Transmisión asegurada de datos en un sistema de comunicaciones.

Un procedimiento para proporcionar un servicio de seguridad al tráfico de datos en un sistema (S) de comunicaciones que implementa el protocolo IPv6 móvil delegado,

comprendiendo el sistema (S) una red (N1) del operador de origen,

una red (N2, N3, N4) del operador de itinerancia,

una red (GRXa, GRXb) del operador de interconexión, y

uno o más terminales (UE1-2, UE1-3, UE1-4) de usuario,

comprendiendo el procedimiento establecer al menos una asociación de seguridad de IPsec, específica del operador, para asegurar el tráfico de datos en el sistema (S),

caracterizado porque el procedimiento comprende

establecer una primera asociación (SA1) de seguridad individual entre un nodo ancla (LMA1) situado en la red (N1) del operador de origen y un nodo concentrador (Ha, Hb) situado en la red (GRXa, GRXb) del operador de interconexión, en donde el nodo concentrador (Ha, Hb) es un nodo delegado;

establecer una segunda asociación (SA2, SA3, SA4) de seguridad individual entre un nodo (MAG2, MAG3) de acceso situado en la red (N2, N3, N4) del operador de itinerancia y el nodo concentrador (Ha, Hb) situado en la red (GRXa, GRXb) del operador de interconexión; y

transmitir tráfico de datos entre el nodo ancla (LMA1) situado en la red (N1) del operador de origen y dichos uno o más terminales (UE1-2, UE1-3, UE1-4) de usuario itinerantes en la red (N2, N3, N4) del operador de itinerancia, de modo que el tráfico de datos transmitido entre el nodo ancla (LMA1) y el nodo concentrador (Ha, Hb) sea asegurado usando la primera asociación (SA1) de seguridad individual, y el tráfico de datos transmitido entre el nodo (MAG2, MAG3) de acceso y el nodo concentrador (Ha, Hb) sea asegurado usando la respectiva segunda asociación (SA2, SA3, SA4) de seguridad individual, en donde la red (N1) del operador de origen es la red de origen de dichos uno o más terminales (UE1-2, UE1-3, UE1-4) de usuario que están representados por la misma primera asociación (SA1) de seguridad individual entre el nodo concentrador (Ha, Hb) y el nodo ancla (LMA1).

Transmisión asegurada de datos en un sistema de comunicaciones Campo de la invención La presente invención se refiere a proporcionar un servicio de transmisión asegurada de datos a un terminal de usuario itinerante en un sistema de comunicaciones inalámbricas.

Antecedentes de la invención Las redes de comunicaciones móviles mejoradas, tales como 3GPP Rel-8, WiMAX Móvil y 3GPP2, darán soporte al protocolo IPv6 móvil delegado como una de las soluciones de movilidad para el tráfico de datos basado en paquetes. El protocolo IPv6 móvil delegado implica a una pasarela de acceso a movilidad (MAG) situada en la red de acceso, para proporcionar acceso a los terminales de usuario, y a un ancla de movilidad local (LMA) situada en la red de origen, que actúa como el encaminador del primer salto y que proporciona acceso a redes externas tales como Internet. Según el protocolo IPv6 móvil delegado, la pasarela de acceso a movilidad (MAG) y el ancla de movilidad local (LMA) comparten una asociación de seguridad (SA) . Esto podría, por ejemplo, ser una SA de IPSec. En cada red de acceso, hay normalmente varias pasarelas de acceso a movilidad (MAG) . En el IPv6 móvil convencional, las asociaciones de seguridad existen entre un agente de origen y un terminal de usuario. Una diferencia entre el IPv6 móvil delegado y el IPv6 móvil convencional es que, en el IPv6 móvil convencional, el terminal de usuario pertenece a un abonado del operador de origen, y la asociación de seguridad es comprobada, incluso en los casos de itinerancia, durante una verificación normal de la condición de cliente. De manera que la asociación de seguridad (SA) tiene que existir en todo caso. En el IPv6 móvil delegado, la pasarela de acceso a movilidad no pertenece al operador de la red de origen, sino a un socio itinerante. La SA es entre la MAG y la LMA, no entre el terminal de usuario y la LMA. Un terminal itinerante es autenticado y autorizado ante el operador de origen antes de permitirle anexarse a la MAG, ya que la LMA confía en todo terminal que accede a redes externas desde una MAG con la cual tiene una SA.

Uno de los problemas asociados a la disposición precedente es que, especialmente en casos de itinerancia, la gestión de las asociaciones de seguridad es problemática. Por ejemplo, si un operador tiene 100 MAG componentes y 250 socios itinerantes, tiene que haber 25.000 asociaciones de seguridad, simplemente para la itinerancia – en el peor caso, para cada ancla de movilidad local (LMA) . Estas SA son además de las SA de abono normal que el operador de origen tiene con cada uno de sus abonados. Técnicamente, este es un problema administrativo, así como un problema de ajustabilidad a escala, especialmente en los casos de itinerancia. Cada pasarela de acceso a movilidad (MAG) incorporada a la red de acceso requiere una nueva asociación de seguridad y la verificación por la conexión de itinerancia. Además, si el operador añade, quita y / o cambia la MAG, los socios itinerantes tienen que acordar una nueva asociación de seguridad (SA) con la MAG añadida, quitada y / o cambiada. Otra desventaja asociada a las soluciones actuales es que requieren un cierto número de configuraciones estáticas. Como cada conexión LMA-MAG implica una asociación de seguridad propia, los cambios en la red de origen son reflejados pronto en los socios de interconexión e itinerancia. Si se cambia algo, la asociación de seguridad ha de ser actualizada. Incluso si la creación de las SA entre MAG y LMA puede ser dinámica, en un entorno de itinerancia esta clase de disposiciones tienden a ser configuradas estáticamente. En el caso de una SA creada dinámicamente (p. ej., usando la negociación de IKEv2) , aún queda la complejidad de la distribución de credenciales.

El artículo de Mohanty et al. “Análisis de prestaciones de una arquitectura novedosa para integrar sistemas inalámbricos heterogéneos” (Editores de redes de ordenadores, editores de ciencia Elsevier B. V., Amsterdam, vol. 51, nº 4, 28.12.2006, págs. 1095 a 1105) revela una arquitectura basada en agentes de interoperación de red (NIA) para sistemas inalámbricos heterogéneos. El uso de una unidad de autenticación de un NIA (AU_NIA) elimina la necesidad de cualquier asociación / acuerdo directo de seguridad entre una red ajena y una red de origen. Una vez que el usuario está autenticado, la AU_NIA crea asociaciones / claves de seguridad requeridas entre distintas entidades de red.

El documento oficial IR.34 de la asociación GSM, “Directrices de redes troncales de IP entre proveedores de servicios”, versión 4.1, 31.1.2007, págs. 1 a 45, revela una solución de seguridad y filtrado donde se supone que los proveedores de servicios y los proveedores de IPX garantizan que todos los datagramas de IP del UE (Equipo de Usuario) están encapsulados en túneles para impedir que la red IPX sea accesible por parte de los usuarios finales.

El documento 3GPP TR 33.810, V6.0.0, 1.12.2002, págs. 1 a 27, se refiere a la autenticación de elementos de red que están usando NDS/IP, y situados en un dominio entre operadores. Para un caso de claves secretas manualmente distribuidas, se revela un enfoque de eje-y-rayos, donde cada SEG (pasarela de seguridad) del operador comparte una clave secreta con solamente una pasarela intermedia de seguridad, actuando como un puente para todas las SEG.

El documento US 2004 / 158 706 A1 revela una solución donde se usan túneles criptográficos entre un nodo de origen y un nodo de destino, con paradas intermedias en uno o más nodos repetidores, para enviar y recibir paquetes. ->p. 2A

Breve descripción de la invención Es por tanto un objeto de la presente invención proporcionar un procedimiento, un sistema y un nodo de red para implementar el procedimiento, a fin de aliviar de tal modo las desventajas precedentes. Los objetos de la invención son logrados por un procedimiento y una disposición que están caracterizados por lo que se asevera en las reivindicaciones independientes. Las realizaciones preferidas de la invención son reveladas en las reivindicaciones dependientes.

La presente invención implica introducir un nodo concentrador en una red de operador de interconexión, en un sistema de comunicaciones que implementa un protocolo IPv6 móvil delegado. La presente invención implica adicionalmente establecer una primera asociación de seguridad individual entre un nodo ancla situado en una red del operador de origen y el nodo concentrador, en donde el nodo concentrador es un nodo delegado; establecer una segunda asociación de seguridad individual entre un nodo de acceso, situado en una red de operador de itinerancia, y el nodo concentrador; y transmitir tráfico de datos entre el nodo ancla y uno o más terminales de usuario, itinerantes en la red del operador de itinerancia, de modo que el tráfico de datos transmitido entre el nodo ancla y el nodo concentrador esté asegurado por el uso de la primera asociación de seguridad individual, y el tráfico de datos transmitido entre el nodo de acceso y el nodo concentrador esté asegurado por el uso de la respectiva segunda asociación de seguridad individual, en donde la red del operador de origen es la red de origen de dichos uno o más terminales de usuario, que están representados por la misma primera asociación de seguridad individual entre el nodo concentrador y el nodo ancla.

Una ventaja del procedimiento y la disposición de la invención es que el número de asociaciones de seguridad necesarias en el sistema puede ser reducido significativamente. En lugar de un enorme número de asociaciones de seguridad, la red del operador de origen solamente necesita acordar una única SA entre el nodo ancla y el nodo concentrador, a fin de gestionar los casos de itinerancia.

Breve descripción de los dibujos En lo que sigue, la invención será descrita en mayor detalle por medio de realizaciones preferidas, con referencia a los dibujos adjuntos, en los cuales la Figura 1 ilustra la arquitectura general de un sistema de comunicación según una realización de la presente solución;

la Figura 2 ilustra la señalización según una primera realización de la presente solución;

la Figura 3 ilustra la señalización según una segunda realización de la presente solución;

la Figura 4 es un diagrama de flujo que ilustra la funcionalidad de un nodo ancla según una realización de la presente solución;

la Figura 5 es un diagrama de flujo que ilustra la funcionalidad de un nodo de acceso según una realización de la presente solución;

la Figura 6 es un diagrama de flujo que ilustra la funcionalidad de un nodo concentrador según una realización de la presente solución,

y la Figura 7 es un diagrama de flujo que ilustra la funcionalidad... [Seguir leyendo]

1. Un procedimiento para proporcionar un servicio de seguridad al tráfico de datos en un sistema (S) de comunicaciones que implementa el protocolo IPv6 móvil delegado, comprendiendo el sistema (S)

una red (N1) del operador de origen,

una red (N2, N3, N4) del operador de itinerancia,

una red (GRXa, GRXb) del operador de interconexión, y

uno o más terminales (UE1-2, UE1-3, UE1-4) de usuario,

comprendiendo el procedimiento establecer al menos una asociación de seguridad de IPsec, específica del operador, para asegurar el tráfico de datos en el sistema (S) ,

caracterizado porque el procedimiento comprende establecer una primera asociación (SA1) de seguridad individual entre un nodo ancla (LMA1) situado en la red (N1) del operador de origen y un nodo concentrador (Ha, Hb) situado en la red (GRXa, GRXb) del operador de interconexión, en donde el nodo concentrador (Ha, Hb) es un nodo delegado;

establecer una segunda asociación (SA2, SA3, SA4) de seguridad individual entre un nodo (MAG2, MAG3) de acceso situado en la red (N2, N3, N4) del operador de itinerancia y el nodo concentrador (Ha, Hb) situado en la red (GRXa, GRXb) del operador de interconexión; y

transmitir tráfico de datos entre el nodo ancla (LMA1) situado en la red (N1) del operador de origen y dichos uno o más terminales (UE1-2, UE1-3, UE1-4) de usuario itinerantes en la red (N2, N3, N4) del operador de itinerancia, de modo que el tráfico de datos transmitido entre el nodo ancla (LMA1) y el nodo concentrador (Ha, Hb) sea asegurado usando la primera asociación (SA1) de seguridad individual, y el tráfico de datos transmitido entre el nodo (MAG2, MAG3) de acceso y el nodo concentrador (Ha, Hb) sea asegurado usando la respectiva segunda asociación (SA2, SA3, SA4) de seguridad individual, en donde la red (N1) del operador de origen es la red de origen de dichos uno o más terminales (UE1-2, UE1-3, UE1-4) de usuario que están representados por la misma primera asociación (SA1) de seguridad individual entre el nodo concentrador (Ha, Hb) y el nodo ancla (LMA1) .

2. Un procedimiento según la reivindicación 1, caracterizado porque la primera asociación (SA1) de seguridad individual es específica para la red (N1) del operador de origen.

3. Un procedimiento según la reivindicación 1 o 2, caracterizado porque la segunda asociación (SA2, SA3, SA4) de seguridad individual es específica para la red (N1) del operador de origen y la red (N2, N3, N4) del operador de itinerancia.

4. Un procedimiento según la reivindicación 1, 2 o 3, caracterizado por establecer una asociación (SA2, SA3, SA4) de seguridad entre la red (N1) del operador de origen y cada red (N2, N3, N4) de itinerancia asociada de la red (N1) del operador de origen.

5. Un procedimiento según cualquiera de las reivindicaciones 1 a 4, caracterizado porque la primera asociación (SA1) de seguridad individual caduca después de un periodo de tiempo predeterminado.

6. Un procedimiento según cualquiera de las reivindicaciones 1 a 5, caracterizado porque la segunda asociación (SA2, SA3, SA4) de seguridad caduca después de un periodo de tiempo predeterminado.

7. Un procedimiento según cualquiera de las reivindicaciones 1 a 6, caracterizado por utilizar un protocolo IPv6 móvil delegado entre la red del operador de interconexión y la red del operador de origen, y entre la red del operador de interconexión y la red del operador de itinerancia.

8. Un sistema (S) de comunicaciones que implementa el protocolo IPv6 móvil delegado y que está adaptado para proporcionar un servicio de seguridad al tráfico de datos, comprendiendo el sistema (S)

una red (N1) del operador de origen,

una red (N2, N3, N4) del operador de itinerancia,

una red (GRXa, GRXb) del operador de interconexión, y

uno o más terminales (UE1-2, UE1-3, UE1-4) de usuario,

estando el sistema (S) dispuesto para establecer al menos una asociación de seguridad de IPsec específica del operador, para asegurar el tráfico de datos,

caracterizado porque el sistema (S) está dispuesto para establecer una primera asociación (SA1) de seguridad individual entre un nodo ancla (LMA1) situado en la red (N1) del operador de origen y un nodo concentrador (Ha, Hb) situado en la red (GRXa, GRXb) del operador de interconexión, en donde el nodo concentrador (Ha, Hb) es un nodo delegado;

establecer una segunda asociación (SA2, SA3, SA4) de seguridad individual entre un nodo (MAG2, MAG3) de acceso situado en la red (N2, N3, N4) del operador de itinerancia y el nodo concentrador (Ha, Hb) situado en la red (GRXa, GRXb) del operador de interconexión; y

transmitir el tráfico de datos entre el nodo ancla (LMA1) situado en la red (N1) del operador de origen y dichos uno o más terminales (UE1-2, UE1-3, UE1-4) de usuario en itinerancia en la red (N2, N3, N4) del operador de itinerancia, de modo que el tráfico de datos transmitido entre el nodo ancla (LMA1) y el nodo concentrador (Ha, Hb) sea asegurado usando la primera asociación (SA1) de seguridad individual, y el tráfico de datos transmitido entre el nodo (MAG2, MAG3) de acceso y el nodo concentrador (Ha, Hb) sea asegurado usando la respectiva segunda asociación (SA2, SA3, SA4) de seguridad individual, en donde la red (N1) del operador de origen es la red de origen de dichos uno o más terminales (UE1-2, UE1-3, UE1-4) de usuario, que están representados por la misma primera asociación (SA1) de seguridad individual entre el nodo concentrador (Ha, Hb) y el nodo ancla (LMA1) .

9. Un sistema según la reivindicación 8, caracterizado porque la primera asociación (SA1) de seguridad individual es específica para la red (N1) del operador de origen; y

la segunda asociación (SA2, SA3, SA4) de seguridad individual es específica para la red (N1) del operador de origen y la red (N2, N3, N4) del operador de itinerancia.

10. Un nodo concentrador (Ha, Hb) para un sistema (S) de comunicaciones que implementa el protocolo IPv6 móvil delegado, y que está adaptado para proporcionar un servicio de seguridad al tráfico de datos y establecer al menos una asociación de seguridad de IPsec, específica del operador, para asegurar el tráfico de datos, en donde el nodo concentrador (Ha, Hb) está situado en una red (GRXa, GRXb) del operador de interconexión, caracterizado porque el nodo concentrador (Ha, Hb) es un nodo delegado dispuesto para

establecer una primera asociación (SA1) de seguridad individual para el tráfico de datos asegurado con un nodo ancla (LMA) situado en una red (N1) del operador de origen;

establecer una segunda asociación (SA2, SA3, SA4) de seguridad individual para el tráfico de datos asegurado con un nodo (MAG2, MAG3) de acceso situado en una red (N2, N3, N4) del operador de itinerancia; y

transmitir el tráfico de datos entre el nodo ancla (LMA1) situado en la red (N1) del operador de origen y uno o más terminales (UE1-2, UE1-3, UE1-4) de usuario en itinerancia en la red (N2, N3, N4) del operador de itinerancia, de modo que el tráfico de datos transmitido entre el nodo ancla (LMA1) y el nodo concentrador (Ha, Hb) sea asegurado usando la primera asociación (SA1) de seguridad individual, y el tráfico de datos transmitido entre el nodo (MAG2, MAG3) de acceso y el nodo concentrador (Ha, Hb) sea asegurado usando la respectiva segunda asociación (SA2, SA3, SA4) de seguridad individual, en donde la red (N1) del operador de origen es la red de origen de dichos uno o más terminales (UE1-2, UE1-3, UE1-4) de usuario que están representados por la misma primera asociación (SA1) de seguridad individual entre el nodo concentrador (Ha, Hb) y el nodo ancla (LMA1) .

11. Un nodo concentrador (Ha, Hb) según la reivindicación 10, caracterizado porque la primera asociación (SA1) de seguridad individual es específica para la red (N1) del operador de origen.

12. Un nodo concentrador (Ha, Hb) según la reivindicación 10 u 11, caracterizado porque la segunda asociación (SA2, SA3, SA4) de seguridad individual es específica para la red (N1) del operador de origen y la red (N2, N3, N4) del operador de itinerancia.

13. Un nodo concentrador (Ha, Hb) según la reivindicación 10, 11 o 12, caracterizado porque la primera asociación (SA1) de seguridad individual caduca después de un periodo de tiempo predeterminado.

14. Un nodo concentrador (Ha, Hb) según cualquiera de las reivindicaciones 10 a 13, caracterizado porque la segunda asociación (SA2, SA3, SA4) de seguridad individual caduca después de un periodo de tiempo predeterminado.