Protocolo de autenticación y cifrado en sistemas de comunicaciones inalámbricas.
Un método para autenticar un terminal de usuario (UE) en un sistema de comunicaciones (S),
el sistema (S) quecomprende un autenticador de red (HIP-R) de una red de acceso inalámbrico (WLAN), en donde
el autenticador de red (HIP-R) recibe al menos un paquete iniciador (2-2, 2-12) transmitido por el terminal de usuario(UE) a través de un punto de acceso (AP), el paquete que incluye una etiqueta de identidad del servidor del terminalde usuario (UE) y caracterizado por las etapas siguientes:
transmitir, sobre la base del paquete iniciador, una solicitud de mapeo (2-3) desde el autenticador de red (HIP-R)hacia un servidor de nombres (ENUM);
recibir, en el autenticador de red (HIP-R), una respuesta de mapeo (2-4) desde el servidor de nombres (ENUM), larespuesta de mapeo (2-4) que incluye información sobre un servidor de red propia (AAAH) del terminal de usuario(UE);
transmitir, desde el autenticador de red (HIP-R) hacia el servidor de red propia (AAAH), una solicitud deautenticación (2-5, 2-13) sobre la base de la respuesta de mapeo (2-4), la solicitud de autenticación (2-5, 2-13) queademás indica la etiqueta de identidad del servidor del terminal de usuario (UE); y
comprobar (2-6, 2-14), en el servidor de red propia (AAAH), la etiqueta de identidad del servidor del terminal deusuario (UE);
en donde si la etiqueta de identidad del servidor del terminal de usuario (UE) es admisible para el servidor de redpropia (AAAH), el método comprende
transmitir una respuesta de autenticación (2-7, 2-15) desde el servidor de red propia (AAAH) hacia el autenticador dered (HIP-R) generar (2-8, 2-16), en el autenticador de red (HIP-R), al menos un paquete contestador sobre la basede la respuesta de autenticación (2-7, 2-15); y
transmitir, hacia el terminal de usuario (UE), el al menos un paquete contestador (2-10, 2-19) que incluye unaetiqueta de identidad del servidor del autenticador de red (HIP-R).
Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/FI2008/050138.
Solicitante: TELIASONERA AB.
Nacionalidad solicitante: Suecia.
Dirección: Stureplan 8 106 63 Stockholm SUECIA.
Inventor/es: KORHONEN, JOUNI.
Fecha de Publicación: .
Clasificación Internacional de Patentes:
- H04L12/56
- H04L29/06 ELECTRICIDAD. › H04 TECNICA DE LAS COMUNICACIONES ELECTRICAS. › H04L TRANSMISION DE INFORMACION DIGITAL, p. ej. COMUNICACION TELEGRAFICA (disposiciones comunes a las comunicaciones telegráficas y telefónicas H04M). › H04L 29/00 Disposiciones, aparatos, circuitos o sistemas no cubiertos por uno solo de los grupos H04L 1/00 - H04L 27/00. › caracterizadas por un protocolo.
- H04L9/32 H04L […] › H04L 9/00 Disposiciones para las comunicaciones secretas o protegidas. › comprendiendo medios para verificar la identidad o la autorización de un utilizador del sistema.
- H04W12/04 H04 […] › H04W REDES DE COMUNICACION INALAMBRICAS (difusión H04H; sistemas de comunicación que utilizan enlaces inalámbricos para comunicación no selectiva, p. ej. extensiones inalámbricas H04M 1/72). › H04W 12/00 Disposiciones de seguridad; Autenticación; Protección de la privacidad o el anonimato. › Gestión de claves, p. ej. utilizando la arquitectura genérica de bootstrapping [GBA].
- H04W12/06 H04W 12/00 […] › Autenticación.
PDF original: ES-2400537_T3.pdf
Fragmento de la descripción:
Protocolo de autenticación y cifrado en sistemas de comunicaciones inalámbricas
CAMPO DE LA INVENCIÓN
La presente invención se refiere a un protocolo de autenticación y cifrado en un sistema de comunicaciones.
ANTECEDENTES DE LA INVENCIÓN
El protocolo de identidad del servidor (HIP) proporciona una solución para separar los roles de identificador y localizador en el punto extremo de las direcciones IP (protocolo de internet) . La arquitectura del HIP introduce nuevos espacio de nombres, identidad del servidor (HI) basados en criptografía, y una nueva capa entre la capa de red y la capa de transporte. La nueva capa, que transporta la identidad del servidor, se denomina capa del servidor. El espacio de nombres de identidad del servidor se basa en claves públicas que de manera típica, pero no necesaria, se autogeneran.
La Internet actual tiene dos espacios de nombres globales, los nombres de dominio y las direcciones IP. Las direcciones IP se usan tanto como localizadores topológicos y como identidades de interfaz de red. Este rol doble de las direcciones IP limita la flexibilidad de la arquitectura de Internet y hace difícil la movilidad y la reenumeración de las direcciones IP. En particular, los protocolos de transporte, tal como UDP (protocolo de datagrama de usuario) o TCP (protocolo de control de transmisión) , están unidos a las direcciones IP y se desconectan cuando cambian las direcciones. La arquitectura del protocolo de identidad del servidor define un nuevo espacio global de nombres de Internet. El espacio de nombres de identidad del servidor separa los roles de nombre y localizador en la actualidad cubiertos por las direcciones IP. De acuerdo con HIP, la capa de transporte usa identidades del servidor en lugar de direcciones IP como nombres en punto extremo. Al mismo tiempo, la capa de red usa direcciones IP como localizadores puros.
La capa de identidad del servidor se añade como una unión entre la capa de transporte y la capa de red de la pila del protocolo. Cada servidor habilitado con HIP tiene uno o más identificadores del servidor (HI) . El identificador del servidor es una clave pública. El identificador del servidor se representa por un identificador de 128 bits de largo, una etiqueta de identidad del servidor (HIT) . La etiqueta de identidad del servidor se construye aplicando una función hash criptográfica sobre una clave pública. En HIP, los zócalos se ligan a los HI en lugar de a las direcciones IP. Las direcciones IP se usan para enrutar paquetes. Un procedimiento de inicio de sesión en una red basado en HIP se describe en GB2424154.
El HIP permite movilidad, multiorientación de multidirecciones, resistencia y seguridad de extremo a extremo a ataques de denegación de servicio (DoS) en un sistema de comunicaciones. Por lo tanto, pudiera desearse usar HIP como un protocolo de gestión de claves y autenticación genérico común. Sin embargo, un problema asociado al mismo es que los sistemas actuales sólo permiten usar HIP para autenticar y cifrar el tráfico de conexiones punto a punto. Esto es porque en un sistema más grande, cada nodo de red debería conocer todas las etiquetas de identidad del servidor e identidades del servidor necesarias. La única solución disponible sería, por lo tanto, usar tablas estáticas almacenadas en los nodos de red con el objetivo de asociar las HIT a los dominios de seguridad correspondientes (REALM) . Esto no sería muy práctico.
BREVE DESCRIPCIÓN DE LA INVENCIÓN
Un objeto de la presente invención es por lo tanto proporcionar un método y un aparato para implementar el método a fin de resolver el problema anterior. El objeto de la invención se logra mediante un método, un sistema, autenticador y servidor que se caracterizan por lo que se establece en las reivindicaciones independientes. Las modalidades preferidas de la invención se describen en las reivindicaciones dependientes.
La invención se refiere a la autenticación de usuarios en una red de acceso inalámbrico. La invención además se refiere a utilizar el protocolo de identidad del servidor HIP. La red de acceso comprende un nodo autenticador que recibe un paquete de datos, que incluye una etiqueta de identidad del servidor de un terminal de usuario. Sobre la base de la etiqueta de identidad del servidor, el nodo autenticador solicita información sobre una red propia del terminal de usuario desde un servidor de nombres. Ya que el servidor de nombres proporciona información sobre la red propia del terminal de usuario, el autenticador es capaz de transmitir una solicitud de autenticación, que incluye la etiqueta de identidad del servidor, hacia un servidor de autenticación de la red propia. El servidor recibe la solicitud de autenticación, comprueba la etiqueta de identidad del servidor, y si la etiqueta de identidad del servidor puede admitirse por el servidor, se transmite una respuesta de autenticación hacia el nodo autenticador. Después, una etiqueta de identidad del servidor del nodo autenticador se proporciona hacia el terminal de usuario.
Una ventaja de la invención es que permite que el protocolo de identidad del servidor (HIP) se use para autenticar y cifrar otras conexiones además de las conexiones punto a punto. Esto permite que HIP se use como un protocolo de autenticación y gestión de claves común en una red de comunicaciones, por ejemplo, en una red inalámbrica de área local WLAN. La invención permite el mapeo de una etiqueta iniciadora de identidad del servidor en la información a la que son capaces de responder las arquitecturas de red actuales.BREVE DESCRIPCIÓN DE LOS DIBUJOS
En lo que sigue la invención se describirá con mayor detalle por medio de modalidades preferidas con referencia a los dibujos adjuntos, en los cuales:
La Figura 1 ilustra un sistema de comunicaciones de acuerdo con la presente solución;
La Figura 2 ilustra una señalización de acuerdo con la presente solución;
La Figura 3 es un diagrama de flujo que ilustra el funcionamiento de un autenticador de red de acuerdo con la presente solución;
La Figura 4 es un diagrama de flujo que ilustra el funcionamiento de un servidor de autenticación, autorización y estadísticas de acuerdo con la presente solución.
DESCRIPCIÓN DETALLADA DE LA INVENCIÓN
En lo que sigue, las modalidades de la invención se describirán con referencia a un sistema de comunicaciones inalámbricas, tal como una WLAN. Esta invención, sin embargo, no pretende limitarse a estas modalidades. En consecuencia, la invención puede aplicarse a cualquier sistema de comunicaciones inalámbricas o móviles, tal como UMTS capaz de proporcionar un servicio de radio de paquetes conmutados. De manera especial las especificaciones de los sistemas de comunicaciones móviles WLAN y de tercera generación (3G) avanzan con rapidez. Esto puede requerir cambios adicionales a la invención. Por esta razón, la terminología y las expresiones usadas deberían interpretarse en su más amplio sentido dado que pretenden ilustrar la invención y no restringirla. El aspecto relevante de la invención es la funcionalidad en cuestión, no el elemento o equipo de la red donde se ejecuta.
Un identificador del servidor HI se refiere a una clave criptográfica. Este es una clave pública de un par de claves asimétricas. Un servidor tiene al menos una única identidad del servidor. La identidad del servidor, y el correspondiente identificador del servidor, pueden ser ya sea públicos (por ejemplo publicados en el DNS) o no publicados. Cuando se usa HIP el tráfico de carga útil real entre dos anfitriones de HIP se protege de manera típica utilizando un IP seguro (IPsec) . Las identidades del servidor se usan para crear asociaciones de seguridad IPsec SA y para autenticar los anfitriones. La identidad del servidor permite separar las capas de interconexión de redes y de transporte. Esto permite una evolución independiente de las dos capas. Otra característica es la autenticación de servidor. Debido a que el identificador del servidor es una clave pública, puede usarse para la autenticación en protocolos de seguridad como IPsec.
Una etiqueta de identidad del servidor (HIT) es una representación de 128 bits para una identidad del servidor. Esta se crea tomando un hash criptográfico sobre el correspondiente identificador del servidor. En los paquetes de HIP, las HIT identifican el remitente y el destinatario de un paquete. Una HIT es única en todo el universo IP mientras esté en uso. En la arquitectura de HIP, los identificadores del servidor toman el rol de identificadores en punto extremo.
El protocolo de identidad del servidor HIP proporciona una unión de los protocolos de la capa de transporte, en el cual las asociaciones de la capa de... [Seguir leyendo]
Reivindicaciones:
1. Un método para autenticar un terminal de usuario (UE) en un sistema de comunicaciones (S) , el sistema (S) que comprende un autenticador de red (HIP-R) de una red de acceso inalámbrico (WLAN) , en donde el autenticador de red (HIP-R) recibe al menos un paquete iniciador (2-2, 2-12) transmitido por el terminal de usuario (UE) a través de un punto de acceso (AP) , el paquete que incluye una etiqueta de identidad del servidor del terminal de usuario (UE) y caracterizado por las etapas siguientes:
transmitir, sobre la base del paquete iniciador, una solicitud de mapeo (2-3) desde el autenticador de red (HIP-R) hacia un servidor de nombres (ENUM) ;
recibir, en el autenticador de red (HIP-R) , una respuesta de mapeo (2-4) desde el servidor de nombres (ENUM) , la respuesta de mapeo (2-4) que incluye información sobre un servidor de red propia (AAAH) del terminal de usuario (UE) ;
transmitir, desde el autenticador de red (HIP-R) hacia el servidor de red propia (AAAH) , una solicitud de autenticación (2-5, 2-13) sobre la base de la respuesta de mapeo (2-4) , la solicitud de autenticación (2-5, 2-13) que además indica la etiqueta de identidad del servidor del terminal de usuario (UE) ; y
comprobar (2-6, 2-14) , en el servidor de red propia (AAAH) , la etiqueta de identidad del servidor del terminal de usuario (UE) ; en donde si la etiqueta de identidad del servidor del terminal de usuario (UE) es admisible para el servidor de red propia (AAAH) , el método comprende transmitir una respuesta de autenticación (2-7, 2-15) desde el servidor de red propia (AAAH) hacia el autenticador de red (HIP-R) generar (2-8, 2-16) , en el autenticador de red (HIP-R) , al menos un paquete contestador sobre la base de la respuesta de autenticación (2-7, 2-15) ; y
transmitir, hacia el terminal de usuario (UE) , el al menos un paquete contestador (2-10, 2-19) que incluye una etiqueta de identidad del servidor del autenticador de red (HIP-R) .
2. Un método de acuerdo con la reivindicación 1, caracterizado por usar la etiqueta de identidad del servidor del terminal de usuario (UE) y la etiqueta de identidad del servidor del autenticador de red (HIP-R) para autenticar el terminal de usuario (UE) .
3. Un método de acuerdo con la reivindicación 1 ó 2, caracterizado por utilizar un protocolo HIP para autenticar el terminal de usuario (UE) en una red inalámbrica de área local WLAN.
4. Un método de acuerdo con la reivindicación 1, 2 ó 3, caracterizado porque el protocolo de identidad del servidor HIP se aplica entre el terminal de usuario (UE) y el autenticador de red (HIP-R) .
5. Un método de acuerdo con cualquiera de las reivindicaciones 1 a 4, caracterizado porque el protocolo de autenticación, autorización y estadística AAA se aplica entre el autenticador de red (HIP-R) y el servidor de red propia (AAAH) .
6. Un método de acuerdo con cualquiera de las reivindicaciones 1 a 5, caracterizado por incluir un contestador de HIT en el autenticador de red (HIP-R) y/o un iniciador de HIT en el terminal de usuario (UE) .
7. Un método de acuerdo con cualquiera de las reivindicaciones 1 a 6, caracterizado por la solicitud de mapeo (2-3) que comprende una solicitud de mapeo de números de teléfono - servidor de nombres de dominio ENUM-DNS relacionada con un dominio de nivel superior creado o con un código de país E.164 específico de HIP reservado para el HIP.
8. Un método de acuerdo con cualquiera de las reivindicaciones 1 a 6, caracterizado por la solicitud de mapeo (2-3) que incluye una solicitud de registro de recursos de servidor SRV-RR.
9. Un método de acuerdo con cualquiera de las reivindicaciones 1 a 8, caracterizado por la respuesta de mapeo (24) que incluye un puntero de autoridad de denominación NAPTR.
10. Un método de acuerdo con cualquiera de las reivindicaciones 1 a 9, caracterizado porque comprende asociar una etiqueta de identidad del servidor HIT del terminal de usuario (UE) a un dominio de seguridad REALM para encontrar un servidor de autenticación (AAAH) de la red propia (CN) del terminal de usuario (UE) .
11. Un sistema de comunicaciones (S) que comprende
un terminal de usuario (UE) ,
un autenticador de red (HIP-R) de una red de acceso inalámbrico (WLAN) , y un servidor de red propia (AAAH) del terminal de usuario (UE) ,
en donde el sistema (S) se configura para transmitir, desde el terminal de usuario (UE) hacia el autenticador de red (HIP-R) , al menos un paquete iniciador que incluye una etiqueta de identidad del servidor del terminal de usuario (UE) y caracterizado porque se configura para:
transmitir, sobre la base de un primer paquete iniciador transmitido por el terminal de usuario (UE) , una solicitud de mapeo desde el autenticador de red (HIP-R) hacia un servidor de nombres (ENUM) ;
recibir, en el autenticador de red (HIP-R) , una respuesta de mapeo desde el servidor de nombres (ENUM) , la respuesta de mapeo que incluye información sobre el servidor de red propia (AAAH) del terminal de usuario (UE) ;
transmitir, desde el autenticador de red (HIP-R) hacia el servidor de red propia (AAAH) , al menos una solicitud de autenticación sobre la base de dicha información, la solicitud de autenticación que indica la etiqueta de identidad del servidor del terminal de usuario (UE) ; y
comprobar, en el servidor de red propia (AAAH) , la etiqueta de identidad del servidor del terminal de usuario (UE) ;
en donde si la etiqueta de identidad del servidor es admisible para el servidor de red propia (AAAH) , el sistema (S) se configura para transmitir al menos una respuesta de autenticación desde el servidor de red propia (AAAH) hacia el autenticador de red (HIP-R) ;
generar, en el autenticador de red (HIP-R) , al menos un paquete contestador sobre la base de la respuesta de autenticación, el paquete que incluye una etiqueta de identidad del servidor del autenticador de red (HIP-R) ; y
transmitir, desde el autenticador de red (HIP-R) hacia el terminal de usuario (UE) , el al menos un paquete contestador.
12. Un sistema de comunicaciones (S) de acuerdo con la reivindicación 11, caracterizado porque se dispone para usar la etiqueta de identidad del servidor del terminal de usuario (UE) y la etiqueta de identidad del servidor del autenticador de red (HIP-R) para autenticar el terminal de usuario (UE) .
13. Un sistema de comunicaciones (S) de acuerdo con la reivindicación 11 ó 12, caracterizado porque se dispone para asociar una etiqueta de identidad del servidor HIT a un dominio de seguridad REALM para encontrar un servidor de autenticación (AAAH) de la red propia (CN) del terminal de usuario (UE) .
Patentes similares o relacionadas:
Dispositivo inalámbrico y procedimiento para visualizar un mensaje, del 25 de Marzo de 2020, de QUALCOMM INCORPORATED: Un dispositivo inalámbrico para visualizar un mensaje, comprendiendo el dispositivo inalámbrico: un visualizador gráfico ; una unidad de comunicaciones inalámbricas […]
Método de indicación de disponibilidad de servicio para terminales de radiofrecuencia de corto alcance, con visualización de icono de servicio, del 26 de Febrero de 2020, de Nokia Technologies OY: Un método que comprende: recibir, en un dispositivo , información de icono de un dispositivo de origen en conexión con descubrimiento de dispositivo […]
Procedimiento y aparato para la transmisión de entramado con integridad en un sistema de comunicación inalámbrica, del 6 de Noviembre de 2019, de QUALCOMM INCORPORATED: Un procedimiento para el entramado de paquetes en un sistema de transmisión inalámbrico que admite transmisiones de radiodifusión, el procedimiento que comprende: […]
Aparato y procedimiento para usar en la realización de peticiones de repetición automática en sistemas de comunicaciones de acceso múltiple inalámbricas, del 6 de Noviembre de 2019, de QUALCOMM INCORPORATED: Un procedimiento para usar en un sistema de comunicaciones inalámbricas que comprende al menos una estación base y al menos dos terminales inalámbricos […]
Procedimiento y aparato para sistemas inalámbricos de activación, del 31 de Octubre de 2019, de QUALCOMM INCORPORATED: Un procedimiento para controlar de forma inalámbrica una tarjeta de interfaz de red NIC (108 A-N) usando una red inalámbrica , con la NIC (108 A-N) […]
Método y sistema para visualizar un nivel de confianza de las operaciones de comunicación de red y la conexión de servidores, del 16 de Octubre de 2019, de Nokia Technologies OY: Un método que comprende: recibir, en un servidor , una primera solicitud para un análisis de una primera operación de comunicación desde […]
Un protocolo de red agile para comunicaciones seguras con disponibilidad asegurada de sistema, del 11 de Septiembre de 2019, de VirnetX Inc: Un método para un primer nodo para establecer una sesión con un segundo nodo , el método se realiza en el primer nodo , en el que […]
Dispositivo de nodo para una red de sensores inalámbricos, del 10 de Julio de 2019, de Wirepas Oy: Un dispositivo de nodo para una red de sensores inalámbricos, comprendiendo el dispositivo de nodo: - un transceptor […]