Método, sistema y aparato para proteger una entidad de función de servicio de inicialización, BSF, a los fines de prevención de ataques.

Un método para proteger una entidad de función de servicio de inicialización

(BSF) contra un posible ataque, caracterizado por cuanto que comprende:

realizar, por una entidad BSF, de una autenticación mutua con un equipo de usuario (UE) utilizando una identidad temporal o una identidad privada de usuario enviada desde el UE;

generar, por la entidad BSF, una primera identidad temporal y una segunda identidad temporal después de que la entidad BSF realice 10 la autenticación mutua con el UE, en donde la primera identidad temporal es diferente de la segunda identidad temporal y en donde las primera y segunda identidades temporales son diferentes de la identidad temporal o de la identidad privada del usuario;

enviar, por la entidad BSF, la primera identidad temporal y la segunda identidad temporal al UE; y

recibir, por la entidad BSF, una demanda de re-autenticación que incluye la primera identidad temporal desde el UE; en donde, el UE envía una demanda de servicio que incluye la segunda identidad temporal a una entidad de función de aplicación de red (NAF).

Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E12192326.

Solicitante: HUAWEI TECHNOLOGIES CO., LTD..

Nacionalidad solicitante: China.

Dirección: B1-3A, Bantian, Longgang District, Shenzhen Guangdong 518129 CHINA.

Inventor/es: YANG,YANMEI.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/06 (caracterizadas por un protocolo)

PDF original: ES-2481046_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Método, sistema y aparato para proteger una entidad de función de servicio de inicialización, BSF, a los fines de prevención de ataques

CAMPO DE LA INVENCIÓN

La presente invención se refiere a la tecnología de seguridad de arquitectura de autenticación genérica (GAA) y en particular, a un método, sistema y aparato para proteger una entidad de función de servicio de inicialización (BSF) contra un ataque y una entidad BSF.

ANTECEDENTES DE LA INVENCIÓN

En el estándar de telecomunicaciones inalámbricas de la tercera generación, la arquitectura GAA es una arquitectura genérica que se utiliza por múltiples entidades de servicio de aplicación para realizar la autenticación de la identidad del usuario. La arquitectura GAA puede utilizarse para comprobar y realizar la autenticación de la identidad de un usuario de un servicio de aplicación. Los anteriores servicios de aplicación múltiples incluyen servicios multidifusión/difusión, servicios de licencias de usuarios, servicios de mensajería instantánea y servicios de agentes.

La Figura 1 ¡lustra la arquitectura GAA en la técnica anterior. Según se ¡lustra en la Figura 1, la arquitectura GAA consiste en un usuario, una entidad BSF que realiza la autenticación inicial de la identidad del usuario, un servidor de abonado residencial (HSS) y una entidad de función de aplicación de red (NAF). En adelante, la entidad BSF se refiere como "BSF" y la entidad NAF se refiere como "NAF". La función BSF y el usuario realizan una autenticación mutua entre sí. Durante la autenticación mutua, la identidad se verifica mutuamente y se genera una clave compartida para BSF y el usuario. El proceso de autenticación mutua se conoce también como un proceso de inicialización o un proceso de GBA. El usuario capaz de poner en práctica el proceso de GBA con la función BSF se conoce como un usuario autorizado de GBA. El servidor HSS memoriza un perfil que describe la información del usuario (perfil de usuario) y proporciona también la función de generar información de autenticación. La función NAF puede representar diferentes entidades de función de aplicación de red. Para poner en práctica un servicio, el usuario debe acceder a la función NAF correspondiente al servicio y entrar en comunicación con NAF. Las interfaces entre las entidades se ilustran en la Figura 1. La función BSF está conectada a NAF por intermedio de una interfaz Zn; el usuario está conectado a la BSF o la NAF por intermedio de un equipo de usuario (UE); el equipo UE está conectado a la BSF por intermedio de una interfaz Ub y conectado a la NAF por intermedio de una interfaz Ua.

Para utilizar un servicio, esto es, para acceder a la NAF correspondiente al servicio, el usuario realiza el proceso de inicialización en la BSF por intermedio del UE si el usuario conoce que el servicio necesita una autenticación mutua en la BSF. De no ser así, el usuario origina primero una demanda de conexión a la NAF correspondiente al servicio. Si la NAF adopta una arquitectura GAA (a saber, soporta la función de GAA) y encuentra que el usuario que origina la demanda de conexión no ha realizado la autenticación mutua en la BSF, la NAF notifica al usuario la realización del proceso de inicialización en la BSF.

Posteriormente, el usuario realiza la autenticación mutua con la BSF poniendo en práctica un proceso de inicialización entre el UE y la BSF. El UE envía una demanda de autenticación a la BSF. La demanda de autenticación incluye la identidad privada del usuario (a modo de ejemplo, identidad privada multimedia IP, aquí referida como "IMPI") o incluye una identidad IMPI derivada de un identificador de abonado móvil internacional (IMSI). Después de recibir la demanda de autenticación desde el usuario, la BSF adquiere la información de autenticación del usuario desde el servidor HSS. El mensaje de demanda de autenticación enviado por la BSF al HSS incluye también un identificador IMPI. En función del IMPI del usuario, el servidor HSS busca la información de autenticación, genera vectores de autenticación y reenvía los vectores a la BSF. La BSF realiza la autenticación mutua y la negociación de claves con el UE en función de la información de autenticación adquirida. A la terminación del proceso de inicialización, el equipo UE y la función BSF realizan una autenticación mutua y generan una clave compartida "Ks". La BSF define un periodo de validez "Duración-clave" para la clave compartida "Ks" y asigna una identidad temporal, a modo de ejemplo, una entidad B-TID, para el usuario; la BSF y el UE memorizan la clave compartida "Ks", la denominada B-TID y el periodo de validez de forma correlativa. Cuando el usuario desea comunicarse con la NAF, el UE envía una demanda de conexión que incluye la B-TID a la NAF de nuevo. El equipo de usuario UE calcula la clave derivativa denominada "clave específica de NAF" mediante un algoritmo derivativo preestablecido en función de la clave compartida "Ks".

Después de recibir la demanda de conexión, la NAF envía un mensaje de mensaje de demanda de consulta a la BSF para la búsqueda de B-TID si falla en encontrar B-TID al nivel local, en donde el mensaje transmite la identidad de la NAF y esta B-TID. Si la BSF falla en encontrar a B-TID al nivel local, la BSF notifica a la NAF que no está disponible ninguna información sobre el usuario. En este caso, la NAF notifica al usuario la realización de la autenticación mutua en la BSF. Si la BSF encuentra a B-TID, la BSF calcula la clave derivativa de la clave compartida "Ks" utilizando el mismo algoritmo derivativo que se aplica en el lado del usuario y a continuación, envía un mensaje de respuesta de éxito operativo a la NAF. El mensaje de respuesta de éxito operativo transmite la B-TID,

la clave derivativa correspondiente a B-TID y el periodo de validez de la clave compartida "Ks". Después de recibir el mensaje de respuesta de éxito operativo desde la BSF, la NAF considera al usuario como un usuario legal que ha pasado la autenticación de BSF. La NAF comparte la clave derivativa calculada a partir de la clave compartida "Ks". Esta clave derivativa es la misma que la clave derivativa calculada por el usuario en función de la clave compartida "Ks". En el acceso posterior a la NAF, el usuario utiliza la clave derivativa para proteger las comunicaciones con la NAF.

Cuando el usuario descubre que la clave compartida "Ks" pronto caducará o la NAF requiere al usuario la realización de la autenticación mutua en la BSF de nuevo, el usuario repite las etapas de autenticación mutua anteriores en la BSF para obtener una nueva clave compartida "Ks" y una nueva "B-TID".

En la práctica actual, la IMPI transmitida en la demanda de autenticación se envía en la forma de texto no cifrado, que hace a la IMPI del usuario vulnerable a escucha ilegal. Para cada demanda re-autenticación recibida, la BSF adquiere un grupo de vectores de autenticación desde el servidor HSS. Después de que un atacante malicioso adquiera las IMPIs de múltiples usuarios mediante escucha ilegal, si el Intruso utiliza dichas IMPIs para enviar demandas de re-autenticación a BSF, la BSF necesita adquirir vectores de autenticación desde el HSS continuamente después de recibir las IMPIs de múltiples usuarios. En tanto que el intruso utilice la IMPI para enviar continuamente demandas de re-autenticación, la BSF adquirirá vectores de autenticación desde el servidor HSS de forma continua, de modo que la BSF resultará atacada de forma maliciosa.

Una solución al problema anterior en la técnica anterior es: si el UE tiene una Identidad temporal válida (tal como TMPI, B-TID), la identidad temporal se utilizará para sustituir la IMPI en la demanda, con el fin de reducir la frecuencia de utilizar la IMPI en la interfaz Ub y para evitar... [Seguir leyendo]

 


Reivindicaciones:

1. Un método para proteger una entidad de función de servicio de inicialización (BSF) contra un posible ataque, caracterizado por cuanto que comprende:

realizar, por una entidad BSF, de una autenticación mutua con un equipo de usuario (UE) utilizando una identidad temporal o una identidad privada de usuario enviada desde el UE;

generar, por la entidad BSF, una primera identidad temporal y una segunda identidad temporal después de que la entidad BSF realice la autenticación mutua con el UE, en donde la primera identidad temporal es diferente de la segunda identidad temporal y en donde las primera y segunda identidades temporales son diferentes de la identidad temporal o de la identidad privada del usuario;

enviar, por la entidad BSF, la primera identidad temporal y la segunda identidad temporal al UE; y

recibir, por la entidad BSF, una demanda de re-autenticación que incluye la primera identidad temporal desde el UE;

en donde, el UE envía una demanda de servicio que incluye la segunda identidad temporal a una entidad de función de aplicación de red (NAF).

2. El método según la reivindicación 1, en donde la realización, por la entidad BSF, de la autenticación mutua con el UE utilizando la identidad temporal enviada desde el UE comprende en particular:

recibir, por la entidad BSF, una demanda de autenticación desde el UE, en donde la demanda de autenticación que incluye la identidad temporal;

determinar, por la entidad BSF, si la entidad BSF memoriza una Identidad privada de usuario correlativamente con la identidad temporal; y

demandar, por la entidad BSF, un servidor de abonado residencial (HSS) para Información de autenticación por intermedio de la identidad privada del usuario si la entidad BSF memoriza la Identidad privada del usuario y realizar, por la entidad BSF, la autenticación mutua con el UE utilizando la Información de autenticación enviada desde el servidor HSS; o,

acabar, por la entidad BSF, un proceso de autenticación en curso si la entidad BSF no memoriza la identidad privada del usuario; o enviar, por la entidad BSF, una indicación de error al UE y acabar un proceso de autenticación en curso si la entidad BSF no memoriza la Identidad privada del usuario.

3. El método según la reivindicación 1, en donde:

la entidad BSF genera la primera identidad temporal y la segunda Identidad temporal utilizando dos valores aleatorios (RAND) generados de forma aleatoria.

4. El método según la reivindicación 1, en donde la primera identidad temporal es una identidad temporal (TMPI) y la segunda Identidad temporal es un Identlficador de Transacción de Inicialización (B-TID).

5. Una entidad de función de servicio de inicialización (BSF), caracterizada por cuanto que comprende:

un procesador, configurado para realizar una autenticación mutua con un equipo de usuario (UE) utilizando una identidad temporal o una identidad privada de un usuario enviada desde el UE y para generar una primera Identidad temporal y una segunda identidad temporal después de que la entidad BSF realice la autenticación mutua con el UE, en donde la primera identidad temporal es diferente de la segunda Identidad temporal y en donde las primera y segunda identidades temporales son diferentes de la identidad temporal o de la Identidad privada del usuario;

un transmisor, configurado para enviar la primera identidad temporal y la segunda Identidad temporal al UE; y

un receptor, configurado para recibir una demanda de re-autenticación que Incluye la primera identidad temporal desde el UE;

en donde el UE está configurado para enviar una demanda de servicio que Incluye la segunda identidad temporal a entidad de función de aplicación de red (NAF).

6. La función BSF según la reivindicación 5, en donde si el procesador realiza la autenticación mutua con el UE utilizando la identidad temporal,

el receptor está configurado, además, para recibir una demanda de autenticación desde el UE, en donde la

demanda de autenticación incluye la identidad temporal;

el procesador está configurado, además, para determinar si la entidad BSF memoriza una identidad privada del usuario correlativamente con la identidad temporal; y

el procesador está configurado, además, para demandar un servidor de abonado residencial (HSS) para información de autenticación a través de la identidad privada del usuario si la entidad BSF memoriza la identidad privada del usuario; o,

el procesador está configurado, además, para acabar un proceso de autenticación en curso si la entidad BSF no memoriza la identidad privada del usuario; o para enviar una indicación de error al UE y acabar un proceso de autenticación en curso si la entidad BSF no memoriza la identidad privada del usuario.

7. La función BSF según la reivindicación 5, en donde:

el procesador está configurado, además, para generar la primera identidad temporal y la segunda identidad temporal utilizando dos valores aleatorios (RAND) generados de forma aleatoria.

8. La función BSF según la reivindicación 5, en donde la primera identidad temporal es una identidad temporal (TMPI) y la segunda identidad temporal es un Identificador de Transacción de Inicialización (B-TID).

9. Un método para proteger a entidad de función de servicio de inicialización (BSF) contra un ataque, caracterizado por cuanto que comprende:

realizar, por una entidad BSF, una autenticación mutua con un equipo de usuario (UE) utilizando una Identidad temporal o una identidad privada del usuario enviada desde el UE;

generar, por la entidad BSF, una primera identidad temporal y una segunda identidad temporal, en donde la primera identidad temporal es diferente de la segunda identidad temporal y las primera y segunda identidades temporales son diferentes de la identidad temporal o de la identidad privada del usuario;

enviar, por la entidad BSF, una indicación de generación de identidad temporal al UE, en donde la indicación de generación de identidad temporal se utiliza para dar instrucciones al equipo de usuario UE respecto a la generación de la primera identidad temporal y de la segunda identidad temporal utilizando una misma forma como la entidad

BSF; y

recibir, por la entidad BSF, una demanda de re-autenticación que incluye la primera identidad temporal procedente del UE;

en donde, el UE envía una demanda de servicio que incluye la segunda identidad temporal a una entidad de función de aplicación de red (NAF).

10. El método según la reivindicación 9, en donde la primera identidad temporal y la segunda identidad temporal se generan por la entidad BSF y el UE utilizando una clave obtenida en la autenticación mutua.

11. El método según la reivindicación 9, en donde la realización, por la entidad BSF, de la autenticación mutua con el UE utilizando la Identidad temporal enviada desde el UE comprende, en particular:

recibir, por la entidad BSF, una demanda de autenticación desde el UE, en donde la demanda de autenticación incluye la Identidad temporal;

determinar, por la entidad BSF, si la entidad BSF memoriza una identidad privada del usuario correlativamente con la Identidad temporal; y

demandar, por la entidad BSF, a un servidor de abonado residencial (HSS) Información de autenticación a través de la Identidad privada del usuario si la entidad BSF memoriza la identidad privada del usuario y realizar, por la entidad BSF, la autenticación mutua con el equipo UE utilizando la información de autenticación enviada desde el HSS; o,

acabar, por la entidad BSF, un proceso de autenticación en curso si la entidad BSF no memoriza la identidad privada del usuario; o enviar, por la entidad BSF, una indicación de error al equipo UE y acabar un proceso de autenticación en curso si la entidad BSF no memoriza la Identidad privada del usuario.

12. El método según la reivindicación 9, en donde la primera identidad temporal es una Identidad temporal (TMPI) y la segunda identidad temporal es un Identificador de Transacción de Inicialización (B-TID).

13. Una entidad de función de servicio de inicialización (BSF), caracterizada por cuanto que comprende:

un procesador, configurado para realizar una autenticación mutua con un equipo de usuario (UE) utilizando una identidad temporal o una identidad privada del usuario enviada desde el UE y generar una primera identidad temporal y una segunda identidad temporal, en donde la primera identidad temporal es diferente de la segunda identidad temporal y las primera y segunda identidades temporales son diferentes de la identidad temporal o de la identidad privada del usuario;

un transmisor configurado para enviar una indicación de generación de identidad temporal al UE, en donde la indicación de generación de identidad temporal se utiliza para dar instrucciones al equipo UE respecto a la generación de la primera identidad temporal y de la segunda identidad temporal utilizando la clave obtenida en la autenticación mutua; y

un receptor, configurado para recibir una demanda de re-autenticación que incluye la primera identidad temporal desde el UE;

en donde el UE está configurado para enviar una demanda de servicio que incluye la segunda identidad temporal a una entidad de función de aplicación de red (NAF).

14. La función BSF según la reivindicación 13, en donde

el procesador está configurado, además, para generar la primera identidad temporal y la segunda identidad temporal utilizando una clave obtenida en la autenticación mutua; y

el UE está configurado, además, para generar la primera identidad temporal y la segunda identidad temporal utilizando la clave.

15. La función BSF según la reivindicación 13, en donde:

el receptor está configurado, además, para recibir una demanda de autenticación desde el UE, en donde la demanda de autenticación incluye la identidad temporal;

el procesador está configurado, además, para determinar si la entidad BSF memoriza una identidad privada del usuario correlativamente con la identidad temporal; y

el procesador está configurado, además, para demandar a un servidor de abonado residencial (HSS) Información de autenticación mediante la identidad privada del usuario si la entidad BSF memoriza la Identidad privada del usuario;

o,

el procesador está configurado, además, para acabar un proceso de autenticación en curso si la entidad BSF no memoriza la identidad privada del usuario; o para enviar una indicación de error al equipo UE y terminar un proceso de autenticación en curso si la entidad BSF no memoriza la identidad privada del usuario.

16. La función BSF según la reivindicación 13, en donde la primera identidad temporal es una Identidad temporal (TMPI), la segunda identidad temporal es un Identificador de Transacción de Inicialización (B-TID).

17. Un método para proteger una entidad de función de servicio de inicialización (BSF) contra un ataque, caracterizado por cuanto que comprende:

realizar, por una entidad BSF, una autenticación mutua con un equipo de usuario (UE) utilizando una identidad temporal o una identidad privada del usuario enviada desde el UE;

generar, por la entidad BSF, una primera identidad temporal y una segunda identidad temporal, en donde la primera identidad temporal es diferente de la segunda identidad temporal y las primera y segunda identidades temporales son diferentes de la identidad temporal o de la identidad privada del usuario;

enviar, por la entidad BSF, la primera identidad temporal y la segunda identidad temporal al UE;

enviar, por la entidad BSF, una indicación de generación de identidad temporal al UE, en donde la indicación de generación de identidad temporal se utiliza para dar instrucciones al UE en cuanto a la generación de otra de la primera identidad temporal y de la segunda identidad temporal utilizando una misma forma que la entidad BSF; y

recibir, por la entidad BSF, una demanda de re-autenticación que incluye la primera identidad temporal desde el UE;

en donde, el UE envía una demanda de servicio que incluye la segunda identidad temporal a una entidad de función de aplicación de red (NAF).

18. El método según la reivindicación 17, que comprende, además:

generar, por la entidad BSF, la primera identidad temporal y la segunda identidad temporal utilizando un valor aleatorio RAND generado de forma aleatoria y la otra de entre la primera identidad temporal y la segunda identidad temporal utilizando una clave obtenida en la autenticación mutua;

en donde el equipo UE genera la otra de entre la primera identidad temporal y la segunda identidad temporal utilizando la clave obtenida en la autenticación mutua.

19. El método según la reivindicación 17, en donde la realización, por la entidad BSF, de la autenticación mutua con el UE utilizando la identidad temporal enviada desde el UE comprende, en particular:

recibir, por la entidad BSF, una demanda de autenticación desde el UE, en donde la demanda de autenticación incluye la identidad temporal;

determinar, por la entidad BSF, si la entidad BSF memoriza una identidad privada del usuario correlativamente con la identidad temporal y

demandar, por la entidad BSF, a un servidor de abonado residencial (HSS) para información de autenticación mediante la identidad privada del usuario si la entidad BSF memoriza la identidad privada del usuario y realizar, por la entidad BSF, la autenticación mutua con el UE utilizando la información de autenticación enviada desde el servidor HSS o,

terminar, por la entidad BSF, un proceso de autenticación en curso si la entidad BSF no memoriza la identidad privada del usuario; o enviar, por la entidad BSF, una indicación de error al UE y acabar un proceso de autenticación en curso si la entidad BSF no memoriza la identidad privada del usuario.

20. El método según la reivindicación 17, en donde la primera identidad temporal es una identidad temporal (TMPI) y la segunda identidad temporal es un Identificador de Transacción de Inicialización (B-TID).

21. Una entidad de función de servicio de inicialización (BSF), caracterizada por cuanto que comprende:

un procesador, configurado para realizar una autenticación mutua con un equipo de usuario (UE) utilizando una identidad temporal o una identidad privada del usuario enviada desde el UE y para generar una primera identidad temporal y una segunda identidad temporal, en donde la primera identidad temporal es diferente de la segunda identidad temporal y las primera y segunda identidades temporales son diferentes de la identidad temporal o de la identidad privada del usuario;

un transmisor, configurado para enviar una de entre la primera identidad temporal y la segunda identidad temporal al UE y para enviar una indicación de generación de identidad temporal al UE, en donde la indicación de generación de identidad temporal se utiliza para dar instrucciones al UE para generar otra de entre primera identidad temporal y la segunda identidad temporal utilizando una misma manera que la entidad BSF y

un receptor, configurado para recibir una demanda de re-autenticación que incluye la primera identidad temporal desde el UE;

en donde el UE está configurado, además, para enviar una demanda de servicio que incluye la segunda identidad temporal a una entidad de función de aplicación de red (NAF).

22. La función BSF según la reivindicación 21, en donde:

el procesador está configurado, además, para generar una de entre la primera identidad temporal y la segunda identidad temporal utilizando un valor aleatorio RAND, de forma aleatoria y la otra de entre la primera identidad temporal y la segunda identidad temporal utilizando una clave obtenida en la autenticación mutua;

en donde el equipo UE está configurado, además, para generar la otra de entre la primera identidad temporal y la segunda identidad temporal usando la clave obtenida en la autenticación mutua.

23. La función BSF según la reivindicación 21, que comprende, además:

el receptor que está configurado, además, para recibir una demanda de autenticación desde el UE, en donde la demanda de autenticación incluye la identidad temporal;

el procesador que está configurado, además, para determinar si la entidad BSF memoriza una identidad privada del usuario correlativamente con la identidad temporal y

el procesador que está configurado, además, para demandar a un servidor de abonado residencial (HSS) información de autenticación por intermedio de la identidad privada del usuario si la entidad BSF memoriza la identidad privada del usuario o

el procesador que está configurado, además, para terminar un proceso de autenticación en curso si la entidad BSF no memoriza la identidad privada del usuario; o para enviar una indicación de error al equipo UE y terminar un proceso de autenticación en curso si la entidad BSF no memoriza la identidad privada del usuario.

24. La función BSF según la reivindicación 21, en donde la primera identidad temporal es una identidad temporal 10 (TMPI) y la segunda identidad temporal es un Identificador de Transacción de Inicialización (B-TID).

25. Un medio de soporte legible por ordenador que comprende un programa informático, memorizado en un soporte no transitorio, que se caracteriza por cuanto que se ejecuta por una unidad de ordenador, lo que hará que la unidad de ordenador realice las etapas de una entidad de Función de Servicio de Inicialización (BSF) según cualquiera de

las reivindicaciones 1 a 4, 9 a 12, 17 a 20.