PROCEDIMIENTO Y SERVIDOR PARA PROPORCIONAR UNA CLAVE DE MOVILIDAD.
Procedimiento para proporcionar al menos una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para un agente del lugar de origen con las siguientes etapas:
(a) establecimiento de un enlace por radio entre un aparato terminal móvil de abonado (1) y una red de acceso (4), retransmitiendo un servidor de autentificación proxy (8C) de una red intermedia (9), para autentificar un abonado, al menos un mensaje de autentificación, que contiene una identidad del abonado, entre la red de acceso (4) y una red del lugar de origen (12) del abonado y, cuando tiene éxito la autentificación por parte de un servidor de autentificación (11) de la red del lugar de origen (12), memorizando la correspondiente identidad de abonado; (b) recepción de un mensaje de solicitud de registro procedente de un aparato terminal móvil de abonado, que contiene una identidad de abonado, mediante un agente del lugar de origen; (c) envío de un mensaje de solicitud de clave para una clave de movilidad desde el agente del lugar de origen (8B) al correspondiente servidor proxy de autentificación (8C); conteniendo el mensaje de solicitud de clave la identidad de abonado contenida en el mensaje de solicitud de registro; y (d) aportación de una clave de movilidad por parte del servidor proxy de autentificación (8C) para el agente del lugar de origen (8B), cuando la identidad del abonado contenida en el mensaje de solicitud de clave coincida con una de las identidades de abonado memorizadas por el servidor proxy de autentificación (8C)
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/EP2006/067895.
Solicitante: SIEMENS AKTIENGESELLSCHAFT.
Nacionalidad solicitante: Alemania.
Dirección: WITTELSBACHERPLATZ 2 80333 MUNCHEN ALEMANIA.
Inventor/es: KROSELBERG, DIRK, FALK,RAINER, RIEGEL,MAXIMILIAN.
Fecha de Publicación: .
Fecha Solicitud PCT: 27 de Octubre de 2006.
Fecha Concesión Europea: 21 de Julio de 2010.
Clasificación Internacional de Patentes:
- H04L12/28W
- H04L29/06S6
- H04L29/06S8
- H04Q7/38S
- H04W12/06 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04W REDES DE COMUNICACION INALAMBRICAS (difusión H04H; sistemas de comunicación que utilizan enlaces inalámbricos para comunicación no selectiva, p. ej. extensiones inalámbricas H04M 1/72). › H04W 12/00 Disposiciones de seguridad; Autenticación; Protección de la privacidad o el anonimato. › Autenticación.
Clasificación PCT:
- H04W12/06 H04W 12/00 […] › Autenticación.
Países PCT: Austria, Bélgica, Suiza, Alemania, Dinamarca, España, Francia, Reino Unido, Grecia, Italia, Liechtensein, Luxemburgo, Países Bajos, Suecia, Mónaco, Portugal, Irlanda, Eslovenia, Finlandia, Rumania, Chipre, Lituania, Letonia.
Fragmento de la descripción:
Procedimiento y servidor para proporcionar una clave de movilidad.
La invención se refiere a un procedimiento y a un servidor proxy (representante o intermediario) de autentificación para proporcionar una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para un agente del lugar de origen de una red de telefonía móvil.
Internet, con el protocolo TCP/IP, ofrece una plataforma para el desarrollo de protocolos de más alto nivel para el ámbito móvil. Puesto que los protocolos de Internet están muy difundidos, puede incluirse con las correspondientes ampliaciones de protocolo para entornos móviles un amplio círculo de usuarios. No obstante, los protocolos de Internet tradicionales no están concebidos en su origen para la utilización móvil. En la conmutación por paquetes de la Internet tradicional se intercambian los paquetes entre ordenadores fijos, que no modifican su dirección de red ni migran entre distintas subredes. En redes de radio con ordenadores móviles se integran a menudo ordenadores móviles MS en distintas redes. El DHCP (Dynamic Host Configuration Protocol, protocolo de configuración dinámica de host), posibilita con ayuda del correspondiente servidor la asignación dinámica de una dirección de IP y otros parámetros de configuración a un ordenador en una red. Un ordenador que está integrado en una red, recibe automáticamente una dirección de IP libre mediante el protocolo DHCP. Si un ordenador móvil ha instalado DHCP, el mismo debe simplemente entrar en el alcance de una red local que apoya la configuración mediante el protocolo DHCP. En el protocolo DHCP es posible una adjudicación dinámica de direcciones, es decir, se asigna una dirección de IP libre automáticamente para un tiempo determinado. Tras transcurrir este tiempo debe formularse de nuevo la solicitud mediante el ordenador móvil o bien adjudicarse la dirección de IP de otra manera.
Con DHCP puede integrarse un ordenador móvil sin configuración manual en una red. Como condición previa debe simplemente disponerse de un servidor DHCP. Un ordenador móvil puede así utilizar servicios de la red local y por ejemplo utilizar ficheros archivados centralmente. No obstante si un ordenador móvil ofrece por si mismo servicios, es posible que un potencial usuario de los servicios no encuentre el ordenador móvil, ya que su dirección de IP se modifica en cada red en la que se aloja el ordenador móvil. Lo mismo sucede cuando se modifica una dirección de IP durante un enlace TCP existente. Esto da lugar a la interrupción del enlace. Por ello en IP móvil se asigna a un ordenador móvil una dirección de IP que el mismo mantiene también en otra red. En un cambio de red de IP tradicional es necesario adaptar correspondientemente los ajustes de las direcciones de IP. Pero una adaptación permanente de configuraciones de IP y de enrutamiento en el aparato terminal es casi imposible manualmente. En los mecanismos de configuración automáticos tradicionales se interrumpe el enlace existente cuando hay un cambio de la dirección de IP. El protocolo MIP (RFC 2002, RFC 2977, RFC 3344, RFC 3846, RFC 3957, RFC3775, RFC 3776, RFC4285) apoya la movilidad de aparatos terminales móviles. En los protocolos de IP tradicionales debe adaptar el aparato terminal móvil cada vez su dirección de IP cuando cambia la subred de IP, para que los paquetes de datos direccionados al aparato terminal móvil se enruten correctamente. Para mantener un enlace TCP existente, debe conservar el aparato terminal móvil su dirección de IP, ya que un cambio de dirección da lugar a una interrupción del enlace. El protocolo MIP elimina este conflicto al permitir a un aparato terminal móvil o bien a un nodo móvil (MN) poseer dos direcciones de IP. El protocolo MIP posibilita un enlace transparente entre ambas direcciones, es decir, una dirección Home (del lugar de origen) permanente y una segunda dirección care-of temporal o dinámica. La dirección care-of es la dirección de IP bajo la cual puede llegarse al aparato terminal móvil en ese momento.
Un agente del lugar de origen (Home Agent) es quien representa al aparato terminal móvil siempre que el aparato terminal móvil no se encuentre en la red del lugar de origen inicial. El agente del lugar de origen está informado permanentemente sobre el lugar de estancia actual del ordenador móvil. El agente del lugar de origen es usualmente un componente de un router (enrutador) en la red del lugar de origen del aparato terminal móvil. Cuando el aparato terminal móvil se encuentra fuera de la red del lugar de origen, proporciona el agente del lugar de origen una función para que pueda anunciarse el aparato terminal móvil. Entonces retransmite el agente del lugar de origen los paquetes de datos direccionados al aparato terminal móvil a la subred actual del aparato terminal móvil.
Un agente ajeno (Foreign Agent) se encuentra en la subred en la que se mueve el aparato terminal móvil. El agente ajeno retransmite los paquetes de datos que llegan al aparato terminal móvil o bien al ordenador móvil. El agente ajeno se encuentra en una llamada red ajena (Visited Network). El agente ajeno es igualmente por lo general un componente de un enrutador. El agente ajeno enruta todos los paquetes de datos móviles administrativos entre el aparato terminal móvil y su agente del lugar de origen. El agente ajeno desempaqueta los paquetes de datos de IP tunelados enviados por el agente del lugar de origen y retransmite sus datos al aparato terminal móvil.
La dirección del lugar de origen del aparato terminal móvil es la dirección bajo la que puede llegarse permanentemente al aparato terminal móvil. La dirección del lugar de origen tiene el mismo prefijo de dirección que el agente del lugar de origen. La dirección care-of es aquella dirección de IP que utiliza el aparato terminal móvil en la red ajena.
El agente del lugar de origen gestiona una llamada tabla de enlace de movilidad (MBT: Mobility Binding Table). Los registros en esta tabla sirven para asociar entre sí ambas direcciones, es decir, la dirección del lugar de origen y la dirección care-of de un aparato terminal móvil y derivar correspondientemente los paquetes de datos. La tabla MBT contiene registros sobre la dirección del lugar de origen, la dirección care-of y una indicación sobre el espacio de tiempo durante el que esta asociación es válida (life time o tiempo de vida). La figura 1 muestra un ejemplo de una tabla de enlace de mobilidad según el estado de la técnica.
El agente ajeno (FA) contiene una lista de visitantes o Visitor List (VL: Visitor List) que contiene informaciones sobre los aparatos terminales móviles que se encuentran en ese momento en la red de IP del agente ajeno. La figura 2 muestra un ejemplo de una tal lista de visitantes según el estado de la técnica.
Para que un ordenador móvil pueda integrarse en una red, debe primeramente saber si se encuentra en su red del lugar de origen o en una red ajena. Adicionalmente debe saber el aparato terminal móvil qué ordenador es en la subred el agente del lugar de origen o el agente ajeno. Estas informaciones se averiguan mediante un llamado Agent-Discovery (descubrimiento de agente).
Mediante el subsiguiente registro, puede comunicar el aparato terminal móvil su lugar de estancia actual a su agente del lugar de origen. Para ello envía el ordenador móvil o el aparato terminal móvil al agente del lugar de origen la dirección care-of actual. Para su registro, envía el ordenador móvil un Registration-Request o solicitud de registro al agente del lugar de origen. El agente del lugar de origen (HA) registra la dirección care-of en su lista y responde con una Registration Reply o respuesta de registro. Evidentemente existe aquí un problema de seguridad. Puesto que básicamente cualquier ordenador puede enviar a un agente del lugar de origen una solicitud de registro, podría alguien simular de manera sencilla ante un agente del lugar de origen que un ordenador se ha movido hasta otra red. Así podría tomar un ordenador ajeno todos los paquetes de datos de un ordenador móvil o aparato terminal móvil sin que un emisor se entere de ello. Para evitar esto, disponen el ordenador móvil y el agente del lugar de origen de claves comunes secretas. Cuando vuelve un ordenador móvil a su red del lugar de origen, se borra el mismo del registro del agente del lugar de origen, ya que el ordenador móvil puede tomar por sí mismo directamente todos los paquetes de datos. Una red de radio móvil debe presentar entre otras las siguientes características de seguridad. Las informaciones...
Reivindicaciones:
1. Procedimiento para proporcionar al menos una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para un agente del lugar de origen con las siguientes etapas:
(a) establecimiento de un enlace por radio entre un aparato terminal móvil de abonado (1) y una red de acceso (4),
retransmitiendo un servidor de autentificación proxy (8C) de una red intermedia (9), para autentificar un abonado, al menos un mensaje de autentificación, que contiene una identidad del abonado, entre la red de acceso (4) y una red del lugar de origen (12) del abonado y, cuando tiene éxito la autentificación por parte de un servidor de autentificación (11) de la red del lugar de origen (12), memorizando la correspondiente identidad de abonado;
(b) recepción de un mensaje de solicitud de registro procedente de un aparato terminal móvil de abonado, que contiene una identidad de abonado, mediante un agente del lugar de origen;
(c) envío de un mensaje de solicitud de clave para una clave de movilidad desde el agente del lugar de origen (8B) al correspondiente servidor proxy de autentificación (8C);
conteniendo el mensaje de solicitud de clave la identidad de abonado contenida en el mensaje de solicitud de registro; y
(d) aportación de una clave de movilidad por parte del servidor proxy de autentificación (8C) para el agente del lugar de origen (8B), cuando la identidad del abonado contenida en el mensaje de solicitud de clave coincida con una de las identidades de abonado memorizadas por el servidor proxy de autentificación (8C).
2. Procedimiento según la reivindicación 1,
en el que la clave de movilidad se genera automáticamente mediante el servidor proxy de autentificación (8C).
3. Procedimiento según la reivindicación 1,
en el que el servidor de autentificación (11) de la red del lugar de origen (12), cuando ha tenido éxito la autentificación, transmite una clave MSK contenida en un mensaje de autentificación mediante el servidor proxy de autentificación (8C) a un cliente de autentificación (6C) de la red de acceso (4).
4. Procedimiento según la reivindicación 3,
en el que el servidor proxy de autentificación (8C) deriva la clave de movilidad a partir de la clave MSK transmitida.
5. Procedimiento según la reivindicación 4,
en el que la clave de movilidad constituye una parte de la clave MSK transmitida.
6. Procedimiento según la reivindicación 4,
en el que la clave de movilidad es idéntica a la clave MSK transmitida.
7. Procedimiento según la reivindicación 4,
en el que la clave de movilidad se deriva mediante una función de derivación de clave criptográfica o mediante una función Hash criptográfica.
8. Procedimiento según la reivindicación 1,
en el que los mensajes de autentificación se transmiten según un protocolo de transmisión de datos RADIUS.
9. Procedimiento según la reivindicación 1,
en el que los mensajes de autentificación se transmiten según un protocolo de transmisión de datos Diameter.
10. Procedimiento según la reivindicación 1,
en el que la red de acceso (4) está formada por una red de acceso WIMAX (ASN).
11. Procedimiento según la reivindicación 1,
en el que la red intermedia (9) está formada por una red intermedia WIMAX (CSN).
12. Procedimiento según la reivindicación 1,
en el que la red del lugar de origen (12) está formada por una red 3GPP.
13. Procedimiento según la reivindicación 1,
en el que la red del lugar de origen está formada por una red WLAN.
14. Procedimiento según la reivindicación 1,
en el que la identidad del abonado está formada por un identificador de acceso a la red NAI.
15. Procedimiento según la reivindicación 1,
en el que la identidad del abonado se forma mediante una dirección del lugar de origen del abonado.
16. Procedimiento según la reivindicación 1,
en el que la clave de movilidad se pone a disposición adicionalmente de un cliente PMIP (6B) de la red de acceso (4).
17. Procedimiento según la reivindicación 1,
en el que varias redes intermedias (9) se encuentran entre la red de acceso (4) y la red del lugar de origen (12).
18. Procedimiento según la reivindicación 17,
en el que el agente del lugar de origen (8B) está previsto en la red del lugar de origen (12) o en una de las redes intermedias (9).
19. Procedimiento según la reivindicación 17,
en el que el servidor proxy de autentificación (8C) está previsto en la red del lugar de origen (12) o en una de las redes intermedias (9).
20. Servidor proxy de autentificación (8C) para proporcionar una clave de movilidad para un aseguramiento criptográfico de mensajes de señalización de movilidad,
en el que el servidor proxy de autentificación (8C) está configurado tal que una vez realizada con éxito la autentificación de un abonado, memoriza su correspondiente identidad de abonado y tras recibir un mensaje de solicitud de clave para una clave de movilidad desde un agente de movilidad (8B), proporciona una clave de movilidad cuando una identidad de abonado contenida en el mensaje de solicitud de la clave coincide con una de las identidades de abonado memorizadas.
21. Servidor proxy de autentificación según la reivindicación 20,
en el que el servidor proxy de autentificación (8C) está configurado tal que genera aleatoriamente la clave de movilidad.
22. Servidor proxy de autentificación según la reivindicación 20,
en el que el servidor proxy de autentificación (8C) está conectado con un servidor de autentificación (11) de una red del lugar de origen (12).
23. Servidor proxy de autentificación según la reivindicación 20,
en el que el servidor proxy de autentificación (8C) está configurado tal que deriva la clave de movilidad de una clave MSK dada por el servidor de autentificación (11) de la red del lugar de origen (12).
24. Servidor proxy de autentificación según la reivindicación 20,
en el que la red del lugar de origen (12) es una red 3GPP.
25. Servidor proxy de autentificación según la reivindicación 20,
en el que la red del lugar de origen (12) es una red WLAN.
26. Servidor proxy de autentificación según la reivindicación 20,
en el que el servidor proxy de autentificación (8C) es un servidor proxy de autentificación WIMAX.
Patentes similares o relacionadas:
Transferencia automática segura de datos con un vehículo de motor, del 22 de Julio de 2020, de AIRBIQUITY INC: Un dispositivo electrónico en un vehículo para operar en un vehículo de motor en un estado de energía desatendido, comprendiendo el dispositivo […]
Método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático de cliente que comprende una entidad de módulo de identidad de abonado con un kit de herramientas de módulo de identidad de abonado así como una miniaplicación de módulo de identidad de abonado, sistema, dispositivo informático de cliente y entidad de módulo de identidad de abonado para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en el dispositivo informático de cliente, programa que comprende un código de programa legible por ordenador y producto de programa informático, del 22 de Julio de 2020, de DEUTSCHE TELEKOM AG: Un método para un nivel mejorado de autenticación relacionado con una aplicación de cliente de software en un dispositivo informático […]
Servidor de autenticación de una red de telecomunicación celular y UICC correspondiente, del 22 de Julio de 2020, de Thales Dis France SA: Un servidor de autenticación de una red de telecomunicaciones celular, estando dispuesto dicho servidor de autenticación para generar un token de autenticación para ser […]
Método de control de aplicación y terminal móvil, del 8 de Julio de 2020, de Guangdong OPPO Mobile Telecommunications Corp., Ltd: Un terminal móvil , que comprende: un procesador ; y un módulo de inteligencia artificial AI ; el procesador que se […]
Red de telecomunicaciones y método de acceso a la red basado en el tiempo, del 8 de Julio de 2020, de KONINKLIJKE KPN N.V.: Una red de telecomunicaciones configurada para proporcionar acceso a una pluralidad de terminales (A-D) en donde los terminales están dispuestos para ejecutar aplicaciones […]
Método para el establecimiento y el funcionamiento de una red dedicada en una red de telefonía móvil y red de cadena de bloques entre operadores, del 1 de Julio de 2020, de DEUTSCHE TELEKOM AG: Método para el establecimiento y el funcionamiento de una red dedicada en una red de telefonía móvil sobre la base de una Red de Cadena de […]
Métodos y sistemas de autenticación mediante el uso de código de conocimiento cero, del 24 de Junio de 2020, de NAGRAVISION S.A.: Un método para permitir o denegar el acceso operativo a un accesorio confiable desde un dispositivo no confiable , a través del […]
Procedimiento y sistema para la autenticación del emparejamiento entre un vehículo y un dispositivo móvil, del 24 de Junio de 2020, de KWANG YANG MOTOR CO., LTD.: Un procedimiento para la autenticación del emparejamiento entre una motocicleta y un dispositivo móvil , donde la motocicleta incluye un […]