Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica.

Un procedimiento de interconexión de una red (202) de área local inalámbrica,

WLAN con un sistema de comunicación celular, que comprende:

recibir, de la WLAN (202), una petición de acceso para un usuario del sistema de comunicación celular;

determinar una capacidad de autenticación de una estación móvil (208) desde una base (210) de datos usando una identidad recibida de dicha estación móvil (208), en el que dicha capacidad de autenticación comprende bien un algoritmo de autenticación celular y cifrado de voz, CAVE, o bien un algoritmo de acuerdo de clave de autenticación, AKA;

determinar un estado de autenticación del usuario, en el que el procedimiento para determinar el estado de autenticación depende de la capacidad de autenticación de la estación móvil (208), en el que la determinación de un estado de autenticación del usuario comprende enviar un mensaje de desafío de acceso a la WLAN (202; y recibir una respuesta de acceso de la WLAN (202); y proporcionar una respuesta que indica el estado de autenticación a la WLAN (202).

Función de interoperación para la autenticación de un terminal en una red de área local Inalámbrica

Antecedentes

Campo

La presente invención se refiere a una función de interoperación para un sistema de comunicación y, más específicamente, a mecanismos para la autenticación común y el intercambio de claves a través de una función de ¡nteroperación para su uso en una red de área local inalámbrica (WLAN).

Antecedentes

Una red de área local inalámbrica (WLAN) permite a los usuarios un acceso prácticamente sin restricciones a redes de servicios y datos del protocolo de Internet (IP). El uso de una WLAN no se limita a ordenadores portátiles y otros dispositivos informáticos, sino que se está expandiendo rápidamente para Incluir teléfonos móviles, asistentes digitales personales (PDA) y otros pequeños dispositivos inalámbricos con soporte por parte de una red o portadora externa. Por ejemplo, un dispositivo inalámbrico que se comunica a través de una portadora celular puede ¡tinerar hacia una WLAN en un clbercafé o espacio de trabajo. En esta situación, el dispositivo Inalámbrico tiene acceso al sistema celular, pero desea acceder a la WLAN. El acceso a la WLAN requiere autenticación. Como el dispositivo inalámbrico ya ha obtenido acceso al sistema celular, la necesidad de otra autenticación es redundante. Hay una necesidad, por tanto, de una función de interoperación que permita una autenticación común para el acceso a un sistema celular y a una WLAN.

Se reclama atención al artículo "Wlreless LAN Access Architecture for Moblle Operators": Ala-Laurlla, J et al. Revista de Comunicación de IEEE, páginas 82 a 89, noviembre de 2001; Centro de Servicio de IEEE, Plscataway, N.J., EE UU. El artículo describe una arquitectura de sistema de LAN que combina tecnología de acceso por radio a WLAN con funciones de gestión de abonados basadas en el SIM del operador móvil e Infraestructuras de itlnerancia. En el sistema revelado el acceso a la WLAN es autenticado y facturado usando el SIM del GSM.

Sumario

Según la presente invención, se proporcionan un procedimiento y un aparato para la interconexión de una red de área local Inalámbrica con un sistema de comunicación, como se establece en las reivindicaciones 1 y 7, respectivamente. Realizaciones adicionales se reivindican en las reivindicaciones dependientes.

Breve descripción de los dibujos

La FIG. 1 es un sistema de comunicación que incluye una red de área local inalámbrica (WLAN).

La FIG. 2 es un sistema de comunicación que tiene una unidad de función de interoperación (IWF).

La FIG. 3 es un diagrama de sincronismo de un proceso de autenticación en un sistema de comunicación La FIG. 4 es un diagrama de flujo de un proceso de autenticación.

La FIG. 5 es un diagrama de sincronismo de un proceso de autenticación en un sistema de comunicación.

La FIG. 6 es un diagrama de flujo de un proceso de autenticación en una IWF en un sistema de comunicación.

La FIG. 7 es un diagrama de flujo del procesamiento de autenticación en una estación móvil.

Descripción detallada

El término "ejemplar" se usa en el presente documento con el significado de "que sirve como un ejemplo, caso o ilustración". Cualquier realización descrita en el presente documento como "ejemplar" no debe interpretarse necesariamente como preferida o ventajosa respecto a otras realizaciones.

Una estación de abonado HDR, denominada en el presente documento un terminal de acceso (AT), puede ser móvil o fija, y puede comunicarse con una o más estaciones base HDR, denominadas en el presente documento transceptores de banco de módems (MPT). Un terminal de acceso transmite y recibe paquetes de datos a través de uno o más transceptores de banco de módems a un controlador de estación base HDR, denominado en el presente documento un controlador de banco de módems (MPC). Los transceptores de banco de módems y controladores de banco de módems son partes de una red denominada red de acceso. Una red de acceso transporta paquetes de datos entre múltiples terminales de acceso. La red de acceso puede estar conectada además a redes adicionales fuera de la red de acceso, tales como una intranet corporativa o Internet, y puede transportar paquetes de datos entre cada terminal de acceso y tales redes externas. Un terminal de acceso que ha establecido una conexión de canal de tráfico activo con uno o más transceptores de banco de módems se denomina terminal de acceso activo, y se dice que está en estado de tráfico. Un terminal de acceso que está en el proceso de establecer una conexión de canal de tráfico activo con uno o más transceptores de banco de módems se dice que está en un estado de establecimiento de conexión. Un terminal de acceso puede ser cualquier dispositivo de datos que se comunica a través de una canal inalámbrico o a través de un canal por cable usando, por ejemplo, fibra óptica o cables coaxiales.

Un terminal de acceso puede ser además cualquiera entre varios tipos de dispositivos que incluyen, pero no se limitan a, tarjeta de PC, tarjeta Compact Flash, módem externo o interno, o teléfono Inalámbrico o de línea fija. El enlace de comunicación a través del cual el terminal de acceso envía señales al transceptor de banco de módems se denomina enlace inverso. El enlace de comunicación a través del cual un transceptor de banco de módems envía señales a un terminal de acceso se denomina enlace directo.

Se ilustra una red 100 de de área local inalámbrica (WLAN) en la FIG. 1 que tiene múltiples puntos 106, 108, 110 de acceso (AP). Un AP es un concentrador o puente que proporciona un control de topología en estrella del lado inalámbrico de la WLAN 100, así como acceso a la red por cable.

Cada AP 106, 108, 110, así como otros no mostrados, da soporte a una conexión a un servicio de datos, tal como Internet. Una estación 102 de trabajo, tal como un ordenador portátil, u otro dispositivo Informático digital, se comunica con un AP a través de la interfaz aérea, de ahí la expresión LAN Inalámbrica. El AP se comunica entonces con un servidor de autenticación (AS) o centro de autenticación (AC). El AC es un componente para realizar servicios de autenticación para dispositivos que solicitan su admisión a una red. Las implementaciones incluyen el servicio de usuario de acceso telefónico de autenticación remota (RADIUS), que es una autenticación de usuario de Internet descrita en el documento RFC 2138, "Remóte Autenticaron Dial in User Service (RADIUS)" de C. Rlgney et al., publicado en abril de 1997, y otros servidores de autenticación, autorización y contabilidad (AAA).

La conexión inalámbrica a redes está surgiendo como un aspecto significativo de la operación entre redes. Presenta un conjunto de aspectos únicos basado en el hecho de que el único límite de una red inalámbrica es la Intensidad de la señal de radio. No hay ningún cableado para definir la pertenencia como miembro en una red. No hay ningún procedimiento físico que restrinja a un sistema dentro del alcance de radio para que sea un miembro de una red inalámbrica. La conexión inalámbrica a redes, más que cualquier otra tecnología de conexión a redes, necesita un mecanismo de control de acceso y autenticación. Diversos grupos están trabajando actualmente en el desarrollo de un mecanismo de autenticación estándar. Actualmente, la norma aceptada es la IEEE 802.11.

La naturaleza de una red basada en RF la deja abierta a la interceptación de paquetes por cualquier radio dentro del alcance de un transmisor. La interceptación puede producirse bastante lejos del alcance de "trabajo" de los usuarios, usando antenas de alta ganancia. Con herramientas fácilmente disponibles, el intruso no se limita simplemente a recopilar paquetes para su análisis posterior, sino que puede ver efectivamente sesiones interactivas, como páginas web que está visualizando un usuario inalámbrico válido. Un intruso también puede captar Intercambios de autenticación débiles, como algunos inicios de sesión en sedes de la web. El Intruso podría duplicar después el inicio de sesión y obtener acceso.

Una vez que un atacante ha obtenido el conocimiento de cómo una WLAN controla la admisión, puede o bien obtener su admisión a la red por sí mismo, o bien robar un acceso de usuario válido. Robar un acceso de usuario es sencillo si el atacante puede imitar la dirección MAC del usuario válido y usar su dirección IP asignada. El atacante espera hasta que el sistema válido deje de usar la red y entonces asume su posición en la red. Esto permitiría a un atacante el acceso directo a todos los dispositivos dentro de una red, o usar la red para obtener acceso a la... [Seguir leyendo]

I.- Un procedimiento de interconexión de una red (202) de área local inalámbrica, WLAN con un sistema de comunicación celular, que comprende:

recibir, de la WLAN (202), una petición de acceso para un usuario del sistema de comunicación celular; determinar una capacidad de autenticación de una estación móvil (208) desde una base (210) de datos usando una identidad recibida de dicha estación móvil (208), en el que dicha capacidad de autenticación comprende bien un algoritmo de autenticación celular y cifrado de voz, CAVE, o bien un algoritmo de acuerdo de clave de autenticación, AKA;

determinar un estado de autenticación del usuario, en el que el procedimiento para determinar el estado de autenticación depende de la capacidad de autenticación de la estación móvil (208), en el que la determinación de un estado de autenticación del usuario comprende enviar un mensaje de desafío de acceso a la WLAN (202; y recibir una respuesta de acceso de la WLAN (202); y proporcionar una respuesta que indica el estado de autenticación a la WLAN (202).

2 - El procedimiento según la reivindicación 1, en el que la determinación del estado de autenticación comprende enviar una petición de autenticación al sistema de comunicación; y recibir el estado de autenticación para el usuario desde el sistema de comunicación celular.

3.- El procedimiento según la reivindicación 2, en el que la petición de autenticación incluye la respuesta de acceso desde la WLAN (202).

4.- El procedimiento según la reivindicación 2 que comprende, además, recibir información de seguridad desde el sistema de comunicación celular para el usuario, y generar una clave de cifrado para el usuario en respuesta a la información de seguridad.

5.- El procedimiento según la reivindicación 1 que comprende, además generar una clave de cifrado para el usuario.

6.- Un aparato de interconexión de una red (202) de área local inalámbrica, WLAN con un sistema de comunicación celular, que comprende:

medios de recepción, a través de la WLAN (202), de una petición de acceso para un usuario del sistema

de comunicación celular;

medios para determinar una capacidad de autenticación de una estación móvil (208) a partir de una base de datos (210) usando una identidad recibida de dicha estación móvil (208), en el que dicha capacidad de autenticación comprende bien un algoritmo de autenticación celular y cifrado de voz, CAVE, o bien el algoritmo de acuerdo de clave de autenticación, AKA.

medios para determinar el estado de autenticación del usuario, en el que el procedimiento para determinar el estado de autenticación depende de la capacidad de autenticación de la estación móvil (208), en el que los medios para determinar un estado de autenticación del usuario están configurados para enviar un mensaje de desafío de acceso a la WLAN (202) y recibir una respuesta de acceso desde la WLAN (202); y

medios para proporcionar una respuesta que indica el estado de autenticación a la WLAN (202).

7.- El aparato según la reivindicación 6 que comprende, además, medios para enviar una petición de autenticación al sistema de comunicación, y medios para recibir el estado de autenticación para el usuario a partir del sistema de comunicación celular

8.- El aparato según la reivindicación 7, en el que la petición de autenticación incluye la respuesta de acceso desde la WLAN (202).

9.- El aparato según la reivindicación 7, que comprende, además, medios para recibir información de seguridad desde el sistema de comunicación celular para el usuario, y medios para generar una clave de cifrado para el usuario en respuesta a la información de seguridad.

10.- El aparato según la reivindicación 6, que comprende, además medios para generar una clave de cifrado para el usuario.

II. Un producto de programa de ordenador que comprende instrucciones que cuando son ejecutadas por un procesador hacen que el procesador lleve a cabo el procedimiento de una cualquiera de las reivindicaciones 1 a 5.