Transmisión segura de información específica de usuario en un servidor de red personal.

Un método para transmitir información específica de usuario confidencial (34) entre un servidor de abonado doméstico

(20) y un servidor de gestión de red personal (40) de una red personal (38) en un dominio IMS (14) de una red móvil (10), información (34) que contiene una identidad de usuario privada (34) de una estación móvil (26) usada por un registro de un estación móvil (26) que utiliza la red personal (38), comprendiendo el método las etapas de

a) proporcionar una clave digital (48) al servidor de abonado doméstico (20) y al servidor de gestión de red personal (40) usada para encriptar y desencriptar la identidad de usuario privada (34), siendo la clave digital (48) un número aleatorio con la misma longitud de bits que la identidad de usuario privada (34);

b) encriptar la identidad de usuario privada (34) en el servidor de abonado doméstico (20), en donde el formato de datos y la longitud de datos de la identidad de usuario privada (68) encriptada se corresponden con el formato de datos y la longitud de datos de la identidad de usuario privada (34) no encriptada;

c) transmitir (64) una solicitud de registro (62) que incluye la identidad de usuario privada (34) y una identidad de usuario pública (36) desde la estación móvil (26) a una unidad de registro (18) en una unidad de control de sesión de llamada (16) del dominio IMS (14) que solicita registro en la red personal (38);

d) recibir (64) la solicitud de registro (62) desde la estación móvil (26) en la unidad de registro (18) en la unidad de control de sesión de llamada (16) de la red móvil (10) que solicita un registro en la red personal (38);

e) interrogar (66, 72) al servidor de abonado doméstico (20) mediante la unidad de control de sesión de llamada (16) del dominio IMS (14) para información específica de usuario (34) que contiene la identidad de usuario privada (68) encriptada y una dirección (70) y/o un nombre del servidor de gestión de red personal (40),

f) transmitir (72, 74) la identidad de usuario privada (34) encriptada desde el servidor de abonado doméstico (20) al servidor de gestión de red personal (40) mediante la unidad de control de sesión de llamada (18), en donde la identidad de usuario privada (68) encriptada recibida desde el servidor de abonado doméstico (20) y la identidad de usuario pública (36) recibida desde la estación móvil (26) se reenvían (74) desde la unidad de control de sesión de llamada (18) al servidor de gestión de red personal (40) en una solicitud de registro de terceros (73);

g) desencriptar la identidad de usuario privada (68) encriptada recibida en el servidor de gestión de red personal (40);

h) registro de la estación móvil (26) en la red personal (38) mediante el servidor de gestión de red personal (40) usando la identidad de usuario privada (34) desencriptada y la identidad de usuario pública (36) .

Tipo: Patente Europea. Resumen de patente/invención. Número de Solicitud: E08153102.

Solicitante: VODAFONE HOLDING GMBH.

Nacionalidad solicitante: Alemania.

Dirección: MANNESMANNUFER 2 40213 DUSSELDORF ALEMANIA.

Inventor/es: WILD, PETER, DR., YANG LU, DAWES,PETER.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/06 (caracterizadas por un protocolo)
  • SECCION H — ELECTRICIDAD > TECNICA DE LAS COMUNICACIONES ELECTRICAS > TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION... > Disposiciones, aparatos, circuitos o sistemas no... > H04L29/08 (Procedimiento de control de la transmisión, p. ej. procedimiento de control del nivel del enlace)

PDF original: ES-2462941_T3.pdf

 

google+ twitter facebook

Fragmento de la descripción:

Transmisión segura de información específica de usuario en un servidor de red personal

Campo técnico de la invención La presente invención se refiere a un método para transmitir información específica de usuario confidencial entre un servidor de abonado doméstico y un servidor de gestión de red personal de una red personal en un dominio IMS de una red móvil, información que contiene una identidad de usuario privada de una estación móvil usada para un registro de estación móvil que utiliza la red personal.

Adicionalmente la presente invención se refiere a un sistema correspondiente para transmitir información específica de usuario confidencial entre un servidor de abonado doméstico y un servidor de gestión de red personal de una red personal en un dominio IMS de una red móvil, información que contiene una identidad de usuario privada de una estación móvil usada para un registro de estación móvil que utiliza la red personal.

Técnica anterior de la invención Una red móvil de tercera generación, por ejemplo una red móvil de acuerdo con la norma UMTS (Sistema Universal de Telecomunicaciones Móviles) , comprende un subsistema de conmutación de circuitos (CS) para conexiones de conmutación de circuitos, un subsistema de conmutación de paquetes (PS) que transmite paquetes de datos y un Subsistema Multimedia de Protocolo de Internet (IMS) . En el UMTS estos subsistemas o áreas se denominan también como dominios y se proporcionan mediante la red central (dominio de red central) de la red móvil.

El dominio IMS proporciona servicios multimedia basados en IP (Protocolo de Internet) . En particular el dominio IMS proporciona acceso a servicios de internet como telefonía por internet, radio por internet y televisión por internet para abonados móviles. Con el IMS se crea una plataforma combinada para servicios en tiempo real y otros servicios y se introduce una convergencia de elementos de red CS y PS. Pueden establecerse rápida y fácilmente nuevos servicios en el IMS usando servidores de aplicación. El dominio IMS tiene acceso a un Servidor de Abonado Doméstico (HSS) comprendido mediante la red móvil. El HSS mantiene perfiles de usuario y perfiles de servicio y es responsable de autenticación de usuario y autorización de acceso en la red móvil o para servicios proporcionados mediante la red móvil. El IMS es una arquitectura de red normalizada internacional para redes de telecomunicación de acuerdo con el 3GPP (Proyecto Común de la Tercera Generación) y es conocido por los expertos en la materia, por ejemplo a partir de la memoria descriptiva “3GPP TS 23.228 V8.2.0: IP multimedia subsystem; Etapa 2 (200709) ”.

Para utilización de servicios mediante el IMS un abonado móvil se abona a un proveedor y obtiene una identidad de usuario privada (IMPI = Identificador de Usuario Privado Multimedia IP) y una o más identidades de usuario públicas (IMPU = Identificador de Usuario Público Multimedia IP) . Con la identidad de usuario privada el abonado se registra en el domino IMS para utilización de servicios mediante el dominio IMS. Normalmente, una identidad de usuario privada se asigna a una tarjeta SIM (Módulo de Identificación de Abonado) y por lo tanto a una estación móvil que usa la tarjeta SIM. Por ejemplo una identidad de usuario privada puede contener un IMSI (Identificación Internacional de Abonado de Móvil) de 15 dígitos. Las identidades de usuario públicas se usan mediante cualquier abonado para solicitar comunicaciones a otros abonados. Por ejemplo se proporcionan las direcciones como direcciones SIP (Protocolo de Iniciación de Sesión) . Las identidades de usuario públicas se describen en la sección 4.3.3.1 de la memoria descriptiva del 3GPP TS 23.228 V8.2.0.

Hoy en día más y más abonados móviles poseen dos o más estaciones móviles con diferentes capacidades y un número creciente de dispositivos en el área privada de un abonado móvil tales como aparatos domésticos, sistemas de alarma y unidades de vídeo y audio proporcionan interfaces que posibilitan una conexión a una estación móvil o a una red doméstica. Por lo tanto, se proporcionan las denominadas redes privadas o personales (PN) con un dispositivo de gestión (PNM: Gestión de Red Personal) en una red móvil para facilitar la aplicación y administración de las diferentes estaciones móviles y dispositivos compatibles con red para un usuario.

Por medio de la PNM se establece y se gestiona una interconexión de red con todas las estaciones móviles y dispositivos con capacidad de red que pertenecen a un usuario usando las conexiones convencionales proporcionadas mediante la red móvil. Una configuración de la PNM puede conseguirse mediante el usuario o mediante un operador de la red móvil. Por ejemplo una red personal posibilita un reenvío de mensajes recibidos a la estación móvil más adecuada con respecto al formato de datos del mensaje y/o con respecto a los ajustes PN de los usuarios. Se conocen las redes personales por los expertos en la materia y se especifican, por ejemplo, en las memorias descriptivas “3GPP TS 22.259 V8.3.0: Service requirements for Personal Network Management (PNM) ; Etapa 1 (2006-06) ” y “3GPP TS 23.259 V1.2.0: Personal Network Management (PNM) , Procedures and Information Flows; Etapa 2 (2007-11) ”.

En la memoria descriptiva “3GPP TS 23.259 V1.2.0: Personal Network Management (PNM) , Procedures and Information Flows; Etapa 2 (2007-11) ” se describe una transmisión de una identidad de usuario privada desde un

servidor de abonado doméstico a un servidor de gestión de red personal durante un registro de una estación móvil en una red personal.

La memoria descriptiva “ETSI TS 133 220 V7.10.0: Digital cellular telecommunications system (Fase 2+) ; UMTS; Generic Authentication Architecture (GAA) ; Generic bootstrapping architecture (2007-11) ” describe características de seguridad y un mecanismo para autenticación de arranque y acuerdo de clave para seguridad de aplicación en un entorno 3GPP.

Mientras que un usuario registra una estación móvil en una red personal utilizando la red personal normalmente se solicita información específica de usuario confidencial desde un servidor de abonado doméstico en la red móvil y se transmite desde el servidor de abonado doméstico a la PNM mediante la red móvil y redes asociadas como internet, opcionalmente. En la PNM la información específica de usuario confidencial se usa para autenticación y autorización de usuario. Al hacer esto tiene la desventaja de que la información específica de usuario confidencial tal como una identidad de usuario privada se transmite a la PNM en texto en claro. Esto conduce a un riesgo de seguridad significativo, debido a que una persona no autorizada puede obtener información específica de usuario confidencial y usar indebidamente esta información.

Divulgación de la invención El objetivo de la presente invención es satisfacer la desventaja anteriormente descrita y proporcionar una transmisión segura y fiable de información específica de usuario confidencial desde un servidor de abonado doméstico a un servidor de gestión de una red personal durante un registro de una estación móvil en la red personal.

De acuerdo con la presente invención el objetivo se consigue en que un método como se describe en el comienzo de transmitir información específica de usuario confidencial entre un servidor de abonado doméstico y un servidor de gestión de red personal de una red personal en un dominio IMS de una red móvil, información que contiene una identidad de usuario privada de una estación móvil usada para un registro de estación móvil que utiliza la red personal, comprende las etapas de a) proporcionar una clave digital al... [Seguir leyendo]

 


Reivindicaciones:

1. Un método para transmitir información específica de usuario confidencial (34) entre un servidor de abonado doméstico (20) y un servidor de gestión de red personal (40) de una red personal (38) en un dominio IMS (14) de una red móvil (10) , información (34) que contiene una identidad de usuario privada (34) de una estación móvil (26) usada por un registro de un estación móvil (26) que utiliza la red personal (38) , comprendiendo el método las etapas de a) proporcionar una clave digital (48) al servidor de abonado doméstico (20) y al servidor de gestión de red personal (40) usada para encriptar y desencriptar la identidad de usuario privada (34) , siendo la clave digital (48) un número aleatorio con la misma longitud de bits que la identidad de usuario privada (34) ; b) encriptar la identidad de usuario privada (34) en el servidor de abonado doméstico (20) , en donde el formato de datos y la longitud de datos de la identidad de usuario privada (68) encriptada se corresponden con el formato de datos y la longitud de datos de la identidad de usuario privada (34) no encriptada; c) transmitir (64) una solicitud de registro (62) que incluye la identidad de usuario privada (34) y una identidad de usuario pública (36) desde la estación móvil (26) a una unidad de registro (18) en una unidad de control de sesión de llamada (16) del dominio IMS (14) que solicita registro en la red personal (38) ; d) recibir (64) la solicitud de registro (62) desde la estación móvil (26) en la unidad de registro (18) en la unidad de control de sesión de llamada (16) de la red móvil (10) que solicita un registro en la red personal (38) ; e) interrogar (66, 72) al servidor de abonado doméstico (20) mediante la unidad de control de sesión de llamada (16) del dominio IMS (14) para información específica de usuario (34) que contiene la identidad de usuario privada (68) encriptada y una dirección (70) y/o un nombre del servidor de gestión de red personal (40) , f) transmitir (72, 74) la identidad de usuario privada (34) encriptada desde el servidor de abonado doméstico (20) al servidor de gestión de red personal (40) mediante la unidad de control de sesión de llamada (18) , en donde la identidad de usuario privada (68) encriptada recibida desde el servidor de abonado doméstico (20) y la identidad de usuario pública (36) recibida desde la estación móvil (26) se reenvían (74) desde la unidad de control de sesión de llamada (18) al servidor de gestión de red personal (40) en una solicitud de registro de terceros (73) ; g) desencriptar la identidad de usuario privada (68) encriptada recibida en el servidor de gestión de red personal (40) ; h) registro de la estación móvil (26) en la red personal (38) mediante el servidor de gestión de red personal (40) usando la identidad de usuario privada (34) desencriptada y la identidad de usuario pública (36) .

2. Un método para transmitir información específica de usuario confidencial (34) entre un servidor de abonado doméstico (20) y un servidor de gestión de red personal (40) de acuerdo con la reivindicación 1 caracterizado por limitar el periodo de validez de la clave digital (48) .

3. Un método para transmitir información específica de usuario confidencial (34) entre un servidor de abonado doméstico (20) y un servidor de gestión de red personal (40) de acuerdo con una de las reivindicaciones 1 a 2 caracterizado por comprender el método las etapas de

a) transmitir (76) la identidad de usuario privada (68) encriptada recibida desde el servidor de gestión de red personal (40) al servidor de abonado doméstico (20) ; b) transmitir (78) al menos una identidad de usuario pública (36) asignada a la identidad de usuario privada (68) encriptada mediante el servidor de abonado doméstico (20) desde el servidor de abonado doméstico (20) al servidor de gestión de red personal (40) ; y c) verificar la identidad de usuario pública (36) recibida desde la unidad de control de sesión de llamada (18) usando la identidad de usuario pública (36) recibida desde el servidor de abonado doméstico (20) mediante el servidor de gestión de red personal (40) durante dicho registro de la estación móvil (26) en la red personal (38) .

4. Un método para transmitir información específica de usuario confidencial (34) entre un servidor de abonado doméstico (20) y un servidor de gestión de red personal (40) de acuerdo con una de las reivindicaciones 1 a 3 caracterizado por usar una función XOR a nivel de bit para encriptación y desencriptación de la identidad de usuario privada (34) .

5. Un sistema para transmitir información específica de usuario confidencial (34) entre un servidor de abonado doméstico (20) y un servidor de gestión de red personal (40) de una red personal (38) en un dominio IMS (14) de una red móvil (10) , información (34) que contiene una identidad de usuario privada (34) de una estación móvil (26) usada para un registro de estación móvil que utiliza la red personal (38) , que comprende

a) un generador de clave (50) en la red móvil (10) que proporciona una clave digital (48) que es un número aleatorio con la misma longitud de bits que la identidad de usuario privada (34) para el servidor de abonado doméstico (20) y para el servidor de gestión de red personal (40) para encriptar y desencriptar la identidad de usuario privada (34) ; b) un módulo de encriptación (44) proporcionado en el servidor de abonado doméstico (20) , adaptado para encriptar la identidad de usuario privada (34) en una identidad de usuario privada (68) encriptada, cuyo formato de datos y longitud de datos se corresponden con el formato de datos y la longitud de datos de la identidad de

usuario privada (34) no encriptada; c) una unidad de registro (18) en una unidad de control de sesión de llamada (16) del dominio IMS (14) para recibir una solicitud de registro (62) que incluye la identidad de usuario privada (34) y una identidad de usuario pública (36) desde la estación móvil (26) que solicita un registro en la red personal (38) ;

d) un dispositivo (transmisor (46) proporcionado en el servidor de abonado doméstico (20) que transmite la identidad de usuario privada (34) encriptada desde el servidor de abonado doméstico (20) al servidor de gestión de red personal (40) , el dispositivo (transmisor (46) adaptado para transmitir la identidad de usuario privada (68) encriptada y una dirección (70) del servidor de gestión de red personal (40) desde el servidor de abonado doméstico (20) a la unidad de control de sesión de llamada (16) para reenviar al servidor de gestión de red

personal (40) tras una solicitud desde la unidad de control de sesión de llamada (18) ; e) un módulo de desencriptación (54) proporcionado en el servidor de gestión de red personal (40) para desencriptar la identidad de usuario privada (68) encriptada recibida. f) un dispositivo de registro (42) en el servidor de gestión de red personal (40) que usa la identidad de usuario privada (34) desencriptada y la identidad de usuario pública (36) para registro de la estación móvil (26) en la red

personal (38) .