300) de usuario configurado para autenticar un usuario del equipo de usuario a una red por medio de un primer secreto (K1, K1) compartido, en el que el procedimiento comprende;

recibir (701) en una difusión una indicación acerca de si la red está en un modo aislado, en el que el servidor (121) de autenticación no está disponible para propósitos de autenticación, o en un modo normal, en el que el servidor de autenticación está disponible para la autenticación por medio del primer secreto (K1) compartido;

recibir (801, 901) una solicitud de autenticación;

si la última difusión indicaba el modo normal, realizar (803, 904-905) la autenticación por medio del primer secreto (K1) compartido; y

si la última difusión indicaba el modo aislado, realizar (806, 903-905) la autenticación por medio de un segundo secreto (K2) compartido.

5. Procedimiento según se reivindica en la reivindicación 4, en el que, si la última difusión indicaba el modo aislado, el procedimiento comprende además:

preguntar (706) al usuario acerca de un acceso de red restringido; y

realizar (806) la autenticación en respuesta a la recepción desde el usuario de una indicación de que el usuario acepta el acceso de red restringido.

6. Procedimiento según se reivindica en la reivindicación 4 o 5, que comprende además:

recibir (701) una difusión que indica el modo normal después de una o más difusiones que indican el modo aislado;

comprobar (707) si en la actualidad existe o no una conexión de modo aislado con un acceso de red restringido; y

enviar (708) una solicitud que desencadena una autenticación de red, si en la actualidad existe una conexión en modo aislado.

7. Procedimiento según se reivindica en la reivindicación 6, en el que si en la actualidad existe una conexión en modo aislado, el procedimiento comprende además:

preguntar al usuario acerca de la posibilidad de obtener un acceso completo a la red; y

enviar la solicitud que desencadena la autenticación de red en respuesta a la recepción desde el usuario de una indicación de que el usuario desea el acceso completo a la red.

8. Procedimiento según se reivindica en cualquiera de las reivindicaciones anteriores, en el que el primer secreto (K1) compartido es una clave raíz permanente que nunca es transmitida, y el segundo secreto (K2) compartido es una clave raíz que puede ser usada en lugar de la clave raíz permanente en los algoritmos de autenticación y que puede ser transmitida a través de una conexión segura.

9. Un aparato que comprende medios para realizar un procedimiento según se reivindica en una cualquiera de las reivindicaciones 1 a 3 y la reivindicación 8, siempre que dependa de cualquiera de las reivindicaciones 1-3.

10. Aparato que comprende medios para realizar un procedimiento según se reivindica en una cualquiera de las reivindicaciones 4-7 y la reivindicación 8, siempre que dependa de cualquiera de las reivindicaciones 4-7.

11. Un sistema de comunicación que comprende:

un centro (131) de autenticación que comprende medios para almacenar, de manera segura, primeros secretos (K1, K1 ) compartidos específicos de suscripción para la autenticación de los usuarios correspondientes;

un servidor (121) de autenticación configurado para autenticar un usuario por medio de un primer secreto (K1, K1 ) compartido correspondiente;

una red (101) de acceso configurada para mantener u obtener, de manera segura, un segundo secreto (K2) compartido para la autenticación, para detectar un modo aislado, en el que el servidor de autenticación no está disponible para propósitos de autenticación; en respuesta al modo aislado, autenticar a un usuario por medio del segundo secreto compartido para proporcionar al usuario un acceso restringido; y para difundir información acerca de si la red de acceso está o no en el modo aislado; y

el equipo (300, 300) de usuario comprende medios (33) para almacenar, de manera segura, un primer secreto (k1, K1 ) compartido para la autenticación del usuario del equipo de usuario, medios (33) para mantener u obtener, de manera segura, un segundo secreto (K2) compartido para la autenticación, medios (34) para recibir información acerca de un modo actual de la red de acceso en difusión, medios (34) para recibir una solicitud de autenticación, medios (31) para seleccionar un secreto a ser usado en una autenticación basada en el modo actual de la red de acceso, en el que los medios (31) de selección están configurados para seleccionar el segundo secreto compartido si el modo actual es el modo aislado, de lo contrario para seleccionar el primer secreto compartido, y medios (32) para realizar la autenticación usando la clave seleccionada.

12. Sistema de comunicación según se reivindica en la reivindicación 11, en el que la red (101) de acceso comprende un nodo (200, 200) de punto de acceso configurado al menos para realizar dicha detección, difusión y autenticación.

13. Sistema de comunicación según se reivindica en la reivindicación 12, en el que

el sistema de comunicación comprende además una segunda red de acceso, en el que la segunda red de acceso es de un tipo diferente que la red de acceso, y

el sistema de comunicación está configurado para establecer un canal secundario seguro entre el equipo de usuario y el nodo de punto de acceso por medio de la segunda red de acceso y para entregar el segundo secreto compartido a través del canal secundario seguro.

14. Sistema de comunicación según se reivindica en la reivindicación 12 o 13, en el que el nodo (200, 200) de punto de acceso es una estación base multiestándar, un nodo B o un nodo B evolucionado.

15. Sistema de comunicación según se reivindica en la reivindicación 11, 12, 13 o 14, en el que el sistema de comunicación está configurado para proporcionar al equipo (300, 3004) de usuario sólo servicios proporcionados por medio de la red (101) de acceso si la autenticación se realiza usando el segundo secreto (K2) compartido.