Método, estación móvil, sistema y procesador de red para utilizar en comunicaciones móviles.

Un método (200) de funcionamiento en un sistema de comunicación móvil (100),

que incluye las etapas de:una estación móvil (101) enviando (207) a una red visitada (103) un registro de servicios certificado, proporcionadopor una red propia (102), de servicios de comunicación cuya prestación se permite para la estación móvil (101),estando acompañado del registro de servicios por, o incluyendo, un código de certificado aplicado por la red propia(102) mediante un procedimiento de cálculo aplicado a contenidos del registro de servicios utilizando una clave deautenticación;

la red visitada (103) calculando (211) un código de autenticación para el registro de servicios recibido desde laestación móvil (101) utilizando una clave de autenticación contenida por la red visitada (103);

la red visitada (103) autenticando (212) el registro de servicios recibido, mediante la determinación de que el códigode autenticación calculado se corresponde con el código de certificado recibido desde la estación móvil (101); yla red visitada (103) proporcionando (215) servicios de comunicación a la estación móvil (101) basándose en elregistro de servicios autenticado.

Método, estación móvil, sistema y procesador de red para utilizar en comunicaciones móviles

CAMPO DE LA INVENCIÓN

La presente invención se refiere a un método, una estación móvil, un sistema y un procesador de red para utilizar en comunicaciones móviles. En particular, la invención se refiere al establecimiento de suministro de servicios de comunicación a una estación móvil que puede migrar entre diferentes redes de comunicación.

ANTECEDENTES DE LA INVENCIÓN

Un sistema de comunicación celular o con concentración de enlaces es uno en el que los terminales de usuario móviles o portátiles, tales como teléfonos móviles, o radios portátiles o montadas en vehículos, en el presente documento denominados colectivamente 'estaciones móviles' o 'MSs', pueden comunicar mediante una infraestructura de sistema que incluye generalmente una o varias estaciones base fijas (estaciones base transceptoras) y otras instalaciones de encaminamiento y control. Cada estación base tiene uno o varios transceptores y da servicio a las MS en un área o región dada, conocida como 'celda', mediante comunicación inalámbrica. A menudo, las celdas de estaciones base vecinas están solapadas.

Puede considerarse que un sistema de comunicación móvil que proporciona cobertura de área extensa está formado por una serie de redes interconectadas. Cada red incluye normalmente un grupo de celdas denominado a menudo una 'zona'. La infraestructura de cada red comprende normalmente, además de las estaciones base que dan servicio a las estaciones móviles en las respectivas celdas de la zona, un encaminador (que puede denominarse asimismo un conmutador) que encamina comunicaciones hacia y desde la red, y dentro de la red. El encaminador puede estar asociado con, o formar parte de, un controlador de zona que puede proporcionar otras funciones de gestión dentro de la red, tal como proporcionar la administración de las estaciones base a nivel de red. La infraestructura puede incluir asimismo un procesador de autenticación que autentica y registra MSs para utilizar la red. Las redes de diferentes zonas, en particular los encaminadores y procesadores de autenticación de dichas redes, pueden comunicar mediante diversos medios conocidos, tal como comunicación por ondas de radio o microondas, comunicación eléctrica cableada u óptica, o internet.

Es habitual que una MS del usuario particular registrado con un operador del sistema móvil tenga una red 'propia' que proporciona normalmente un servicio de comunicación al usuario. Si el usuario se desplaza a otra región no cubierta por la red propia, por ejemplo a una parte diferente del país del usuario o a un país extranjero, el usuario puede recibir un servicio desde la red local, como una red visitada. Normalmente, es necesario completar satisfactoriamente un proceso de autenticación que involucra la red propia del usuario y la red visitada, junto con el registro de la MS visitante mediante la red visitada.

Por ejemplo, un tipo particular de sistema de comunicación móvil ampliamente utilizado en Europa y en otras partes para soportar comunicaciones dentro de organizaciones, tal como servicios públicos de seguridad y empresas, es un sistema TETRA. Dicho sistema está diseñado para funcionar de acuerdo con el 'protocolo' o procedimientos estándar TETRA (Terrestrial Trunked Radio, radio terrestre con concentración de enlaces) definido por el Instituto Europeo de Normas de Telecomunicaciones (ETSI, European Telecommunication Standards Institute) . Generalmente, los sistemas TETRA soportan la migración de MS desde una red propia a una red visitada, y la provisión de servicios en la red visitada. Otro sistema que está diseñado para ser utilizado de manera similar es el sistema APCO 25, que es un sistema que funciona de acuerdo con el estándar APCO 25 definido por la Asociación de Funcionarios de Comunicaciones de Seguridad Pública - Internacional (APCO, Association of Public Safety Communications Officials International) , estandarizado por la Asociación de la Industria de Telecomunicaciones (TIA, Telecommunications Industr y Association) de EE.UU.

Normalmente, cuando una MS solicita su registro por una red visitada, los servicios específicos a proporcionar a la MS tienen que ser determinados por la red visitada durante el procedimiento de autenticación y registro. En los sistemas conocidos, los servicios a proporcionar son determinados por la red visitada obteniendo de la red propia un registro de servicios que proporciona detalles de los servicios que se permite proporcionar a la MS. Los servicios pueden variar de una MS a otra, en función, por ejemplo, de la implementación particular de la MS o del departamento de la organización, o la antigüedad dentro de la organización o departamento del usuario de la MS. Normalmente, la red visitada proporciona servicios que están en consonancia con los permitidos en la red propia y son especificados por la red propia cuando lo solicita la red visitada. Por lo tanto, en los sistemas conocidos se requiere una comunicación entre la red visitada y la red propia, de la información relativa a los servicios permitidos. La autenticación y el registro de la MS mediante una red visitada puede retardarse de manera no deseable debido a la necesidad de dicha comunicación, especialmente cuando una serie de MSs han migrado y solicitado información a la vez.

Además, no es posible ningún registro si hay un fallo en una conexión de comunicación entre las redes.

El documento de LONG M y otros, 'Localised Authentication for inter-network roaming across wireless LANs'-WLAN systems and interworking, IEE PROCEEDINGS: COMMUNICATIONS, INSTITUTION OF ELECTRICAL ENGINEERS, GB, volumen 151, número 5, 9 de junio de 2004 (09/07/2004) , páginas 496 a 500, XP006022619, ISSN: 1350-2425, DOI:10.1049/IP-Com:20040661, describe una propuesta para un sistema que podría haberse desarrollado. Con dicha propuesta, se proporcionaría una autenticación manual inicial en un sistema de LANs inalámbricas. El objetivo era evitar el retardo implicado cuando una red propia tiene que adoptar una decisión de 'aceptar' o 'rechazar', en el momento en que un usuario intenta por primera vez acceder a una LAN diferente a la LAN doméstica. El enfoque propuesto hubiera evitado asimismo la vulnerabilidad a cualquier fallo de una red intermedia. Una red visitada validaría una firma proporcionada por un usuario que desea ser autenticado por la red visitada. La red visitada y el usuario podrían obtener a continuación un 'secreto compartido', que podría ser utilizado para la autenticación subsiguiente cuando el usuario itinera a continuación dentro de la red visitada.

RESUMEN DE LA INVENCIÓN

De acuerdo con la presente invención, en un primer aspecto se da conocer un método de funcionamiento en un sistema de comunicación móvil, siendo el método tal como se define en la reivindicación 1 de las reivindicaciones adjuntas.

De acuerdo a la presente invención, en un segundo aspecto se da a conocer una estación móvil tal como la definida en la reivindicación 13 de las reivindicaciones adjuntas.

De acuerdo con la presente invención, en un tercer aspecto se da a conocer un procesador para utilizar como un procesador de autenticación en una red propia de un sistema de comunicación móvil, siendo el procesador tal como se define en la reivindicación 14 de las reivindicaciones adjuntas.

De acuerdo con la presente invención, en un cuarto aspecto se da conocer un procesador para utilizar como un procesador de autenticación en una red visitada de un sistema de comunicación móvil, siendo el procesador tal como se define el la reivindicación 15 de las reivindicaciones adjuntas.

Se definen características adicionales de la invención en las reivindicaciones dependientes adjuntas, y se dan a conocer en la descripción de realizaciones de la invención proporcionada más adelante en este documento.

BREVE DESCRIPCIÓN DE LOS DIBUJOS

La figura 1 es un diagrama esquemático de bloques de un sistema de comunicación móvil en el que pueden aplicarse realizaciones de la invención.

La figura 2 es un diagrama de flujo de un método que realiza la presente invención para su utilización en el sistema de la figura 1.

DESCRIPCIÓN DE REALIZACIONES DE INVENCIÓN

La figura 1 es un diagrama de bloques que muestra un sistema de comunicación móvil 100 ilustrativo, en el que pueden aplicarse realizaciones de la invención. Para mayor simplicidad, en la figura 1 se muestran solamente componentes básicos del sistema 100. El sistema 100 incluye una MS (estación móvil) 101 y dos redes 102, 103. El sistema 100 puede incluir otras MSs y otras redes (no mostradas) . La red 102 es la red propia de la MS... [Seguir leyendo]

1. Un método (200) de funcionamiento en un sistema de comunicación móvil (100) , que incluye las etapas de:

una estación móvil (101) enviando (207) a una red visitada (103) un registro de servicios certificado, proporcionado por una red propia (102) , de servicios de comunicación cuya prestación se permite para la estación móvil (101) , estando acompañado del registro de servicios por, o incluyendo, un código de certificado aplicado por la red propia (102) mediante un procedimiento de cálculo aplicado a contenidos del registro de servicios utilizando una clave de autenticación;

la red visitada (103) calculando (211) un código de autenticación para el registro de servicios recibido desde la estación móvil (101) utilizando una clave de autenticación contenida por la red visitada (103) ;

la red visitada (103) autenticando (212) el registro de servicios recibido, mediante la determinación de que el código de autenticación calculado se corresponde con el código de certificado recibido desde la estación móvil (101) ; y

la red visitada (103) proporcionando (215) servicios de comunicación a la estación móvil (101) basándose en el registro de servicios autenticado.

2. Un método (200) acorde con la reivindicación 1, en el que:

la estación móvil (101) recupera (207) de su memoria (106) el registro de servicios certificado y envía el registro de servicios certificado en asociación con una solicitud de servicios de comunicación por parte de la red visitada (103) .

3. Un método (200) acorde con la reivindicación 1 ó 2, en el que: la red visitada (103) recupera (209) de su memoria (120) la clave de autenticación.

4. Un método (200) acorde con cualquiera de las reivindicaciones anteriores, que incluye: la red visitada (103) obteniendo la clave de autenticación desde un terminal de emisión de claves (123) ; y la red propia (102) obteniendo la misma clave desde el terminal de emisión de claves (123) para su utilización en el

cálculo del código de certificado por la red propia (102) .

5. Un método (200) acorde con la reivindicación 4, en el que: el terminal de emisión de claves (123) está en la red propia (102) .

6. Un método (200) acorde con cualquiera de las reivindicaciones anteriores 2 a 5, que incluye la red visitada (103) recibiendo (208) y almacenando el código de autenticación antes de la solicitud procedente de la estación base (101) , y a continuación:

(i) recuperar (209) la clave de autenticación almacenada;

(ii) llevar a cabo el procedimiento de cálculo (211) para calcular el código de autenticación utilizando la clave recuperada y el mensaje de servicio recibido;

(iii) comparar (212) el código de autenticación calculado, con el código de certificado recibido desde la estación base (101) a efectos de autenticar el registro de servicios recibido desde la estación base (101) ; y

(iv) cuando el código de autenticación calculado y el código de certificado se corresponden proporcionando autenticación al registro de servicios recibido, proporcionar (215) servicios de comunicación a la estación móvil (101) de acuerdo con el registro de servicios autenticado; sin comunicar con la red propia (102) después de la solicitud procedente de la estación móvil (101) .

7. Un método (200) acorde con la reivindicación 6, en el que:

cuando la red visitada (103) es incapaz de encontrar una correspondencia entre el código de certificado recibido desde la estación móvil (101) y el código de autenticación que ha calculado utilizando la última clave de autenticación almacenada por la red visitada (103) , la red visitada (103) recupera (219) por lo menos una clave de autenticación almacenada recibida antes que la última clave; y lleva a cabo por lo menos un procedimiento de autenticación (212) adicional utilizando dicha por lo menos una clave anterior recuperada, a efectos de encontrar un código de autenticación calculado que se corresponda con el código de certificado recibido desde la estación móvil (101) .

8. Un método (200) acorde con cualquiera de las reivindicaciones anteriores, que incluye:

una red propia (102) que produce un código de certificado del registro de servicios, mediante llevar a cabo un procedimiento de cálculo utilizando la última clave de autenticación recibida y contenidos del registro de servicios; añadir (202) el código de certificado utilizado en el cálculo del registro de servicios de la estación móvil (101) al

registro de servicios, para producir un registro de servicios certificado; y enviar (203) el registro de servicios certificado a la estación móvil (101) mediante comunicación inalámbrica; y la estación móvil (101) almacena en una memoria (106) el registro de servicios certificado.

9. Un método (200) acorde con la reivindicación 8, en el que: el código de certificado se produce a partir de datos que forman los contenidos completos del registro de servicios.

10. Un método (200) acorde con cualquiera de las reivindicaciones anteriores, en el que el registro de servicios de la estación móvil (101) incluye uno o varios de los siguientes:

(i) Un permiso de acceso al sistema, que indica que se permite a la estación móvil (101) o a su actual usuario autorizado, utilizar el sistema para comunicaciones móviles;

(ii) Capacidad de interconexión individual, que indica si se permite a la estación móvil (101) participar en llamadas interconectadas que tienen lugar dentro del sistema;

(iii) Capacidad semidúplex/dúplex, que indica si se permite a la estación móvil (101) participar en llamadas semidúplex o dúplex dentro del sistema;

(iv) Capacidad de cifrado, que indica si se permite a la estación móvil (101) transmitir o recibir comunicaciones inalámbricas cifradas, y el nivel o tipo de seguridad de cifrado a aplicar;

(v) Nivel de prioridad, que indica qué nivel de prioridad se permite para realizar o recibir llamadas por la estación móvil (101) ;

(vi) Capacidad de transferencia de datos, que indica la capacidad o caudal de datos que se permite enviar hacia o desde la estación móvil (101) ;

(vii) Autorización de redes, que indica la identidad de una o varias redes del sistema con las que se permite a la estación móvil (101) registrarse como red visitada (103) ;

(viii) Pertenencias a grupos, que indican la identidad del grupo o grupos de estaciones móviles, de los que la estación móvil (101) es miembro, y a los que le está permitido unirse cuando está establecida o estableciéndose una llamada entre el grupo.

11. Un método (200) acorde con cualquiera de las reivindicaciones anteriores, en el que el registro de servicios producido por la red propia (102) incluye uno o varios de los siguientes:

(i) un número de serie del registro de servicios de la estación móvil (101) ;

(ii) una fecha de emisión del registro de servicios de la estación móvil (101) ;

(iii) una identidad de la red propia (102) que emite el registro de servicios de la estación móvil (101) .

12. Un método (200) acorde con cualquiera de las reivindicaciones anteriores, en el que el registro de servicios está cifrado.

13. Un estación móvil (101) operativa para:

recibir (203) desde una red que es su red propia (102) , un registro de servicios certificado de servicios de comunicación que se permite proporcionar a la estación móvil (101) , estando acompañado de, o incluyendo, un registro de servicios un código de certificado calculado por la red propia (102) utilizando un procedimiento de cálculo que utiliza una clave de autenticación y contenidos del registro de servicios;

almacenar el registro de servicios certificado en su memoria (106) ;

recuperar (207) de su memoria (106) el registro de servicios certificado y comunicar a una red visitada (103) el registro de servicios certificado incluyendo el código de certificado calculado; y

obtener servicios de comunicación desde la red visitada (103) en respuesta a que la red visitada (103) reciba el registro de servicios certificado y autentique el registro de servicios mediante calcular un código de autenticación utilizando el registro de servicios recibido y una clave de autenticación mantenida por la red visitada (103) y compruebe la correspondencia (212) del código de autenticación calculado, con el código de certificado enviado por la estación móvil (101) , basándose los servicios de comunicación en el registro de servicios autenticado.

14. Un procesador (109) para utilizar como un procesador de autenticación en una red (100) de un sistema de comunicación móvil (100) que incluye asimismo una estación móvil (101) , siendo la red una red propia (102) de la estación móvil (101) , el procesador (109) siendo operativo para:

recibir (201) una clave de autenticación procedente de un terminal de emisión de claves (123) ;

producir (202) un registro de servicios para la estación móvil (101) , el registro de servicios siendo de servicios de comunicación que se permite proporcionar a la estación móvil (101) ,

producir un código de certificado relativo al registro de servicios mediante llevar a cabo un procedimiento de cálculo aplicado al registro de servicios utilizando la clave de autenticación;

añadir el código de certificado al registro de servicios para formar un registro de servicios certificado; y

enviar (203) el registro de servicios certificado a la estación móvil (101) mediante comunicación inalámbrica desde una estación base (107) de la red propia (102) para su almacenamiento por la estación móvil (101) .

15. Un procesador (119) para su utilización como procesador de autenticación en una red (100) de un sistema de comunicación móvil (100) que incluye asimismo una estación móvil (101) , la red siendo una red (103) visitada por la estación móvil (101) cuando la estación móvil (101) no está siendo servida por su red propia (102) , el procesador

(119) siendo operativo para:

recibir (208) una clave de autenticación procedente de un terminal de emisión de claves (123) ;

recibir (207) desde la estación móvil (101) un registro de servicios certificado, proporcionado por una red propia (102) de la estación móvil (101) , de servicios de comunicación que se permite proporcionar a la estación móvil (101) , el registro de servicios estando acompañado de, o incluyendo, un código de certificado aplicado por la red propia (102) , siendo el código de certificado un código producido mediante un procedimiento de cálculo que utiliza contenidos del registro de servicios y una clave de autenticación;

calcular (211) un código de autenticación para el registro de servicios recibido, mediante un procedimiento de cálculo que utiliza contenidos del registro de servicios recibido y la clave de autenticación recibida;

autenticar (212) el registro de servicios recibido mediante comprobar la correspondencia del código de certificado recibido con el código de autenticación calculado; y

proporcionar (215) servicios de comunicación a la estación móvil (101) en base al registro de servicios autenticado.