CONEXIÓN RÁPIDA A RED.

La presente invención se refiere a un mecanismo de conexión rápida a red para una red inalámbrica móvil. Antecedentes de la invención En el contexto de una red inalámbrica de comunicaciones móviles, el término "conexión" se refiere al procedimiento mediante el cual un dispositivo de usuario se conecta a una red inalámbrica doméstica (tal como un punto de acceso LAN inalámbrico) y es capaz de usar al menos algunos de los servicios ofrecidos por esa red. En la práctica, este procedimiento implica múltiples capas de protocolos relacionadas, por ejemplo, con la identificación de las frecuencias de radio correctas, negociación de capa de radio para permitir las comunicaciones con el punto de acceso, procedimientos de autorización y autenticación de acceso a red, iniciación de protección de seguridad de la capa de enlace, búsqueda de enrutadores y direcciones en la capa IP, y restablecimiento de los mecanismos de movilidad a una nueva dirección IP. Desafortunadamente, estas tareas requieren tiempo para completarse, y la interacción y los efectos generales de las tareas individuales no se comprenden bien, porque la mayoría del trabajo sobre temas de acceso inalámbrico se ha centrado sólo en un aspecto particular. Un área con probabilidades de sufrir particularmente un fallo debido a temas de interrelación de múltiples protocolos es el de la movilidad entre diferentes tipos de redes. Por ejemplo, los investigadores en esta área han tendido a ignorar los efectos de tener que tener un control de acceso en el enlace (necesario debido a requerimientos legales y/o de negocios). Los usuarios reales están sólo empezando a aprovechar la movilidad entre diferentes tipos de redes y, por lo tanto, los problemas asociados no han sido vistos o apreciados completamente. IP móvil es un conjunto de protocolos que permiten la itinerancia de los abonados entre redes de acceso, mientras que al mismo tiempo aseguran que los abonados son accesibles por nodos correspondientes que no conocen las ubicaciones actuales de los abonados. La Figura 1 ilustra esquemáticamente una arquitectura de red para la implementación de IP móvil. Un abonado 1 está conectado a un enrutador 2 de acceso de una red 3 de acceso. Es fundamental para IP móvil la provisión de un agente 4 doméstico en una red 5 doméstica del abonado, el cual conoce la ubicación actual del abonado 1 (la ubicación actual se define por una dirección IP conocida como "dirección dinámica") y es capaz de enrutar los mensajes dirigidos a la dirección IP fija del abonado a la ubicación actual. Se usan mensajes de actualización de unión para permitir que el abonado 1 actualice su dirección dinámica en el agente 4 doméstico, por ejemplo, en el caso en el que el abonado realiza una itinerancia a una nueva red de acceso. Cuando un abonado cambia su dirección dinámica, un procedimiento de optimización de ruta puede ser invocado para garantizar que los paquetes enviados posteriormente desde los servidores 6 correspondientes conectados a las redes 7 de acceso respectivas son enrutados al abonado a través de la ruta óptima. Un servidor 8 de autenticación, autorización y contabilidad (AAA), situado en la red 5 doméstica, se comunica con el agente 4 doméstico. En el caso del protocolo de Internet, versión 6 (IPv6), el procedimiento de conexión a red en un enlace inalámbrico típico es el siguiente: Conexión de capa de enlace, tal como la detección y la conexión a un punto de acceso de una red de área local inalámbrica (LAN) específica. Procedimientos de control de acceso. Para ello, se usan mecanismos tales como 802.1 X y EAP. Típicamente, esto implica tres mensajes de control EAP (solicitud de identidad, respuesta y éxito, encapsulados en el mensaje EAPOL-éxito), y un procedimiento de autenticación específico. Los procedimientos de autenticación sencillos se completan en dos mensajes, pero muchos procedimientos requieren más. Búsqueda de enrutador. Este es el procedimiento de búsqueda del enrutador por defecto para el nodo y la determinación de los prefijos de enrutamiento para este enlace. En el caso más simple, esto requiere dos mensajes, con un período de espera entre los mismos. Detección de direcciones duplicadas (Duplicate Address Detection, DAD). Esto se usa para garantizar que la dirección que el nodo móvil selecciona para su uso en este enlace es única. Típicamente, esto implica un mensaje y un período de espera. Procedimientos de gestión de movilidad. Estos incluyen una mensajería con un agente doméstico y, posiblemente, con los nodos correspondientes y un enrutador previo. La mensajería consiste, típicamente, en dos mensajes intercambiados entre el terminal de usuario y el agente doméstico, cinco mensajes (parcialmente simultáneos) con cada nodo correspondiente y un mensaje con el enrutador previo. El protocolo de Internet, versión 4 (Ipv4), se comporta, en gran medida, de la misma manera que el IPv6. Sin embargo, la búsqueda de enrutador, la búsqueda de vecindad y la autoconfiguración de direcciones son 2   reemplazadas por el protocolo de control de servidor dinámico (Dynamic Host Control Protocol, DHCP), y no hay soporte para DAD. DHCP requiere, típicamente, cuatro mensajes. IPv4 móvil no tiene optimización de ruta y, por lo tanto, implica sólo dos mensajes adicionales relacionados con la movilidad. En IPv4 no hay soporte para un traspaso suave desde un enrutador de acceso antiguo a uno nuevo. En resumen, con Ipv6, hay al menos 16 mensajes en el caso completo, suponiendo que hay sólo un nodo correspondiente, y dos períodos de espera distintos (aunque cuatro de los mensajes pueden ser enviados en paralelo). En el caso de IPv4, el número de mensajes es algo menor debido a la menor funcionalidad de IPv4 y al papel central de DHCP. Sin embargo, todavía se necesitan al menos 11 mensajes. Se está trabajando para tratar de optimizar algunos de los procedimientos de señalización expuestos anteriormente. En particular: La denominada DAD optimizada" intenta evitar los retrasos asociados con DAD, y puede permitir también el uso de la dirección provisional antes de que DAD se haya completado. El beneficio potencial de este enfoque es la eliminación de un período de espera, y un posible paralelismo adicional en la secuencia de mensajes. Otro enfoque propuesto usa el enrutador de acceso para ayudar en el procedimiento DAD. Detección optimizada de movimiento intenta hacer que se detecte más rápidamente cuándo se ha producido un movimiento (de un terminal de usuario), y para identificar los parámetros de red en la nueva red. Esto implica nuevos algoritmos para la reducción de los periodos de espera asociados con la publicidad del enrutador IPv6, pero no reduce la cantidad total de mensajes. IP móvil jerárquica (HMIP) intenta localizar movimientos, de manera que el número de actualizaciones de ubicación enviadas al agente doméstico y a los nodos correspondientes pueda ser minimizado. Estos enfoques de optimización se refieren principalmente a la eliminación de tiempos de espera innecesarios. No parecen tener un impacto significativo en la cantidad de señalización necesaria, con la excepción de HMIP. Sin embargo, HMIP no reduce la cantidad de señalización básica de acceso a la red, sólo acorta el camino que debe tomar esta señalización. El documento WO01/76134 describe un procedimiento de autenticación y acuerdo de clave para permitir a un nodo móvil y a una red de datos por paquetes generar un clave de sesión secreta, compartida. Resumen de la invención Un objeto de la presente invención es reducir el número de mensajes necesarios para facilitar un acceso a red de un nodo móvil. Esto se consigue delegando, de manera segura, determinadas tareas, realizadas actualmente por el nodo móvil, a un enrutador de acceso de la red de acceso. Un objeto de la invención es proporcionar un esquema conocido como esquema de seguridad basado en delegación, en lugar de enviar mensajes extremo a extremo entre el nodo móvil y cualquier entidad de red troncal con la que tiene que hablar, envía certificados desde el nodo móvil a un enrutador de acceso, que delega algunas de las tareas al enrutador de acceso, que de otra manera tendrían que ser realizadas por el nodo móvil. Según un primer aspecto de la presente invención, se proporciona un procedimiento para facilitar un acceso de protocolo de Internet por un nodo móvil a una red de acceso, comprendiendo el procedimiento: enviar una solicitud de conexión desde el nodo móvil a un enrutador de acceso de la red de acceso, conteniendo la solicitud un identificador de nodo móvil y un identificador de interfaz o medios para derivar un identificador de interfaz, y estando firmada por el nodo móvil usando una calve privada de un par de claves privada-pública, para permitir que el mensaje sea autenticado como procedente de un nodo... [Seguir leyendo]

1. Procedimiento para facilitar un acceso de protocolo de Internet por parte de un nodo móvil a una red de acceso, comprendiendo el procedimiento: enviar una solicitud de conexión desde el nodo móvil a un enrutador de acceso de la red de acceso, conteniendo la solicitud un identificador de nodo móvil y un identificador de interfaz o medios para derivar un identificador de interfaz, y estando firmada por el nodo móvil usando una clave privada de un par de claves privada-pública, para permitir que el mensaje sea autenticado como procedente de ese nodo móvil, y recibir la solicitud en el enrutador de acceso y autenticar el mensaje en el mismo, usando la firma y la clave pública de dicho par de claves privada-pública, en respuesta a la recepción y autenticación del mensaje, realizar un conjunto predefinido de tareas delegadas al enrutador de acceso y que son necesarias para autorizar al nodo móvil y facilitar, de esta manera, dicho acceso, y devolver un acuse de recibo desde el enrutador de acceso al nodo móvil, confirmando el permiso de acceso, conteniendo el acuse de recibo un prefijo de enrutamiento de red y medios para autenticar el enrutador de acceso al nodo móvil. 2. Procedimiento según la reivindicación 1, en el que la solicitud de conexión contiene uno o más de los siguientes: el identificador de acceso a red del nodo móvil, la clave pública propia del nodo móvil, una raíz de confianza para cualquier enrutador de acceso que el nodo móvil está dispuesto a aceptar, una dirección del agente doméstico del nodo móvil, las direcciones de los nodos correspondientes con los que el nodo móvil desea establecer una optimización de rutas, un identificador de interfaz, construido mediante generación criptográfica de direcciones, la identidad del enrutador de acceso, los parámetros deseados para la conexión de enlace inalámbrico, una cookie, calculada de una manera conocida sólo por el nodo móvil, una firma, firmada con la clave privada del nodo móvil. 3. Procedimiento según la reivindicación 1 ó 2, en el que la recepción de la solicitud de conexión en el enrutador de acceso desencadena uno o más de los procedimientos siguientes en el enrutador de acceso: Conexión en capa de enlace; Un procedimiento de control de acceso; Búsqueda de enrutador; Creación de dirección IP: Detección de direcciones duplicadas 4. Procedimiento según una cualquiera de las reivindicaciones anteriores, en el que dicho conjunto predefinido de tareas comprende: Implementar un procedimiento de acceso, autorización y contabilidad con una infraestructura apropiada en la red doméstica del nodo móvil; Realizar una actualización de unión en nombre del nodo móvil con un agente doméstico del nodo móvil; Realizar una optimización de rutas con uno o más nodos correspondientes del nodo móvil. 5. Procedimiento de funcionamiento de un nodo móvil para facilitar un acceso de protocolo de Internet por parte del nodo móvil a una red de acceso, comprendiendo el procedimiento enviar una solicitud de conexión desde el nodo móvil a un enrutador de acceso de la red de acceso, conteniendo la solicitud un identificador de nodo móvil y un identificador de interfaz o medios para derivar un identificador de interfaz, y estando firmada por el nodo móvil usando una clave privada de un par de claves privada-pública, para permitir que el mensaje sea autenticado como procedente de ese nodo móvil, conteniendo el mensaje una autorización para que el enrutador de acceso realice un 9   conjunto predefinido de tareas delegadas al enrutador de acceso y que se requieren para autorizar el nodo móvil y facilitar, de esta manera, dicho acceso 6. Procedimiento de funcionamiento de un enrutador de acceso dispuesto para facilitar un acceso de protocolo de Internet por parte de un nodo móvil a una red de acceso, comprendiendo el procedimiento: recibir una solicitud de acceso en el enrutador de acceso y autenticar el mensaje en el mismo, usando la firma y una clave pública de un par de claves privada-pública, y en respuesta a la recepción y autenticación del mensaje, las etapa de realizar un conjunto predefinido de tareas delegadas al enrutador de acceso y que se requieren para autorizar el nodo móvil y facilitar, de esta manera, dicho acceso, y devolver un acuse de recibo desde el enrutador de acceso al nodo móvil confirmando el permiso de acceso, conteniendo el acuse de recibo un prefijo de red (enrutamiento) y medios para autenticar el enrutador de acceso al nodo móvil. 7. Procedimiento según la reivindicación 1, en el que una de dichas tareas comprende realizar un procedimiento de acceso, autorización y contabilidad con una infraestructura apropiada en una red doméstica del nodo móvil. 8. Enrutador de acceso dispuesto para facilitar un acceso de protocolo de Internet por parte de un nodo móvil a una red de acceso, comprendiendo el enrutador de acceso: medios para recibir una solicitud de conexión en el enrutador de acceso y autenticar la solicitud en el mismo, usando la firma y una clave pública de un par de claves privada-pública, estos medios son dispuestos adicionalmente, en respuesta a la recepción y autenticación de la solicitud, para realizar un conjunto predefinido de tareas delegadas al enrutador de acceso y que se requieren para autorizar el nodo móvil y facilitar, de esta manera, dicho acceso, y medios para devolver un acuse de recibo desde el enrutador de acceso al nodo móvil confirmando el permiso de acceso, conteniendo el acuse de recibo un prefijo de red (enrutamiento) y medios para autenticar el enrutador de acceso al nodo móvil. 9. Enrutador de acceso según la reivindicación 8, dispuesto para gestionar una solicitud de conexión que contiene uno o más de los siguientes: identificador de acceso a red del nodo móvil, clave pública propia del nodo móvil, una raíz de confianza para cualquier enrutador de acceso que el nodo móvil está dispuesto a aceptar, una dirección del agente doméstico del nodo móvil, las direcciones de los nodos correspondientes con los que el nodo móvil desea establecer una optimización de rutas, un identificador de interfaz, construido mediante generación criptográfica de direcciones, la identidad del enrutador de acceso, los parámetros deseados para la conexión de enlace inalámbrico, una cookie, calculada en una manera conocida solo por el nodo móvil, una firma, firmada con la clave privada del nodo móvil. 10. Enrutador de acceso según la reivindicación 8 ó 9, que comprende medios para desencadenar uno o más de los procedimientos siguientes en respuesta a una recepción y autenticación de la solicitud: Conexión en capa de enlace, Un procedimiento de control de acceso, Búsqueda de enrutador, Generación de dirección IP,   Detección de direcciones duplicadas. 11. Enrutador de acceso según una cualquiera de las reivindicaciones 8 a 10, en el que dicho conjunto de tareas predefinidas comprende: Implementar un procedimiento de acceso, autorización y contabilidad con una infraestructura apropiada en la red doméstica del nodo móvil; Realizar una actualización de unión en nombre del nodo móvil con un agente doméstico del nodo móvil; Realizar una optimización de ruta con uno o más nodos correspondientes del nodo móvil. 12. Nodo móvil dispuesto para comunicarse con una red de acceso para facilitar el acceso de protocolo de Internet, comprendiendo el nodo: medios para enviar una solicitud de conexión desde el nodo móvil a un enrutador de acceso de la red de acceso, conteniendo la solicitud un identificador de nodo móvil y un identificador de interfaz o medios para derivar un identificador de interfaz, y estando firmada por el nodo móvil usando una clave privada de un par de claves privadapública, para permitir que el mensaje sea autenticado por el enrutador de acceso como procedente de ese nodo móvil, conteniendo el mensaje una autorización para que el enrutador de acceso realice un conjunto predefinido de tareas delegadas al enrutador de acceso y que se requieren para autorizar el nodo móvil y facilitar, de esta manera, dicho acceso. 11   12   13