[go: up one dir, main page]

ES2295336T3 - Sistema, aparato y metodo para la autentificacion y encriptacion basadas en sim (modulo de identificacion del suscriptor) en el acceso de una red de area local inalambrica (wlan). - Google Patents

Sistema, aparato y metodo para la autentificacion y encriptacion basadas en sim (modulo de identificacion del suscriptor) en el acceso de una red de area local inalambrica (wlan). Download PDF

Info

Publication number
ES2295336T3
ES2295336T3 ES02724305T ES02724305T ES2295336T3 ES 2295336 T3 ES2295336 T3 ES 2295336T3 ES 02724305 T ES02724305 T ES 02724305T ES 02724305 T ES02724305 T ES 02724305T ES 2295336 T3 ES2295336 T3 ES 2295336T3
Authority
ES
Spain
Prior art keywords
authentication
protocol
point
access controller
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES02724305T
Other languages
English (en)
Inventor
Jesus Angel De Gregorio Rodriguez
Miguel Angel Monjas Llorente
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of ES2295336T3 publication Critical patent/ES2295336T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2858Access network architectures
    • H04L12/2859Point-to-point connection between the data network and the subscribers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Un método en un sistema de telecomunicación para permitir una autentificación basada en SIM a usuarios de una red inalámbrica de área local que son abonados de una red pública móvil terrestre, comprendiendo el método los pasos de: (a) acceder un terminal inalámbrico a la red inalámbrica de área local a través de un Punto de Acceso accesible; (b) descubrir un Controlador de Acceso interpuesto entre el Punto de Acceso y la red pública móvil terrestre desde el terminal inalámbrico; (c) realizar un procedimiento de autentificación basada en SIM de pregunta-respuesta entre el terminal inalámbrico y la red pública móvil terrestre a través del Controlador de Acceso, estando el terminal inalámbrico provisto de una tarjeta SIM y adaptado para leer los datos en ella; el método caracterizado porque las transmisiones de la autentificación pregunta-respuesta en el paso (c) tienen lugar antes de haber proporcionado conectividad IP al usuario, y se realizan: - en la parte superior de un protocolo Punto aPunto de capa 2 (PPPoE) entre el terminal inalámbrico y el Controlador de Acceso; y - en un protocolo de autentificación que reside en la capa de aplicación entre la red pública móvil terrestre y el Controlador de Acceso; y el método comprende además un paso de: (d) ofrecer conectividad IP al usuario en el terminal inalámbrico enviando una dirección IP asignada y otros parámetros de configuración de la red una vez que dicho usuario ha sido autentificado válidamente por la red pública móvil terrestre.

Description

Sistema, aparato y método para la autentificación y encriptación basadas en SIM (módulo de identificación del suscriptor) en el acceso de una red de área local inalámbrica (WLAM).
Campo del invento
El presente invento se refiere generalmente a mecanismos de autentificación y encriptación en entornos de Redes Inalámbricas de Área Local (WLAN). Más particularmente, el invento pertenece a medios, sistema y métodos para una autentificación basada en SIM (Módulo de Identificación del Suscriptor) y a un mecanismo de encriptación de capa 2 para proteger el camino de comunicación desde el Equipo de terminal en adelante.
Antecedentes
En 1999, la especificación 802.11b fue publicada por el IEEE para el acceso a la Red Inalámbrica de Área Local (WLAN) a velocidades de 11 Mbps. Esta norma ha sido ampliamente respaldada por la industria y tiene una gran base instalada en las compañías comerciales, así como en puntos estratégicos públicamante accesibles tales como aeropuertos, hoteles, cafés y otros.
Esta especificación 802.11b ofrece en alguna medida un mecanismo de control de autentificación y acceso así como confidencialidad, pero solamente en el camino inalámbrico. A este respecto, en esta norma están definidos dos métodos de autentificación, es decir el "Sistema Abierto" y el "Clave Compartida".
Cuando se usa el Sistema Abierto, una tarjeta WLAN en el Equipo de terminal (TE) anuncia que desea asociarse a un Punto de Acceso WLAN (de aquí en adelante abreviado como AP). No se realiza la autentificación y solamente se usan algunos mecanismos básicos de control de acceso como, por ejemplo, los filtros de Control de Acceso a los Medios (MAC) y los Identificadores del Conjunto de Servicios (SSID).
Estos filtros MAC están dispuestos para trabajar de forma que solamente tarjetas WLAN cuyo acceso MAC pertenece a una lista conservada por el AP, tal como una Lista de Control de Acceso (ACL), están permitidas asociarse al AP. Este mecanismo de control de acceso tiene una utilidad limitada, ya que la identidad de la entidad que trata de asociarse no pertenece realmente a un usuario, sino al equipo propiamente dicho. Si un terminal o tarjeta son robados no existe autentificación con base en el usuario para impedir el acceso a los recursos por el equipo robado. Además, como las direcciones MAC de la tarjeta WLAN aparecen siempre en los encabezamientos de las tramas WLAN, la simulación de la dirección MAC es un ataque trivial. Esto tiene una importancia especial ya que la mayoría de las tarjetas WLAN en el mercado pueden cambiar su dirección MAC solamente usando medios de soporte lógico.
El otro mecanismo de control de acceso es el anteriormente mencionado Identificador del Conjunto de Servicio (SSID), que es un código alfanumérico que identifica la instancia de la WLAN a la que el Equipo de terminal (TE) está tratando de asociarse. Un AP dado solamente permite la asociación de tarjetas WLAN que proporcionan un SSID correcto. Sin embargo, como este identificador es usualmente difundido por los AP, e incluso sin cambiar el conjunto de valor por defecto fijado por el vendedor, este mecanismo de control de acceso es, nuevamente, más bien inútil ya que se puede producir una pluralidad de ataques bien conocidos.
Un segundo método de autentificación es el denominado Clave Compartida. Este procedimiento está integrado en un mecanismo de confidencialidad básico proporcionado por la norma de Privacidad por Cable Equivalente (WEP), que es un algoritmo de encriptación simétrico con base en el RC4. La autentificación como tal se realiza usando un mecanismo de pregunta-respuesta en el que ambas partes, la WLAN y el AP, muestran poseer una misma clave. Sin embargo, esta clave está instalada y almacenada en el Equipo de terminal (TE), y por tanto adolece de las mismas desventajas que las descritas cuando se habla sobre los filtros MAC.
Además, varios trabajos publicados recientemente han mostrado los defectos fundamentales del mecanismo de privacidad propiamente dicho, o sea los defectos de las normas WEP. Estos defectos comienzan con el uso de claves WEP estáticas, que permiten a un atacante averiguar las claves, ya que los vectores de iniciación de los algoritmos son enviados sin encriptar dentro de la trama WEP. Varios ataques pasivos, tal como por ejemplo una tarjeta WLAN que solamente capta el tráfico, permiten también deducir las claves.
En el comienzo parecía que solamente regenerando las claves con una mejor gestión de la clave, y por el aumento de su longitud, por ejemplo de 40 a 128 bits, el algoritmo podría ser más seguro o, al menos, lo suficientemente seguro para conseguir una seguridad aceptable. Sin embargo, informes cada vez más recientes han probado que el diseño del algoritmo como tal no puede proporcionar una capa de seguridad aceptable.
Actualmente, la industria y foros representativos han hecho esfuerzos para resolver los defectos de las normas actualmente aplicables. El IEEE está definiendo actualmente una nueva norma para mejorar los mecanismos de autentificación de la 802.11b existente, y los resultados pueden ser publicados como la norma denominada 802.1x, un "Control con Base en Puerto de Acceso a Red", pero este trabajo todavía no está terminado. Además este enfoque solamente tiene en cuenta la autentificación, de forma que todavía es necesario un algoritmo de confidencialidad adecuado. A este respecto, las tendencias actuales aconsejan que un protocolo con base en el denominado Sistema de Encriptación Avanzado (AES) puede sustituir al WEP. No obstante, el mecanismo de autentificación con base en puerto aconsejado en la 802.1x tiene un efecto significativo en el sistema operativo TE y en el soporte lógico aplicable del AP, ya que la 802.1x solamente busca una sustitución del mecanismo de autentificación con base en la WEP, y la WEP propiamente dicha.
En un plazo corto, una adopción masiva de esta nueva norma 802.1x, con los defectos anteriores sin resolver, llevará a nuevas inversiones en el equipo WLAN, ya que todos los de los AP de una WLAN dada tendrían que ser sustituidos o, al menos, mejorados. Adicionalmente, y de alguna forma obvio, cualquier mecanismo de confidencialidad WLAN solamente proporciona protección en el camino inalámbrico, esto es entre la tarjeta WLAN y el AP. Sin embargo, el tráfico Ethernet correspondiente más allá del AP no está encriptado en absoluto.
Es por tanto un objeto importante del presente invento en esta fase la provisión de medios y métodos para permitir un mecanismo de autentificación eficaz de los usuarios de la WLAN así como un mecanismo de encriptación completo a lo largo de todo el camino de comunicación que arranca del Equipo de terminal de dichos usuarios.
Técnica relacionada
En resumen, y como se ha descrito antes ampliamente, la Autentificación en las normas WLAN actualmente aplicables, es decir la 802.11, es o no existente, o con base en el dispositivo cuando la dirección física MAC de la tarjeta WLAN se usa para autentificar el TE. Esto es aparentemente no factible para grandes desarrollos dado que una encriptación realizada a través del protocolo WEP como en la WLAN, que es conocido por sus debilidades, no es considerado por los diferentes sectores apropiado para mantener una seguridad aceptable.
A modo de contraste, la autentificación en las redes móviles públicas convencionales y en las más nuevas como las GSM, GPRS, o UMT se hace por medio de una tarjeta SIM y de un conjunto de protocolos y algoritmos de seguridad probada conocidos como algoritmos de "Acuerdo sobre Autentificación y Claves" (de aquí en adelante abreviado como AKA). Una denominada autentificación basada en SIM es con base en el usuario ya que el SIM está diseñado para uso personal, y protegido por un acceso PIN.
Actualmente, los operadores móviles desean ampliar su oferta en redes de acceso que incluye el acceso de banda ancha, y la tecnología WLAN lo hace posible con velocidades de acceso de hasta 11 Mbps, a la vez que mantienen un coste de despliegue muy bajo, en su mayor parte debido al uso de una banda de espectro no autorizada en la WLAN. Un operador móvil puede realizar esto instalando su propia WLAN o firmando acuerdos con los operadores de WLAN existentes, pero en cada caso, los requerimientos de seguridad serían al menos tan fuertes como en el caso de un acceso móvil a la red nuclear de los operadores.
Para conseguir esto, un operador WLAN tiene que ofrecer un mecanismo de autentificación y de encriptación que implique la posesión de una tarjeta SIM. Esta tarjeta SIM debe ser emitida por el operador móvil y puede ser el mismo SIM usado para acceso móvil, o puede ser un SIM emitido a propósito solamente para acceso a la WLAN.
Una WLAN convencional operada por un tercero puede también tener sus propios usuarios locales, y la autentificación que ha de realizarse para dichos usuarios locales depende completamente del operador de la WLAN. Por ejemplo, esta autentificación para usuarios locales podría estar sólo basada en la identidad del usuario más una contraseña, o incluso no seguridad en absoluto. Sin embargo, para los usuarios que están suscritos a un operador móvil, la autentificación y otros asuntos de seguridad a través de dicha WLAN serían comparables a los de la red móvil del operador. Por otra parte, una WLAN desplegada y operada solamente por un operador móvil debería negar el acceso a los usuarios que no pertenecieran a ese operador móvil, y solamente deberían aplicar mecanismos de autentificación con base en una tarjeta SIM.
No obstante, cualquier intento de introducir mecanismos nuevos y más seguros para la autentificación y encriptación en la WLAN deberían estar dirigidos a producir los menores efectos posibles en los entornos posibles de la WLAN actuales.
Un intento bastante interesante para resolver los problemas anteriores se describe en la publicación del documento de solicitud US 2002/0009199 con el título "Disposición de Cifrado de Datos en un Sistema de Telecomunicación Inalámbrico". La enseñanza que aporta esta solicitud también presenta un esquema de autentificación basada en SIM.
Este esquema de autentificación basada en SIM, sin embargo, tiene como objeto deducir una clave de cifrado que se usa como la clave del algoritmo WEP nativo 802.11 para encriptación de tráfico entre el TE y el AP. La principal ventaja que introduce esta solicitud sobre las capacidades de las WEP existentes es la adición de un nuevo mecanismo para renovar las claves una vez por sesión. Aparte de esto, esta solicitud es básicamente una versión modificada de las normas WEP actuales y no resuelve los problemas fundamentales manifestados antes por la versión WEP original.
No obstante, diferentes sectores de la industria han valorado que los bien conocidos ataques a la WEP pueden adivinar una clave WEP en menos de dos horas. Obviamente, si la clave WEP es estática y no se ha renovado nunca, como en la versión de la WEP original, el problema es mucho más importante. Por lo tanto, con el enfoque presentado en el documento US 2002/0009199 el problema está restringido a los límites de la duración de una sesión dada, y si una sesión dura unas pocas horas, se produce el mismo problema de antes. Esto es claramente insuficiente para garantizar capas de seguridad similares a los existentes en las redes públicas móviles terrestres actuales.
A este respecto, es un objeto del presente invento la consecución de una capa de seguridad mucho más alto que permita al operador escoger el algoritmo de encriptación más apropiado para sus necesidades de seguridad. Se debe tener en cuenta que usualmente existe un compromiso entre la capa de seguridad y el funcionamiento. Por lo tanto, las características adicionales como la admisión de claves con una longitud de 128, 168, 256 bits, etc; así como ser soporte de los últimos algoritmos más seguros, como el AES por ejemplo, y un procedimiento de rotación de clave puede ser considerado otro objeto del presente invento.
Además, de acuerdo con esta solicitud anterior, la US 2002/0009199, el camino encriptado va desde el Terminal Móvil al AP, ya que la WEP solamente es aplicable al camino por radio. A este respecto, para establecer el soporte de un camino de encriptación más allá del AP, y que cubra también la parte por cable de la WLAN es un objeto adicional del presente invento.
Además, el documento US 2002/0009199 explica que la asignación de una dirección IP se hace antes de ejecutar el proceso de autentificación, y por tanto, un usuario maligno puede potencialmente iniciar un conjunto completo de ataques bien conocidos. Sin embargo, si un usuario no tuviera medios para conseguir una conectividad IP antes de haber sido autentificada de forma efectiva, el riesgo disminuiría grandemente. Por lo tanto, es un objeto adicional del presente invento la provisión de un mecanismo de autentificación que sea realizado antes de dar una conectividad IP a dicho usuario.
Por otra parte, las solicitudes US 2002/01243 y WO 01/76297 exponen, a través de algunas realizaciones a modo de ejemplo comunes, un sistema en el que un terminal inalámbrico adaptado puede conectarse a una red móvil doméstica a través de una red de acceso IP. Siendo responsable la red móvil doméstica de autentificar al usuario con una autentificación con base en la SIM, en tanto que la red de acceso IP inalámbrica permite al usuario acceder a la red Internet una vez autentificado. El terminal inalámbrico, la red de acceso IP inalámbrica, y la red móvil están todas comunicadas con un protocolo IP móvil. El sistema comprende también un Controlador de Acceso Público para controlar el acceso desde la red de acceso por radio a los servicios de Internet. Este Controlador de Acceso Público asigna una dirección IP al terminal inalámbrico y autentifica el terminal inalámbrico antes de que se establezca la conexión a Internet, y retransmite mensajes de autentificación entre el terminal inalámbrico y la red móvil doméstica. Además, la interfaz entre el terminal inalámbrico y el Controlador de Acceso Público es una interfaz con base en una IP, en la que el Controlador de Acceso Público y el terminal inalámbrico se identifican mutuamente por las respectivas direcciones IP de uno y otro. El hecho de que el Controlador de Acceso Público y el terminal inalámbrico hagan uso de un protocolo con base en una IP hace esencial que al terminal inalámbrico sea asignada una dirección IP desde el comienzo absoluto, estableciendo esta dirección IP enviada desde el Controlador de Acceso Público al terminal inalámbrico antes de establecer una comunicación de canal seguro. Por lo tanto, ocurre el mismo problema que con la anterior solicitud, la US 2002/0009199, debido al hecho de que la asignación de una dirección IP se hace antes de ejecutar el proceso de autentificación, y por tanto, un usuario maligno puede potencialmente iniciar un conjunto completo de ataques bien conocidos.
En resumen, un objeto importante del presente invento es la provisión de un sistema, de medios y de métodos para permitir una autentificación efectiva a un usuario basada en SIM y de establecer un camino de encriptación completo, partiendo del TE, para los usuarios de la WLAN que son abonados de una red pública móvil terrestre. Otro objeto particularmente importante es que la autentificación del usuario basada en SIM podría realizarse antes de dar conectividad IP a dicho usuario.
Un objeto adicional del presente invento es el soporte de claves de longitud variable, el uso de algoritmos de seguridad a elección del operador, y la provisión de un procedimiento de rotación de clave.
Otro objeto adicional del presente invento es la consecución de los anteriores objetos con un efecto mínimo sobre los entornos de WLAN convencionales.
Resumen del invento
Los objetos del presente invento se consiguen con un método para permitir una autentificación basada en SIM a los usuarios de una red inalámbrica de área local que son abonados de una red pública móvil terrestre por medio de un mecanismo de autentificación de capa de enlace de datos (capa 2). Un aspecto importante de este método es que la conectividad IP es solamente provista al usuario cuando el proceso de autentificación ha sido realizado con
éxito.
Los objetos del invento se consiguen así con un método en el que un terminal inalámbrico encuentra un Punto de Acceso accesible y solicita la asociación con la red inalámbrica de área local, y el Punto de Acceso acepta la solicitud para esto. El terminal inalámbrico inicia entonces el descubrimiento de un Controlador de Acceso interpuesto entre el Punto de Acceso y la red pública móvil terrestre.
Entonces, el terminal inalámbrico envía el identificador de usuario inmediatamente en la parte superior de un protocolo Punto a Punto de capa 2 hacia el Controlador de Acceso que desplaza el identificador de usuario recibido en la parte superior de un protocolo Punto a Punto de capa 2 hacia arriba a un protocolo de autentificación que reside en la capa de aplicación.
Después de esto, el Controlador de Acceso envía el identificador de usuario hacia una Pasarela de Autentificación en la red terrestre móvil pública para iniciar un procedimiento de autentificación.
Una vez que ha comenzado el proceso de autentificación, el Controlador de Acceso recibe una pregunta de autentificación desde la red pública móvil terrestre a través de la Pasarela de Autentificación; y desplaza la pregunta de autentificación recibida en el mismo protocolo en la capa de aplicación hacia abajo en la parte superior del protocolo Punto a Punto de capa 2. La pregunta de autentificación es enviada por el Controlador de Acceso hacia el terminal inalámbrico para deducir una respuesta de autentificación.
Entonces, el terminal inalámbrico puede enviar la respuesta de autentificación inmediatamente en la parte superior de un protocolo Punto a Punto de capa 2 hacia el Controlador de Acceso que desplaza la respuesta de autentificación recibida en la capa superior de un protocolo Punto a Punto de capa 2 hacia arriba al protocolo de autentificación en la capa de aplicación. La respuesta de autentificación es enviada hacia la Pasarela de Autentificación desde el Controlador de Acceso que recibe una clave de encriptación desde la red pública móvil terrestre a través de la Pasarela de Autentificación.
Después de esto, el Controlador de Acceso extrae la clave de encriptación recibida en el protocolo en la capa de aplicación para posterior encriptación del camino de comunicación con el terminal inalámbrico; y el Controlador de Acceso envía una dirección IP asignada y otros parámetros de configuración de red hacia el terminal inalámbrico.
Esto proporciona las ventajas de que el terminal móvil añade un mecanismo de autentificación de seguridad, similar a los usados en la red de radiocomunicación, en todo el camino de comunicación, esto significa que obtiene confidencialidad en el camino inalámbrico y en el camino por cable. Los operadores pueden ampliar sus redes de acceso, ofreciendo acceso de banda ancha localizado (11 Mbps) a un coste muy bajo.
También para cumplir los objetos del presente invento se ha provisto un Controlador de Acceso que comprende un servidor Punto a Punto que reside en una capa 2 OSI para comunicar con el terminal inalámbrico; y un protocolo de autentificación que reside en una capa de aplicación OSI para comunicar con la red pública móvil terrestre. Además, este Controlador de Acceso comprende además medios para desplazar la información recibida en la parte superior del protocolo Punto a Punto de capa 2 hacia arriba a un protocolo de autentificación apropiado que reside en la capa de aplicación. Igualmente, el Controlador de Acceso comprende también medios para desplazar la información recibida en el protocolo de autentificación que reside en la capa de aplicación hacia abajo en la parte superior del protocolo Punto a Punto de capa 2.
Con el fin de cumplir completamente los objetos del invento, también se ha proporcionado un terminal inalámbrico que comprende la funcionalidad de actuar como un cliente del protocolo Punto a Punto de capa 2 y que tiene un Protocolo de Autentificación Ampliable en la parte superior de este protocolo Punto a Punto de capa 2.
La solución total proporcionada por el invento da lugar a un sistema de telecomunicación que comprende una red inalámbrica de área local que incluye al menos un Punto de Acceso, una red pública móvil terrestre, al menos un terminal inalámbrico como anteriormente, y el Controlador de Acceso anterior.
Breve descripción de los dibujos
Las características, objetos y ventajas del invento serán evidentes por la lectura de esta descripción conjuntamente con los dibujos anejos, en los que:
la Figura 1 representa una realización preferida de cómo un usuario de un acceso a una red móvil convencional a través de una WLAN, a la que pueden acceder usuarios móviles y no móviles, puede ser autentificada por su propia red móvil y puede tener un camino encriptado desde el TE a su propia red móvil;
la Figura 2 muestra una estructura simplificada comparada con la de la Figura 1, y aplicable a una WLAN a la que pueden acceder usuarios de una red pública móvil terrestre;
la Figura 3 muestra esquemáticamente una realización de un Controlador de Acceso que comprende un Servidor de PPPoE y un Cliente de RADIUS, en el que reside el Protocolo de Autentificación Ampliable;
la Figura 4 muestra básicamente una secuencia de un ejemplo de acciones realizadas desde el TE hasta la red móvil y a través de las entidades WLAN para realizar una autentificación de usuario basada en SIM.
Descripción detallada de las realizaciones preferidas
A continuación se describen las realizaciones actualmente preferidas de los medios, métodos y sistema para permitir una autentificación de usuario basada en SIM efectiva y para establecer un camino de encriptación completo que arranca del TE para usuarios de WLAN que son abonados de una red pública móvil terrestre. De acuerdo con un aspecto del presente invento, esta autentificación de usuario basada en SIM se realiza antes de haber dado conectividad IP a dicho usuario.
Por lo tanto, en la Figura 1 se expone un esbozo en conjunto de una realización preferida que muestra una situación general en el que los abonados de una red pública móvil terrestre (GSM/GPRS/UMTS), así como otros usuarios locales no móviles, acceden a una red inalámbrica de área local (WLAN). Este entorno general expuesto en la Figura 1 propone una estructura particularmente sencilla dirigida a minimizar los efectos de una WLAN convencional existente con el fin de conseguir uno de los objetos del presente invento. En esta estructura más bien sencilla participan entidades diferentes de una WLAN y de una red pública móvil terrestre, que se describen más adelante. Además, la Figura 2 muestra una estructura más simplificada aún, de acuerdo con otra realización del presente invento, de una WLAN que solamente da acceso a abonados de una red pública móvil terrestre y sin usuarios de la WLAN local.
Una primera entidad en las Figuras 1 y 2 es el Equipo Terminal (TE) que está equipado con los equipos lógico y físico necesarios para hacer de interfaz de la tarjeta SIM del usuario así como para enviar y recibir la información de la señalización requerida de acuerdo con el protocolo de Acuerdo de Autentificación y de Clave (AKA). El TE incluye también el equipo lógico necesario para aplicar un Protocolo Punto a Punto (PPPoE), en el lado del cliente, de acuerdo con RFC 2516.
La inclusión de tal cliente de PPPoE permite el establecimiento de una sesión de Protocolo Punto a Punto (PPP) con un servidor específico en el dominio de la WLAN. Ésta es una realización muy conveniente con el fin de influir en los mecanismos de autentificación existentes, por ejemplo el Protocolo de Autentificación Ampliable (EAP), y en los protocolos de encriptación, tales como el Protocolo de Control de Encriptación PPP (de aquí en adelante denominado "encriptado PPP") de acuerdo con RFC 1968, que amplía el camino de encriptación a lo largo de la parte por cable de la WLAN, ofreciendo así una capa de seguridad mayor. Un componente como este Cliente de PPPoE es una parte nuclear de la solución propuesta.
Otras entidades en los entornos de las Figuras 1 y 2 son los Puntos de Acceso que funcionan como emisoras de radio normales directas de acuerdo con la norma 802.11b sin lógica adicional alguna. Al contrario que otras soluciones posibles, como se ha explicado con respecto a la próxima norma 802.1x, el enfoque ofrecido por el presente invento permite la reutilización del equipo físico existente barato en lugar de tener que sustituir o mejorar todos los de los AP presentes en la WLAN. Estos de los AP no cambiados podrían funcionar en esta situación con el soporte del WEP desconectado, ya que tal WEP ofrece por sí misma una seguridad pequeña en comparación con los mecanismos de seguridad que están aplicados en la parte superior de la capa de PPPoE.
De acuerdo con un aspecto del presente invento, se ha provisto una nueva entidad, el Controlador de Acceso (de aquí en adelante denominado como AC) en las Figuras 1 y 2 que comprende la funcionalidad PPPoE del servidor requerida. Este servidor de PPPoE es descubierto automáticamente por el Equipo de terminal (TE), por medio de un mecanismo integrado en el protocolo PPPoE, es decir a través de un saludo iniciado por un mensaje transmitido. Este Controlador de Acceso (AC) también comprende una funcionalidad RADIUS del cliente que tiene la responsabilidad de agrupar las credenciales del cliente, recibidas a través de los atributos EAP transpotados en la parte superior de un PPP, y enviarlos hacia un Servidor de Autentificación WLAN (WLAN-AS), también a través de los atributos EAP transpotados ahora en la parte superior de los mensajes RADIUS. Un componente tal como este Controlador de Acceso (AC) es también una parte nuclear para los objetivos de la presente solución.
Tanto el Controlador de Acceso como el cliente de PPPoP anteriormente mencionado, que está integrado en el Equipo de terminal, son entidades que cooperan cuyo fin es la tunelización de un procedimiento de autentificación de una pregunta-respuesta así como para establecer un camino encriptado.
Una entidad posterior presente solamente en el entorno más general mostrado en la Figura 1 es un Servidor de Autentificación WLAN (WLAN-AS) que aplica la funcionalidad de un servidor autentificador local para los usuarios de WLAN locales, que no pertenecen al operador móvil, y que pueden ser así autentificados por otros medios, tal como una coincidencia directa de usuario y contraseña. Este WLAN-AS también desempeña el papel de un delegado de RADIUS, cuando recibe los mensajes de autentificación del Controlador de Acceso y los envía hacia una Pasarela de Autentificación (de aquí en adelante denominada AG) en el dominio del operador de la red pública móvil terrestre.
El WLAN-AS solamente es requerido para el objeto del presente invento con el fin de autentificar los usuarios de la WLAN propios que no son abonados de la red pública móvil terrestre. Por lo tanto, una WLAN con el fin de dar solamente acceso a abonados de una red móvil pueden deshacerse de tal entidad sin afectar a la autentificación de dichos abonados móviles y al establecimiento de un camino encriptado, objeto del presente invento. A este respecto, la Figura 2 muestra una realización de una estructura simplificada de una WLAN que solamente da acceso a abonados de una red pública móvil terrestre, como se ha explicado antes, en la que el WLAN-AS, por lo tanto, no está incluido.
Otra entidad más incluida en los entornos de las Figuras 1 y 2 es la Pasarela de Autentificación (de aquí en adelante denominada AG) sola o posiblemente en cooperación con un Registro de Posición Inicial (HLR) para almacenar datos de usuarios abonados móviles. Esta Pasarela de Autentificación (AG), sola o en combinación con un HLR, actúa como un servidor especializado de autentificación dentro del dominio del operador, y está a cargo de generar vectores de autentificación de acuerdo con el protocolo AKA para redes públicas móviles terrestres convencionales y más nuevas tales como las GSM, GPRS y UMTS. Estos componentes, es decir AG y HLR, pueden ser entidades físicamente independientes que se comunican entre sí por el protocolo Parte de Aplicación Móvil (MAP), o pueden ser una entidad lógica única que actúa como un servidor RADIUS y con la base de datos del abonado incorporada, juntamente con la aplicación de los algoritmos necesarios en AKA, tal como los bien conocidos A5, A8 y otros. En el último enfoque, la comunicación hacia un HLR es, por tanto, no necesaria como en el ejemplo mostrado en la Figura 2.
Resumiendo, el Controlador de Acceso, el cliente de PPPoE antes mencionado, que está integrado en el Equipo de terminal, y esta Pasarela de Autentificación son las entidades nucleares para el objeto del presente invento. La descripción particular de las funciones que residen en tales entidades es solamente ilustrativa y de ninguna forma restrictiva.
La Figura 3 muestra las diferentes capas de protocolo implicadas en un Controlador de Acceso (AC) con referencia al modelo de Interconexión del Sistema Abierto (OSI). El servidor de PPPoE, que reside debajo de una capa IP, comprende una capa de protocolo PPPoE que naturalmente reside sobre una capa Ethernet, y tiene integrado el EAP anteriormente mencionado. Igualmente, el cliente de RADIUS tiene una capa del protocolo RADIUS, tiene integrado el EAP, reside sobre una capa UDP, residiendo ambos sobre una capa IP.
Por otra parte, la forma en la que los diferentes elementos realizan algunos aspectos del presente invento de acuerdo con las realizaciones actualmente preferidas se describe a continuación haciendo referencia a la secuencia de acciones representadas en la Figura 4.
El Equipo de terminal (TE) anteriormente mencionado está equipado con un Adaptador de Terminal Móvil (MTA) que permite el acceso a una tarjeta SIM transportada por un terminal móvil. Este TE tiene un transceptor para comunicar (C-401, C-402) con un AP de la WLAN e incluye la pila de programas informáticos apropiados para aplicar el protocolo PPPoE de acuerdo con el RFC 2516.
El Controlador de Acceso (AC) tiene un servidor de PPPoE integrado. El descubrimiento del servidor de PPPoE por el cliente de PPPoE es una parte integrante del protocolo propiamente dicho (C-403, C-404, C-405, C-406). La identidad usada por el TE en el enlace PPP (C-407, C-408) es un Identificador de Acceso a Red (NAI), al que entra el usuario para establecer las sesiones de conmutación requeridas, y cuyo dominio se usa para identificar al usuario como un abonado de un operador móvil dado. No es necesaria contraseña ya que la autentificación se realiza por otros medios. Alternativamente, en lugar de enviar un NAI, el IMSI podría ser recogido de la tarjeta SIM y enviado como la identidad del usuario. Esto solamente se debería usar si enviando el IMSI en texto sin encrificar es aceptable, que podría no ser el caso.
Habiendo recibido la identidad del usuario con ayuda de mecanismos EAP, el Controlador de Acceso (AC) tiene un cliente de RADIUS para enviar (C-409) mensajes de autentificación al servidor WLAN-AS. El Protocolo de Autentificación Ampliable (EAP) es ejecutado en la parte superior del PPP y del RADIUS, con el fin de transportar información de autentificación entre el TE y el AG. El mecanismo de autentificación para usar dentro del EAP puede ser el AKA convencional usado en redes públicas móviles terrestres. Como ya se ha mencionado anteriormente, el WLAN-AS actúa como un servidor de autentificación para usuarios regulares de WLAN, cuya autentificación no tiene SIM como base, y como un delegado de autentificación para aquellos usuarios cuya parte de dominio del NAI los identifica como abonados de una red móvil que por tanto usan una autentificación con base en una SIM. Entonces, cuando actúa como un delegado de autentificación, el WLAN-AS envía (C-410) los mensajes de autentificación recibidos a la Pasarela de Autentificación (AG).
Cuando la Pasarela de Autentificación recibe (C-410) una petición de autentificacíón, pregunta al HRL por un vector de autentificación (C-411), triplete o quinteto, usando una interfaz MAP. Para esta tarea, la Pasarela de Autentificación (AG) tiene que conocer el IMSI del abonado cuyos NAI han sido enviados en el mensaje RADIUS. Este IMSI puede ser descubierto mediante una consulta en una base de datos de directorio, por ejemplo. Las respuestas HLR son enviadas de vuelta junto con la información de autentificación (C-412) para el usuario.
Entonces, el AG encapsula el componente RAND del vector de autentificación en un atributo EAP y lo reenvía a través del WLAN-AS (C-413) hacia el AC (C-414) dentro de un mensaje RADIUS. Se debe observar que para usuarios de redes más nuevas como la UMTS, también se podría requerir el envío de un mensaje como AUTN.
El AC entonces envía (C-415) la información de EAP recibida al TE en un mensaje PPP. Se debe observar que el AC se comporta aquí como una "transferencia" de la información EAP entre protocolos "transporte" tales como PPP y RADIUS.
Cuando el TE recibe la información EAP, extrae el número RAND y lo usa para preguntar el SIM y generar una respuesta (RES), que es devuelta (C-416, C-417, C-418) al AG a través del EAP transmitido en PPP y RADIUS otra vez. Como antes, para los usuarios de UMTS el TE primero autentifica la red, con base en la AUTN. En esta fase, se tiene que tener en cuenta que el TE genera la clave de encriptación siguiendo los algoritmos normales definidos en AKA. La clave se usa como una semilla, es decir material para creación de claves, para deducir una o varias claves de sesión para ser usadas con el Protocolo de Control de Encriptación PPP formulados en RFC 1968, y cualquiera de los algoritmos de encriptación PPP existentes, por ejemplo, el protocolo de encriptación PPP triple DES RFC 2420.
El AG recibe (C-418) la respuesta EAP y comprueba la validez de la pregunta. La clave de encriptación AKA (Kc) ha sido recibida previamente en el vector de autentificación del HLR probablemente en cooperación con un Centro de Autentificación (AuC) no representado. El AG comunica entonces la clave de encriptación AKA (Kc) al AC (C-419, C-420) en el que reside el servidor de PPPoE. Esto puede ser hecho en un mensaje RADIUS Acceso-Aceptación, en el que se transmite el EAP-Éxito, pero como esta instrucción EAP no puede transportar ningún dato adicional, un Atributo Específico del Vendedor (VSA) puede ser una opción más válida.
En esta fase, el AC recibe (C-420) un mensaje RADIUS de Acceso-Aceptación y solicita una dirección IP de un servidor de Protocolo de Configuración de Ordenador Principal Dinámico (DH-CP), pudiendo ser posteriormente enviada al TE esta dirección IP. El AC sigue el mismo algoritmo que el TE para deducir las claves de sesión de la clave de encriptación (Kc) para ser usadas con el Protocolo de Control de Encriptación PPP y el algoritmo de encriptación PPP elegido (por ejemplo, 3DES). El AC envía eventualmente (C-421) el mensaje del EAP-éxito al TE, junto con otros parámetros de configuración destinados a dicho TE, tal como una dirección IP, una máscara de red IP, servidores DNS, y otros. Entonces, el enlace PPP está totalmente establecido y preparado para entrar en la fase de la red.

Claims (25)

1. Un método en un sistema de telecomunicación para permitir una autentificación basada en SIM a usuarios de una red inalámbrica de área local que son abonados de una red pública móvil terrestre, comprendiendo el método los pasos de:
(a)
acceder un terminal inalámbrico a la red inalámbrica de área local a través de un Punto de Acceso accesible;
(b)
descubrir un Controlador de Acceso interpuesto entre el Punto de Acceso y la red pública móvil terrestre desde el terminal inalámbrico;
(c)
realizar un procedimiento de autentificación basada en SIM de pregunta-respuesta entre el terminal inalámbrico y la red pública móvil terrestre a través del Controlador de Acceso, estando el terminal inalámbrico provisto de una tarjeta SIM y adaptado para leer los datos en ella; el método caracterizado porque las transmisiones de la autentificación pregunta-respuesta en el paso (c) tienen lugar antes de haber proporcionado conectividad IP al usuario, y se realizan:
-
en la parte superior de un protocolo Punto a Punto de capa 2 (PPPoE) entre el terminal inalámbrico y el Controlador de Acceso; y
-
en un protocolo de autentificación que reside en la capa de aplicación entre la red pública móvil terrestre y el Controlador de Acceso; y
el método comprende además un paso de:
(d)
ofrecer conectividad IP al usuario en el terminal inalámbrico enviando una dirección IP asignada y otros parámetros de configuración de la red una vez que dicho usuario ha sido autentificado válidamente por la red pública móvil terrestre.
2. El método de la reivindicación 1, en el que el paso b) de descubrir un Controlador de Acceso incluye un paso de establecer una sesión de Protocolo Punto a Punto entre un cliente del Protocolo Punto a Punto sobre Ethernet (PPPoE) en el terminal inalámbrico y un servidor del Protocolo Punto a Punto sobre Ethernet (PPPoE) en el Controlador de Acceso.
3. El método de la reivindicación 1, en el que el paso c) de realizar el procedimiento de autentificación pregunta-respuesta incluye los pasos de:
(c1)
enviar un identificador de usuario desde el terminal inalámbrico a la red pública móvil terrestre a través del Controlador de Acceso;
(c2)
recibir una pregunta de autentificación en el terminal inalámbrico desde la red pública móvil terrestre a través del Controlador de Acceso;
(c3)
deducir la clave de encriptación y la respuesta de autentificación en el terminal inalámbrico de la pregunta recibida;
(c4)
enviar la respuesta de autentificación desde el terminal inalámbrico a la red pública móvil terrestre a través del Controlador de Acceso;
(c5)
recibir en el Controlador de Acceso una clave de encriptación desde la red pública móvil terrestre; y
(c6)
extraer la clave de encriptación recibida para posterior encriptación del camino de comunicación con el terminal inalámbrico.
4. El método de la reivindicación 2, que además comprende un paso de desplazamiento de información de autentificación recibida en la parte superior de un protocolo Punto a Punto (PPPoE) de capa 2 hacia arriba a un protocolo de autentificación que reside en la capa de aplicación para transmisiones hacia la red pública móvil terrestre.
5. El método de la reivindicación 4, que además comprende un paso de desplazar información de autentificación recibida en un protocolo de autentificación que reside en la capa de aplicación hacia abajo en la parte superior de un protocolo Punto a Punto (PPPoE) de capa 2 para transmisiones hacia el terminal inalámbrico.
6. El método de la reivindicación 3, que además comprende un paso de establecer en el terminal inalámbrico un camino de encriptación simétrico usando las claves de encriptación previamente deducidas en el Controlador de Acceso y en el terminal inalámbrico.
\newpage
7. El método de cualquier reivindicación precedente, en el que el paso d) de enviar una dirección IP incluye un paso previo de solicitar tal dirección IP desde un servidor del Protocolo de Configuración del Ordenador Principal Dinámico.
8. El método de cualquier reivindicación precedente, en el que la comunicación entre el Controlador de Acceso y la red pública móvil terrestre pasa a través de una Pasarela de Autentificación de dicha red pública móvil terrestre.
9. El método de cualquier reivindicación precedente, en el que la comunicación entre el Controlador de Acceso y la Pasarela de Autentificación de una red pública móvil terrestre pasa a través de un Servidor de Autentificación de la red inalámbrica de área local encargada de autentificar los usuarios locales de dicha red inalámbrica de área local que no son abonados móviles.
10. El método de cualquier reivindicación precedente, en el que el identificador de usuario en el paso c1) comprende un Identificador de Acceso a la Red.
11. El método de cualquier reivindicación precedente, en el que el identificador de usuario en el paso c1) comprende una Identidad del Abonado Móvil Internacional.
12. El método de cualquier reivindicación precedente, en el que el protocolo de autentificación que reside en la capa de aplicación en el paso c) es un Protocolo de Autentificación Ampliable.
13. El método de la reivindicación 12, en el que este Protocolo de Autentificación Ampliable es transportado sobre un protocolo RADIUS.
14. El método de la reivindicación 12, en el que este Protocolo de Autentificación Ampliable es transportado sobre un protocolo Diameter.
15. Un Controlador de Acceso en un sistema de telecomunicación que comprende una red inalámbrica de área local que incluye al menos un Punto de Acceso, una red pública móvil terrestre, y al menos un Equipo de Terminal provisto de una tarjeta SIM y adaptado para leer los datos del abonado en ella, estando el Controlador de Acceso caracterizado porque comprende:
(a)
un servidor de protocolo Punto a Punto (PPPoE) de capa 2 para comunicar con el terminal inalámbrico, y dispuesto para tunelizar el procedimiento de autentificación pregunta-respuesta basada en SIM; y
(b)
un protocolo de autentificación que reside en una capa de aplicación OSI para comunicar con la red pública móvil terrestre.
16. El Controlador de Acceso de la reivindicación 15, que además comprende:
(a)
medios para desplazar la información recibida en la parte superior del protocolo Punto a Punto (PPPoE) de capa 2 hacia arriba al protocolo de autentificación que reside en la capa de aplicación; y
(b)
medios para desplazar la información recibida en el protocolo de autentificación que reside en la capa de aplicación hacia abajo en la capa superior del protocolo Punto a Punto (PPPoE) de capa 2.
17. El Controlador de Acceso de la reivindicación 16, que además comprende medios para solicitar una dirección IP desde un servidor del Protocolo de Configuración del Ordenador Principal Dinámico después de que un usuario ha sido autentificado con éxito por su red pública móvil terrestre.
18. Un Controlador de Acceso de acuerdo con la reivindicación 17, adaptado para comunicar con un terminal inalámbrico a través de un Punto de Acceso.
19. Un Controlador de Acceso de acuerdo con la reivindicación 17, adaptado para comunicar con una red pública móvil terrestre a través de una Pasarela de Autentificación.
20. Un Controlador de Acceso de acuerdo con la reivindicación 17, adaptado para comunicar con una Pasarela de Autentificación a través de un Servidor de Autentificación responsable de autentificar a los usuarios locales de una red inalámbrica de área local.
21. Un Controlador de Acceso de acuerdo con cualquiera de las reivindicaciones 15 a 20, en el que el protocolo de autentificación que reside en la capa de aplicación es un Protocolo de Autentificación Ampliable.
22. El Controlador de Acceso de la reivindicación 21, en el que este Protocolo de Autentificación Ampliable es transportado sobre un protocolo RADIUS.
23. El Controlador de Acceso de la reivindicación 21, en el que este Protocolo de Autentificación Ampliable es transportado sobre un protocolo Diameter.
24. Un terminal inalámbrico que tiene una tarjeta SIM accesible para realizar un procedimiento de autentificación con base en una SIM, comprendiendo el terminal inalámbrico una funcionalidad para actuar como un cliente de protocolo Punto a Punto (PPPoE) de capa 2 y teniendo un Protocolo de Autentificación Ampliable en la parte superior de este protocolo Punto a Punto (PPPoE) de capa 2, estando el terminal inalámbrico caracterizado porque recibe una dirección IP después de realizar con éxito un procedimiento de autentificación basada en SIM, siendo la dirección IP útil para ganar la conectividad IP.
25. Un sistema de telecomunicación que comprende una red inalámbrica de área local que incluye al menos un Punto de Acceso, una red pública móvil terrestre, y al menos menos un Equipo de Terminal provisto de una tarjeta SIM y adaptado para leer los datos del abonado en ella, caracterizado porque comprende además el Controlador de Acceso de las reivindicaciones 15 a 23 para permitir autentificación de abonado basada en SIM a los usuarios de la red inalámbrica de área local que son abonados de la red pública móvil terrestre.
ES02724305T 2002-05-01 2002-05-01 Sistema, aparato y metodo para la autentificacion y encriptacion basadas en sim (modulo de identificacion del suscriptor) en el acceso de una red de area local inalambrica (wlan). Expired - Lifetime ES2295336T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2002/004865 WO2003094438A1 (en) 2002-05-01 2002-05-01 System, apparatus and method for sim-based authentication and encryption in wireless local area network access

Publications (1)

Publication Number Publication Date
ES2295336T3 true ES2295336T3 (es) 2008-04-16

Family

ID=29286077

Family Applications (1)

Application Number Title Priority Date Filing Date
ES02724305T Expired - Lifetime ES2295336T3 (es) 2002-05-01 2002-05-01 Sistema, aparato y metodo para la autentificacion y encriptacion basadas en sim (modulo de identificacion del suscriptor) en el acceso de una red de area local inalambrica (wlan).

Country Status (10)

Country Link
US (1) US7936710B2 (es)
EP (1) EP1502388B1 (es)
JP (1) JP4194046B2 (es)
CN (1) CN100366007C (es)
AT (1) ATE380424T1 (es)
AU (1) AU2002255000A1 (es)
BR (1) BRPI0215728B1 (es)
DE (1) DE60223951T2 (es)
ES (1) ES2295336T3 (es)
WO (1) WO2003094438A1 (es)

Families Citing this family (99)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7325246B1 (en) * 2002-01-07 2008-01-29 Cisco Technology, Inc. Enhanced trust relationship in an IEEE 802.1x network
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
ATE311716T1 (de) * 2002-06-07 2005-12-15 Siemens Ag Verfahren und vorrichtung zur authentifizierung eines teilnehmers für die inanspruchnahme von diensten in einem wirelees lan (wlan)
US7634230B2 (en) * 2002-11-25 2009-12-15 Fujitsu Limited Methods and apparatus for secure, portable, wireless and multi-hop data networking
US20050152305A1 (en) * 2002-11-25 2005-07-14 Fujitsu Limited Apparatus, method, and medium for self-organizing multi-hop wireless access networks
US7565688B2 (en) 2002-12-23 2009-07-21 Hewlett-Packard Development Company, L.P. Network demonstration techniques
JP4475377B2 (ja) * 2002-12-27 2010-06-09 日本電気株式会社 無線通信システム、共通鍵管理サーバ、および無線端末装置
ITRM20030100A1 (it) * 2003-03-06 2004-09-07 Telecom Italia Mobile Spa Tecnica di accesso multiplo alla rete, da parte di terminale di utente interconnesso ad una lan e relativa architettura di riferimento.
US20060179305A1 (en) * 2004-03-11 2006-08-10 Junbiao Zhang WLAN session management techniques with secure rekeying and logoff
US20060179474A1 (en) * 2003-03-18 2006-08-10 Guillaume Bichot Authentication of a wlan connection using gprs/umts infrastructure
CA2524303A1 (en) * 2003-04-29 2004-11-11 Azaire Networks Inc. Method and system for providing sim-based roaming over existing wlan public access infrastructure
JP2005341290A (ja) * 2004-05-27 2005-12-08 Keio Gijuku 通信システムおよび無線通信装置
ES2384634T7 (es) * 2003-09-26 2018-10-11 Telefonaktiebolaget Lm Ericsson (Publ) Diseño de seguridad mejorado para criptografía en sistemas de comunicaciones de móviles
KR101120380B1 (ko) * 2003-11-11 2012-04-13 지멘스 악티엔게젤샤프트 제 1 단말기와 제 1 네트워크 그리고 제 2 단말기와 제 2 네트워크 간의 데이터 트래픽을 보호하기 위한 방법
GB2417856B (en) * 2004-03-20 2008-11-19 Alcyone Holding S A Wireless LAN cellular gateways
US7861006B2 (en) 2004-03-23 2010-12-28 Mcnulty Scott Apparatus, method and system for a tunneling client access point
US7623518B2 (en) * 2004-04-08 2009-11-24 Hewlett-Packard Development Company, L.P. Dynamic access control lists
US20050238171A1 (en) * 2004-04-26 2005-10-27 Lidong Chen Application authentication in wireless communication networks
US7873350B1 (en) * 2004-05-10 2011-01-18 At&T Intellectual Property Ii, L.P. End-to-end secure wireless communication for requesting a more secure channel
CN1274181C (zh) * 2004-06-25 2006-09-06 华为技术有限公司 管理本地终端设备接入网络的方法
GR1005023B (el) * 2004-07-06 2005-10-11 Atmel@Corporation Μεθοδος και συστημα ενισχυσης της ασφαλειας σε ασυρματους σταθμους τοπικου δικτυου (lan)
KR100626676B1 (ko) * 2004-07-15 2006-09-25 삼성전자주식회사 애드 혹 네트워크에서 프리픽스 할당 방법
KR100854845B1 (ko) * 2004-07-30 2008-08-27 메시네트웍스, 인코포레이티드 안전한 배치를 위한 네트워크 시스템 및 이를 배치하는 방법
WO2006013150A1 (en) * 2004-08-02 2006-02-09 Service Factory Sf Ab Sim-based authentication
DK1624639T3 (da) * 2004-08-02 2009-08-10 Service Factory Ab SIM-baseret autentificering
EP1635528A1 (en) * 2004-09-13 2006-03-15 Alcatel A method to grant access to a data communication network and related devices
JP4689225B2 (ja) * 2004-10-15 2011-05-25 パナソニック株式会社 無線ネットワークシステム、無線端末収容装置及び通信装置
US7483996B2 (en) * 2004-11-29 2009-01-27 Cisco Technology, Inc. Techniques for migrating a point to point protocol to a protocol for an access network
US7558866B2 (en) * 2004-12-08 2009-07-07 Microsoft Corporation Method and system for securely provisioning a client device
CN101116284B (zh) * 2004-12-17 2012-11-14 艾利森电话股份有限公司 无线电通信网络中的防克隆相互鉴权的方法、身份模块、服务器以及系统
WO2006079953A1 (en) * 2005-01-31 2006-08-03 Koninklijke Philips Electronics N.V. Authentication method and device for use in wireless communication system
US8059527B2 (en) * 2005-02-19 2011-11-15 Cisco Technology, Inc. Techniques for oversubscribing edge nodes for virtual private networks
FR2883115A1 (fr) * 2005-03-11 2006-09-15 France Telecom Procede d'etablissement d'un lien de communication securise
FR2884093B1 (fr) * 2005-03-31 2007-05-11 Sagem Procede et dispositif d'association d'un dispositif de communication a une passerelle
EP2811771B1 (en) * 2005-04-26 2016-01-20 Vodafone Group plc Telecommunications networks
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
CN100372440C (zh) * 2005-07-08 2008-02-27 清华大学 基于蜂窝网络定位的无线局域网发现方法
DE202005021930U1 (de) * 2005-08-01 2011-08-08 Corning Cable Systems Llc Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen
CN100417296C (zh) * 2005-09-20 2008-09-03 华为技术有限公司 一种终端接入3g网络的控制方法
EP1770940B1 (en) * 2005-09-30 2010-10-06 Alcyone Holding S.A. Method and apparatus for establishing a communication between a mobile device and a network
EP1958369B1 (en) 2005-12-01 2015-04-08 Ruckus Wireless, Inc. On-demand services by wireless base station virtualization
CN100452924C (zh) * 2006-01-09 2009-01-14 中国科学院软件研究所 利用sim卡实现终端与网络双向鉴权的方法和装置
US20070180499A1 (en) * 2006-01-31 2007-08-02 Van Bemmel Jeroen Authenticating clients to wireless access networks
US8953588B2 (en) * 2006-02-03 2015-02-10 Broadcom Corporation Mobile network with packet data network backhaul
CN101379853B (zh) * 2006-02-22 2013-03-27 日本电气株式会社 无线接入系统和无线接入方法
US8213900B2 (en) * 2006-02-23 2012-07-03 Togewa Holding Ag Switching system and corresponding method for unicast or multicast end-to-end data and/or multimedia stream transmissions between network nodes
JP4965144B2 (ja) * 2006-03-20 2012-07-04 株式会社リコー 通信装置
NO20061520L (no) * 2006-04-04 2007-10-05 Telenor Asa Fremgangsmate og anordning for autentisering av brukere
WO2007127120A2 (en) * 2006-04-24 2007-11-08 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
US9071583B2 (en) * 2006-04-24 2015-06-30 Ruckus Wireless, Inc. Provisioned configuration for automatic wireless connection
US9769655B2 (en) 2006-04-24 2017-09-19 Ruckus Wireless, Inc. Sharing security keys with headless devices
WO2007125054A1 (fr) * 2006-04-28 2007-11-08 Gemalto Sa Transmission de données entre un serveur et un objet communicant
EP1865656A1 (en) * 2006-06-08 2007-12-12 BRITISH TELECOMMUNICATIONS public limited company Provision of secure communications connection using third party authentication
DE102006038591B4 (de) 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
FI121560B (fi) * 2006-11-20 2010-12-31 Teliasonera Ab Todentaminen matkaviestintäyhteistoimintajärjestelmässä
GB2446738C (en) * 2007-02-02 2014-10-01 Ubiquisys Ltd Basestation measurement modes
GB2447442A (en) 2007-02-23 2008-09-17 Ubiquisys Ltd Base station for cellular communication system
CN101282259B (zh) * 2007-04-04 2011-07-27 中国电信股份有限公司 基于身份识别模块im的ip网接入认证系统、应用和方法
US8769611B2 (en) 2007-05-31 2014-07-01 Qualcomm Incorporated Methods and apparatus for providing PMIP key hierarchy in wireless communication networks
US9239915B2 (en) * 2007-09-26 2016-01-19 Intel Corporation Synchronizing between host and management co-processor for network access control
US10181055B2 (en) 2007-09-27 2019-01-15 Clevx, Llc Data security system with encryption
US11190936B2 (en) 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US10778417B2 (en) * 2007-09-27 2020-09-15 Clevx, Llc Self-encrypting module with embedded wireless user authentication
US10783232B2 (en) 2007-09-27 2020-09-22 Clevx, Llc Management system for self-encrypting managed devices with embedded wireless user authentication
JP5167759B2 (ja) * 2007-10-24 2013-03-21 日本電気株式会社 通信システム、通信方法、認証情報管理サーバおよび小型基地局
US8775790B2 (en) * 2007-10-30 2014-07-08 Honeywell International Inc. System and method for providing secure network communications
FI122163B (fi) * 2007-11-27 2011-09-15 Teliasonera Ab Verkkopääsyautentikointi
GB2464552B (en) 2008-10-22 2012-11-21 Skype Authentication system and method for authenticating a user terminal with an access node providing restricted access to a communication network
GB2464553B (en) * 2008-10-22 2012-11-21 Skype Controlling a connection between a user terminal and an access node connected to a communication network
US20100235900A1 (en) * 2009-03-13 2010-09-16 Assa Abloy Ab Efficient two-factor authentication
US9032058B2 (en) * 2009-03-13 2015-05-12 Assa Abloy Ab Use of SNMP for management of small footprint devices
CN102014384A (zh) * 2009-09-04 2011-04-13 黄金富 通过移动电话网络验证wapi无线网络终端身份的方法
US8873523B2 (en) * 2009-09-30 2014-10-28 Apple Inc. Methods and apparatus for solicited activation for protected wireless networking
US8830866B2 (en) * 2009-09-30 2014-09-09 Apple Inc. Methods and apparatus for solicited activation for protected wireless networking
CN102130975A (zh) * 2010-01-20 2011-07-20 中兴通讯股份有限公司 一种用身份标识在公共设备上接入网络的方法及系统
KR101426721B1 (ko) * 2010-03-09 2014-08-06 알까뗄 루슨트 가입자 단말을 인증하기 위한 방법 및 장비
JP2011199340A (ja) * 2010-03-17 2011-10-06 Fujitsu Ltd 通信装置及び方法、並びに通信システム
FR2958428B1 (fr) * 2010-03-30 2012-08-31 Radiotelephone Sfr Procede d'execution d'un premier service alors qu'un deuxieme service est en cours d'execution, au moyen d'un terminal informatique equipe d'une carte a circuit integre.
CN101815365B (zh) * 2010-04-02 2012-09-05 北京傲天动联技术有限公司 无线接入控制器发现、关联以及配置方法
US8464061B2 (en) 2010-08-30 2013-06-11 Apple Inc. Secure wireless link between two devices using probes
CN102083067A (zh) * 2010-12-17 2011-06-01 中国联合网络通信集团有限公司 通信终端、方法和系统
CN102625306A (zh) * 2011-01-31 2012-08-01 电信科学技术研究院 认证方法、系统和设备
US8887257B2 (en) * 2011-04-26 2014-11-11 David T. Haggerty Electronic access client distribution apparatus and methods
CN103858106B (zh) 2011-05-01 2017-04-26 鲁库斯无线公司 远程电缆接入点复位
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
CN102572838B (zh) * 2012-02-15 2015-10-28 刘士顺 一种无线pppoe拨号系统
US9092610B2 (en) 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
CN102917359A (zh) * 2012-09-27 2013-02-06 中兴通讯股份有限公司 一种内置PPPoE拨号功能的移动终端及其拨号方法
JP5987707B2 (ja) * 2013-01-25 2016-09-07 ソニー株式会社 端末装置、プログラム及び通信システム
EP3089495B1 (en) * 2013-12-25 2019-03-20 Sony Corporation Terminal device acquiring authentication data through other device
US9432363B2 (en) * 2014-02-07 2016-08-30 Apple Inc. System and method for using credentials of a first client station to authenticate a second client station
WO2015166722A1 (ja) * 2014-05-01 2015-11-05 ソニー株式会社 無線通信装置
US10223549B2 (en) * 2015-01-21 2019-03-05 Onion ID Inc. Techniques for facilitating secure, credential-free user access to resources
US9843885B2 (en) * 2015-08-12 2017-12-12 Apple Inc. Methods, procedures and framework to provision an eSIM and make it multi-SIM capable using primary account information
DE102015122936B4 (de) * 2015-12-29 2024-08-01 Deutsche Telekom Ag Verfahren zur flexibleren Ressourcennutzung bei der Telekommunikation
IL248058B (en) * 2016-09-26 2021-04-29 Verint Systems Ltd System and method for obtaining an ID of a mobile communication terminal at a checkpoint
CN108738013B (zh) * 2017-04-18 2021-11-19 华为技术有限公司 网络接入方法、装置和网络设备
JP7161108B2 (ja) * 2019-02-26 2022-10-26 日本電信電話株式会社 通信方法、通信システム、中継装置および中継プログラム
US11991520B2 (en) * 2022-04-29 2024-05-21 Microsoft Technology Licensing, Llc Encrypted flow of SIM data between regions and edge networks

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE508844C2 (sv) * 1997-02-19 1998-11-09 Postgirot Bank Ab Förfarande för behörighetskontroll med SIM-kort
FR2790177B1 (fr) * 1999-02-22 2001-05-18 Gemplus Card Int Authentification dans un reseau de radiotelephonie
US8463231B1 (en) * 1999-11-02 2013-06-11 Nvidia Corporation Use of radius in UMTS to perform accounting functions
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
FI20000761A0 (fi) 2000-03-31 2000-03-31 Nokia Mobile Phones Ltd Laskutus pakettidataverkossa
FI111208B (fi) * 2000-06-30 2003-06-13 Nokia Corp Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä
US7043633B1 (en) * 2000-08-28 2006-05-09 Verizon Corporation Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation
US6854014B1 (en) * 2000-11-07 2005-02-08 Nortel Networks Limited System and method for accounting management in an IP centric distributed network
US20030120920A1 (en) * 2001-12-20 2003-06-26 Svensson Sven Anders Borje Remote device authentication

Also Published As

Publication number Publication date
JP2005524341A (ja) 2005-08-11
CN1666465A (zh) 2005-09-07
AU2002255000A1 (en) 2003-11-17
JP4194046B2 (ja) 2008-12-10
US20060052085A1 (en) 2006-03-09
EP1502388A1 (en) 2005-02-02
BRPI0215728B1 (pt) 2016-06-07
WO2003094438A1 (en) 2003-11-13
EP1502388B1 (en) 2007-12-05
ATE380424T1 (de) 2007-12-15
BR0215728A (pt) 2005-02-22
DE60223951T2 (de) 2008-11-27
CN100366007C (zh) 2008-01-30
DE60223951D1 (de) 2008-01-17
US7936710B2 (en) 2011-05-03

Similar Documents

Publication Publication Date Title
ES2295336T3 (es) Sistema, aparato y metodo para la autentificacion y encriptacion basadas en sim (modulo de identificacion del suscriptor) en el acceso de una red de area local inalambrica (wlan).
KR102571312B1 (ko) 이종 액세스 네트워크를 통한 연결의 보안 실현을 위한 방법 및 장치
US8122249B2 (en) Method and arrangement for providing a wireless mesh network
US7546459B2 (en) GSM-like and UMTS-like authentication in a CDMA2000 network environment
Khan et al. Authentication in multi-hop wireless mesh networks
KR101195053B1 (ko) Uicc 없는 호출들을 지원
KR101054202B1 (ko) 인프라스트럭쳐 기반의 무선 멀티홉 네트워크 내의 보안 인증 및 키 관리
EP1770940B1 (en) Method and apparatus for establishing a communication between a mobile device and a network
PT1529374E (pt) Processo e sistema para autenticação gsm durante o roaming com wlan
US20130104207A1 (en) Method of Connecting a Mobile Station to a Communcations Network
US20060046693A1 (en) Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN)
RU2292648C2 (ru) Система, устройство и способ, предназначенные для аутентификации на основе sim и для шифрования при доступе к беспроводной локальной сети
CN102752298B (zh) 安全通信方法、终端、服务器及系统
GB2417856A (en) Wireless LAN Cellular Gateways
Fitzek et al. Authentication and Security in IP based Multi–Hop Networks
El-Sadek et al. Universal mobility with global identity (UMGI) architecture
Asokan et al. Man-in-the-middle in tunnelled authentication
Billington et al. Mutual authentication of B3G devices within personal distributed environments
Eronen et al. Authentication components: Engineering experiences and guidelines
Ramezani Coordinated Robust Authentication In Wireless Networks
Arbaugh Arunesh Mishra William A. Arbaugh
Yang et al. Security in WLANs
Tan Providing Secured Public Wireless-LAN Internet Access
Huang et al. The experimental campus WLAN roaming system and WiMAX integration in Taiwan
EP2578052A1 (en) Method of connecting a mobile station to a communications network