Un servidor para gestionar la autentificación de los clientes que son abonados de un dominio doméstico dentro del cual está situado el servidor,

caracterizado porque el servidor comprende medios (6, 7) para determinar si un cliente que está unido a un dominio visitado va a ser autentificado por el dominio doméstico o por dicho dominio visitado, usando para esta decisión un conocimiento del tipo de seguridad de red que se está usando en una red de acceso del dominio visitado, y para señalar el resultado a dicho dominio visitado, en el que, en el caso de que el cliente va a ser autentificado por el dominio doméstico, dicho resultado es un resultado de autentificación de la red doméstica y, en el caso de que el cliente va a ser autentificado por el dominio visitado, dicho resultado incluye datos de autentificación del dominio doméstico para uso por el dominio visitado para autentificar al cliente

Campo Técnico

La presente invención se refiere a un método y a un aparato para determinar un procedimiento de autentificación que se va a aplicar a un cliente que accede o que intenta acceder a servicios de acceso vía un dominio visitado mientras tiene un acuerdo de servicio con un dominio doméstico.

Antecedentes

En el caso de redes telefónicas celulares, un modelo operativo convencional ha evolucionado a lo largo de los años para posibilitar que los usuarios itineren fuera del dominio doméstico al cual suscriben, en los denominados dominios visitados. Este modelo permite que los usuarios itineren en dominios visitados (por ejemplo, extranjeros) mientras que asegura que los operadores del dominio visitado pueden recuperar los costes incurridos desde el dominio doméstico. Al mismo tiempo, el operador del dominio doméstico puede confiar en los operadores del dominio visitado para recargar solamente los costes en los que han incurrido realmente. Un componente clave de este modelo es un mecanismo para permitir que un dominio visitado autentifique a un usuario como abonado del dominio doméstico. El dominio visitado necesita ayuda del dominio doméstico para ejecutar en la práctica este mecanismo. El enfoque típico es proporcionar dentro del dominio doméstico un “servidor de autentificación” que mantiene las credenciales de autentificación a largo plazo para los usuarios y es la “raíz de la confianza” para el usuario. Hay provisto un “autentificador” dentro del dominio visitado y realiza la autentificación real mediante la comunicación con el servidor de autentificación y el usuario (o “cliente”).

El documento 3GPP TS 33.102 describe una arquitectura de seguridad para redes del Servicio Universal de Telecomunicaciones entre Móviles (UMTS) que es, tanto como sea posible, compatible con las redes preexistentes del GSM. TS 33.102 considera en particular el protocolo de seguridad de Acuerdo de Autentificación y de Clave (AKA, en sus siglas en inglés) que es un mecanismo para realizar la autentificación y la distribución de la clave de la sesión. AKA es un mecanismo basado en reto-respuesta que usa criptografía simétrica. Dentro de un terminal de cliente, AKA funciona típicamente en un Módulo de Identidad de Abonado de UMTS (USIM, en sus siglas en inglés) que reside en un dispositivo similar a una tarjeta inteligente. La tarjeta inteligente posee una K secreta que también se conoce como Centro de Autentificación (AuC) situado dentro del dominio doméstico del usuario. Cuando un usuario intenta registrarse en un dominio visitado, se hace funcionar el mecanismo de AKA entre el terminal de cliente y el dominio visitado, implicando el dominio doméstico como “extremo posterior”. Este procedimiento conlleva que el dominio visitado sea provisto, por la red doméstica, de un vector de autentificación que comprende una pregunta y un resultado esperado. La pregunta es remitida por el dominio visitado al terminal del cliente, que genera una respuesta a la pregunta (dentro del USIM) y devuelve esto al dominio visitado. Si la respuesta a la pregunta coincide con el resultado esperado, el dominio visitado autoriza al terminal del cliente a usar sus servicios de acceso. AKA también permite al terminal del cliente verificar que su dominio doméstico ha estado involucrado, sin duda, en el procedimiento de señalización, que a su vez permite que el terminal autentifique el dominio visitado.

El vector de autentificación de AKA es bueno solamente para un intento de acceso por el cliente. Si el terminal del cliente elimina posteriormente su registro del dominio visitado (por ejemplo, el terminal es apagado), se requiere un nuevo vector de autentificación para cualquier registro posterior. El documento TS 33.102 permite que el dominio doméstico proporcione al dominio visitado un conjunto de vectores de autentificación en el primer registro, posibilitando que el dominio visitado realice múltiples autentificaciones para un terminal del cliente dado sin tener que contactar con el dominio doméstico para cada registro individual.

La autentificación en las redes 2G se maneja usando un enfoque de pregunta y respuesta similar a AKA.

Los enfoques de 2G y de 3G con respecto a la seguridad posibilitan la movilidad (local) y los traspasos puesto que el dominio doméstico no necesita estar implicado en nuevas autenticaciones subsiguientes. Por ejemplo, en el caso de un terminal que transfiere a un acceso de 2G desde un acceso de 3G (donde ambos accesos pertenecen al mismo operador), un usuario puede ser autentificado/autorizado implícitamente en el acceso nuevo por la reutilización de las claves de la sesión previamente utilizadas. Sin embargo, delegar la responsabilidad para la autentificación ante la red visitada puede no ser siempre satisfactorio para el dominio doméstico, ya que el dominio doméstico debe confiar “ciegamente” en que el dominio visitado no está haciendo una reivindicación falsa en cuanto a la presencia del cliente en el dominio visitado, o que el cliente está recibiendo el pago por los servicios, etc. Aunque este modelo de confianza ha funcionado bien para operadores de red establecidos, puede no aplicarse a configuraciones de redes futuras como se va a discutir más abajo.

En el caso de la Internet, el IETF ha creado bajo el encabezamiento de Autentificación, Autorización y Contabilidad (AAA, en sus siglas en inglés), un conjunto de protocolos para conseguir la autentificación de un usuario dentro de un dominio visitado. Los protocolos implementados actualmente incluyen el RADIO y el DIAMETER. Un escenario de Internet típico podría conllevar que un usuario que procure usar un punto caliente de una WLAN (situado por ejemplo en un Internet-café o en un terminal del aeropuerto) como red de acceso, cuando el usuario es un abonado de una red de banda ancha del Proveedor de Servicios de Internet (ISP). En el modelo de IETF, la autentificación es realizada en el dominio doméstico, es decir, el servidor del autentificador y de la autentificación están ambos en el dominio doméstico. Aunque esto puede ser satisfactorio para el dominio doméstico, conduce a un comportamiento por debajo del óptimo debido a la cabecera de señalización y perjudica el traspaso suave/la movilidad dentro del dominio visitado.

Se observa que cuando el dominio de acceso es una red inalámbrica, un terminal inalámbrico puede comunicar con un cliente/autentificador de AAA dentro del dominio de acceso, con el cliente de AAA comunicando con el servidor de AAA del dominio doméstico. La señalización de autentificación de extremo a extremo puede ser transportada usando el Protocolo Extensible de Autentificación (EAP, en sus siglas en inglés) que es una trama de autentificación más que un método real de autentificación. Uno de los papeles del EAP es implementar un método de autentificación entre puntos de extremo. El método de EAP-AKA es un ejemplo de tal método de autentificación. En este enfoque, por lo tanto, los datos de AKA estarán contenidos dentro de mensajes de EAP que están, a su vez, contenidos dentro de los mensajes de DIAMETER (para el cliente de AAA a la pata del servidor de AAA). [UMTS AKA, como se ha descrito más arriba, es un protocolo específico de 3GPP que no utiliza AAA y tramas de EAP y no se debe confundir con EAP-AKA, aunque, por supuesto, el mecanismo real de AKA es común a ambos.]

Esta “arquitectura” de protocolo actual está ilustrada en la figura 1, en la que la red de acceso inalámbrica es una red de 802.11 (WLAN) y el punto de extremo de AKA está en el dominio doméstico. El cliente/autentificador de AAA dentro de la red inalámbrica comprende la señalización del EAP, y convierte el EAP de la señalización de AAA en el EAP sobre la LAN. El cliente/autentificador de AAA es transparente al AKA. Se observa que uno o más servidores próximos de AAA pueden estar presentes entre las redes visitada y doméstica.

Las normas de la comunicación están evolucionando para proporcionar la integración de diferentes dominios de acceso heterogéneos en una sola red lógica. Esto dará como resultado dominios de acceso basados en 3GPP (por ejemplo, GPRS, UMTS, LTE) y dominios de acceso no basados en 3GPP (por ejemplo, Wimax, WLAN, banda ancha por línea fija, etc.) que se unen para formar una red lógica (ver, por ejemplo, 3GPP 3GPP TR 23.882). Un dominio doméstico utilizará probablemente AAA (por ejemplo, DIAMETER) y EAP, y múltiples métodos de EAP (tales como EAP AKA, EAP SIM, EAP TLS, etc.) para comunicarse con los diferentes dominios de acceso y terminales. Es, sin embargo, inevitable... [Seguir leyendo]

1. Un servidor para gestionar la autentificación de los clientes que son abonados de un dominio doméstico dentro del cual está situado el servidor, caracterizado porque el servidor comprende medios (6, 7) para determinar si un cliente que está unido a un dominio visitado va a ser autentificado por el dominio doméstico o por dicho dominio visitado, usando para esta decisión un conocimiento del tipo de seguridad de red que se está usando en una red de acceso del dominio visitado, y para señalar el resultado a dicho dominio visitado, en el que, en el caso de que el cliente va a ser autentificado por el dominio doméstico, dicho resultado es un resultado de autentificación de la red doméstica y, en el caso de que el cliente va a ser autentificado por el dominio visitado, dicho resultado incluye datos de autentificación del dominio doméstico para uso por el dominio visitado para autentificar al cliente.

2. Un servidor según la reivindicación 1 y que comprende una memoria para almacenar datos de autentificación para dichos clientes.

3. Un servidor según la reivindicación 1 o la 2 y que está dispuesto, en caso de que determine que la red visitada va a ser responsable de la autentificación, para generar datos de sesión y enviar esto a dicha red visitada.

4. Un servidor según la reivindicación 3, en el que dichos datos de sesión son un vector de la autentificación.

5. Un servidor según una cualquiera de las reivindicaciones precedentes y que comprende una interfaz (6) para comunicar con los dominios visitados, primeros medios de tratamiento (7) para recibir vía dicha interfaz una petición de registro enviada por un dominio visitado en relación con uno de dichos clientes, y segundos medios de tratamiento (7) para determinar si la petición va a ser autentificada por el dominio doméstico o por el dominio visitado, estando los segundos medios de tratamiento dispuestos, en el caso anterior, para autentificar la petición y señalar el resultado al dominio visitado vía dicha interfaz, y, en el último caso, señalar al dominio visitado vía dicha interfaz que el dominio visitado va a ser responsable de la autentificación de la petición.

6. Un servidor según la reivindicación 5, en el que dichos primeros medios de tratamiento (7) están dispuestos para recibir vía dicha interfaz una petición desde una red visitada para transferir la decisión de autentificación desde un dominio a otro, en el caso de un cliente previamente autentificado, y dichos segundos medios de tratamiento están dispuestos para hacer otra determinación y para notificar a la red visitada, consiguientemente.

7. Un servidor según una cualquiera de las reivindicaciones precedentes y que está dispuesto para determinar que una decisión previa de delegar un procedimiento de autentificación al dominio visitado va a ser revocada, y para señalar esa decisión al dominio visitado.

8. Un servidor según una cualquiera de las reivindicaciones precedentes y que está dispuesto para comunicar con dicho dominio visitado usando un protocolo de AAA.

9. Un servidor según la reivindicación 8, en el que dicho protocolo de AAA es RADIO o DIAMETER.

10. Un servidor según una cualquiera de las reivindicaciones precedentes y que está dispuesto para comunicar con dicho cliente usando el Protocolo de Autentificación Extensible.

11. Un servidor según la reivindicación 10, en el que el método de autentificación es EAP- AKA.

12. Un servidor según una cualquiera de las reivindicaciones 1 a 9 y que está dispuesto para comunicar con dicho cliente usando UMTS AKA.

13. Un método de autentificar a un cliente unido a un dominio visitado, en el que el cliente es un abonado de un dominio doméstico, comprendiendo el método:

enviar una petición de autentificación desde el dominio visitado al dominio doméstico en relación con dicho cliente;

caracterizado por las operaciones de,

en el dominio doméstico, determinar si el cliente va a ser autentificado por el dominio doméstico o por dicho dominio visitado, usando para esta decisión un conocimiento del tipo de seguridad de red que se está usando en una red de acceso del dominio visitado;

en caso de que el cliente vaya a ser autentificado por el dominio doméstico, llevar a cabo dicha autentificación en el dominio doméstico y señalizar el resultado de esta autentificación al dominio visitado; y

en caso de que el cliente vaya a ser autentificado por el dominio visitado, enviar datos de autentificación desde el dominio doméstico al dominio visitado, y usar dichos datos en el dominio visitado para autentificar al cliente.

14. Un método según la reivindicación 13, en el que el dominio doméstico y el dominio visitado se comunican usando un protocolo de AAA, y el dominio doméstico y el cliente se comunican usando el Protocolo de Autentificación Extensible.

15. Un método según la reivindicación 14, en el que el método de EAP-AKA es utilizado para autentificar al 5 cliente.

16. Un método según la reivindicación 13, en el que el método de AKA de UMTS es utilizado para autentificar al cliente.

17. Un método según una cualquiera de las reivindicaciones 13 a 16, en el que dicha operación de determinar si el cliente va a ser autentificado por el dominio doméstico o por el dominio visitado utiliza por lo menos uno de:

10 - identidad del operador visitado,

- tipo de red de acceso,

- identidad de usuario,

- tipo de autentificación del usuario que se está realizando,

- Nombre de Punto de Acceso (APN) seleccionado, 15 - requisito de Calidad del Servicio (QoS),

- reglas de carga,

- tipo de suscripción,

- tipo de terminal,

- localización del usuario 20 - si es, o no, una autentificación inicial.