BR112019010431A2 - método, aparelho e sistema para controlar acesso a uma rede local - Google Patents

método, aparelho e sistema para controlar acesso a uma rede local Download PDF

Info

Publication number
BR112019010431A2
BR112019010431A2 BR112019010431A BR112019010431A BR112019010431A2 BR 112019010431 A2 BR112019010431 A2 BR 112019010431A2 BR 112019010431 A BR112019010431 A BR 112019010431A BR 112019010431 A BR112019010431 A BR 112019010431A BR 112019010431 A2 BR112019010431 A2 BR 112019010431A2
Authority
BR
Brazil
Prior art keywords
network
access
network access
granted
access device
Prior art date
Application number
BR112019010431A
Other languages
English (en)
Inventor
Neumann Christoph
Le Merrer Erwan
Heen Olivier
loeffler Siegfried
Onno Stephane
Original Assignee
Interdigital Ce Patent Holdings
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Interdigital Ce Patent Holdings filed Critical Interdigital Ce Patent Holdings
Publication of BR112019010431A2 publication Critical patent/BR112019010431A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

a invenção refere-se a um método para controlar o acesso a uma primeira rede, que compreende receber, por um primeiro dispositivo de acesso à rede da primeira rede, uma solicitação de acesso a partir de um dispositivo de usuário visitante, determinar, pelo primeiro dispositivo de acesso à rede, se ao dispositivo de usuário visitante foi concedido um acesso à primeira rede, se ao dispositivo visitante não foi concedido um acesso à primeira rede, determinar se existe um segundo dispositivo de acesso à rede que concedeu ao dispositivo de usuário visitante um acesso a uma segunda rede e a segunda rede dispositivo de acesso está ligada ao primeiro dispositivo de acesso à rede, e se o segundo dispositivo de acesso à rede existe, conceder ao dispositivo de usuário visitante um acesso à primeira rede pelo primeiro dispositivo de acesso à rede.

Description

“MÉTODO, APARELHO E SISTEMA PARA CONTROLAR ACESSO A UMA REDE LOCAL”
1. Campo Técnico [001 ]A presente invenção refere-se genericamente ao campo de controle de acesso a redes locais.
2. Técnica de Fundamento [002]O acesso a redes domésticas sem fio é geralmente protegido por uma senha ou chave, tais como chave WPA (Acesso Protegido de Wi-Fi) ou chave PréCompartilhada (WPA-PSK). Em geral, essa senha deve ser dada aos convidados ou amigos que tentam acessar a rede doméstica sem fio. Isso é muitas vezes uma operação complicada, exigindo a entrada manual da senha, e exige que o proprietário da rede divulge a senha para os convidados.
[003]W02015153924A1 descreve um sistema e método para conceder acesso à rede para dispositivos que se conectam a um ponto de acesso sem fio. Depois de ter recebido uma solicitação de conexão, o ponto de acesso consulta uma rede social, tal como o Facebook ou Linkedln, ou um serviço de reunião, como o Outlook, para autorizar o acesso ou não. Dependendo da conexão entre o usuário do dispositivo de conexão e o proprietário do ponto de acesso, o acesso é concedido ou não. A principal desvantagem desse método é que o proprietário do gateway / ponto de acesso e o proprietário do dispositivo de conexão precisam ter uma conta nestas redes sociais ou serviços de reunião (por exemplo, Outlook). A conexão com a rede não é possível se o usuário do dispositivo de conexão e o proprietário do ponto de acesso não forem ambos membros da mesma rede social ou serviço de reunião.
3. Resumo da Invenção [004]A finalidade da invenção é a de proporcionar dispositivos de usuários com acesso a redes locais, tais como a rede Wi-Fi, Bluetooth ou Ethernet, nunca
Petição 870190047835, de 22/05/2019, pág. 13/40
2/14 antes visitadas sem a necessidade de interação do usuário. De acordo com modalidades da invenção, o processo de autenticação pode refletir a confiança e/ou da relação que os usuários têm.
[005]De acordo com uma ou mais modalidades da invenção, o acesso a uma determinada rede local, denominada primeira rede, é concedido a um dispositivo de usuário, referido como um dispositivo de usuário visitante, se ao dispositivo visitantente for concedido acesso a uma segunda rede e se lá existir outro dispositivo de usuário, referido como um segundo dispositivo de usuário, tendo acesso a ambas as primeira e segunda redes. Normalmente, um usuário pode acessar a rede doméstica de um amigo, se esse amigo já tiver acesso à rede doméstica do usuário. De modo mais geral, de acordo com uma ou mais modalidades da invenção, um usuário pode acessar a rede de um amigo se este amigo ou um amigo do presente amigo já tiver acesso à rede doméstica do usuário.
[006]Um primeiro aspecto da presente invenção refere-se a um método para controlar o acesso a uma primeira rede, compreendendo as etapas de:
- receber (S1), por um primeiro dispositivo de acesso à rede da primeira rede, uma solicitação de acesso a partir de um dispositivo de usuário visitante,
- determinar (S2), pelo primeiro dispositivo de acesso à rede, se ao dispositivo de usuário visitante foi concedido um acesso à primeira rede,
- se ao dispositivo visitante não foi concedido um acesso à primeira rede, determinar (S3) se houver um segundo dispositivo de acesso à rede que concedeu ao dispositivo de usuário visitante um acesso a uma segunda rede e o segundo dispositivo de acesso à rede é ligado ao primeiro dispositivo de acesso à rede e
- se existir o segundo dispositivo de acesso à rede, conceder (S4) ao dispositivo de usuário visitante um acesso à primeira rede pelo primeiro dispositivo de acesso à rede, em que o segundo dispositivo de acesso à rede é ligado ao primeiro
Petição 870190047835, de 22/05/2019, pág. 14/40
3/14 dispositivo de acesso à rede, se uma das seguintes condições de ligação for atendida:
a) a um dispositivo de usuário diferente foi concedido um acesso à primeira e segunda redes pelos referidos primeiro e segundo dispositivos de acesso à rede, respectivamente, e
b) pelo menos uma comunicação foi trocada entre os primeiro e segundo dispositivos de acesso à rede.
[007]Assim, de acordo com uma ou mais modalidades da invenção, ao dispositivo visitante é concedido um acesso à primeira rede se ao dispositivo visitante for concedido um acesso a uma segunda rede e o segundo dispositivo de acesso à rede for ligado ao primeiro dispositivo de acesso à rede. Esta última condição é satisfeita se existir um dispositivo de usuário ao qual tenha sido concedido acesso a ambas as primeira e segunda redes através dos referidos primeiro e segundo dispositivos de acesso à rede ou se pelo menos uma comunicação foi trocada entre os referidos primeiro e segundo dispositivos de acesso à rede.
[008]Esta comunicação pode ser um telefonema ou um e-mail eletrônico.
[009]De acordo com uma modalidade particular, ao dispositivo visitante também é concedido um acesso à primeira rede se o segundo dispositivo de acesso à rede for ligado ao primeiro dispositivo de acesso à rede através de um ou uma pluralidade de dispositivos de acesso à rede intermediários, cada um do referido um ou uma pluralidade de dispositivos de acesso à rede intermediários sendo ligado ao primeiro ou segundo dispositivo de acesso à rede, quando existe um dispositivo de usuário ao qual foi concedido um acesso a uma rede pelo referido dispositivo de acesso à rede intermediário e à primeira ou segunda rede pelo referido primeiro ou segundo dispositivo de acesso à rede.
[010]De acordo com uma modalidade particular, quando o segundo
Petição 870190047835, de 22/05/2019, pág. 15/40
4/14 dispositivo de acesso à rede é ligado ao primeiro dispositivo de acesso à rede através de n dispositivos de acesso à rede intermediários, ao dispositivo visitante é concedido um acesso à primeira rede apenas se n for inferior ou igual a um número predeterminado N.
[011]De acordo com uma modalidade particular, pelo menos dois tipos de acesso à primeira rede compreendendo pelo menos um acesso completo e um acesso restrito são definidos. Nesta modalidade, o segundo dispositivo de acesso à rede é ligado ao primeiro dispositivo de acesso à rede através de n dispositivos de acesso à rede intermediários, e ao dispositivo visitante é concedido um acesso completo à primeira rede, se n for inferior ou igual a um número predeterminado Ni e ao dispositivo visitante é concedido um acesso restrito à primeira rede, se n for inferior ou igual a um número predeterminado N2, com N1 < N2.
[012]De acordo com uma modalidade particular, ao dispositivo visitante é concedido um acesso à primeira rede se 0 segundo dispositivo de acesso à rede for ligado ao primeiro dispositivo de acesso à rede, diretamente ou através de gateway intermediários, desde um período de tempo predefinido.
[013]Um segundo aspecto da invenção refere-se a um sistema para controlar 0 acesso a uma primeira rede, compreendendo:
- uma pluralidade de dispositivos de acesso à rede para acessar a uma pluralidade de redes locais, a referida pluralidade de dispositivos de acesso à rede compreendendo um primeiro dispositivo de acesso à rede para acessar a referida primeira rede, e
- um servidor de autenticação conectado à referida pluralidade de dispositivos de acesso à rede, em que 0 primeiro dispositivo de acesso à rede e 0 servidor estão configurados para executar as seguintes tarefas quando 0 primeiro dispositivo de acesso à rede recebe uma solicitação de acesso a partir de um primeiro dispositivo
Petição 870190047835, de 22/05/2019, pág. 16/40
5/14 de usuário chamado dispositivo visitante:
- o primeiro dispositivo de acesso à rede determina se o dispositivo visitante tem acesso à primeira rede,
- se ao referido dispositivo visitante não foi concedido um acesso, o primeiro dispositivo de acesso à rede contaca o servidor de autenticação a fim de determinar se existe um segundo dispositivo de acesso à rede que concedeu ao dispositivo visitantnate um acesso a uma segunda rede e que está ligado ao primeiro dispositivo de acesso à rede e
- se existir tal segundo dispositivo de acesso à rede, o servidor de autenticação entrega uma autorização de acesso ao primeiro dispositivo de acesso à rede e ao dispositivo visitante é concedido o acesso à primeira rede pelo primeiro dispositivo de acesso à rede, em que o segundo dispositivo de acesso à rede é ligado ao primeiro dispositivo de acesso à rede, se uma das seguintes condições de ligação for satisfeita:
a) existe um dispositivo de usuário, chamado segundo dispositivo de usuário, ao qual foi concedido o acesso às referidas primeira e segunda redes pelos referidos primeiro e segundo dispositivos de acesso à rede, respectivamente, ou
b) pelo menos uma comunicação foi trocada entre os referidos primeiro e segundo dispositivos de acesso à rede.
[014]De acordo com uma modalidade particular, a autenticação entrega uma autorização de acesso se o segundo dispositivo de acesso à rede for ligado ao primeiro dispositivo de acesso à rede através de um ou vários dispositivos de acesso à rede intermediários, cada um dos referidos um ou vários dispositivos de acesso à rede intermediários sendo ligados ao primeiro ou segundo dispositivo de acesso à rede quando há um dispositivo de usuário ao qual foi concedido um acesso a uma rede local pelo referido dispositivo de acesso à rede intermediário e à referida
Petição 870190047835, de 22/05/2019, pág. 17/40
6/14 primeira ou segunda rede pelo referido primeiro ou segundo dispositivo de acesso à rede.
[015]De acordo com uma modalidade particular, o servidor de autenticação é configurado para receber, periodicamente, ou não, a partir dos primeiro e segundo dispositivos de acesso à rede e onde apropriado a partir dos dispositivos de acesso à rede intermediários, identificadores de dispositivos de usuário que tenham concedido um acesso a uma rede local pelos referidos dispositivos de acesso à rede, os identificadores dos dispositivos de usuário sendo associados aos dispositivos de acesso à rede pelo qual eles têm acesso a uma rede local.
[016]Em uma ou mais modalidades, o primeiro dispositivo de acesso à rede é um dispositivo de gateway. Em uma ou mais modalidades, o segundo dispositivo de acesso à rede é um dispositivo de gateway.
[017]De acordo com uma modalidade particular, os identificadores de dispositivos de usuário são os endereços MAC dos dispositivos de usuário.
4. Breve Descrição dos Desenhos [018]A invenção pode ser melhor compreendida com referência à seguinte descrição e desenhos, dados a título de exemplo e não limitando o âmbito da proteção, e em que:
[019]FIG. 1 é um exemplo de um primeiro gráfico descrevendo as ligações entre os gateways de redes de acordo com uma modalidade;
[020]FIG. 2 é um exemplo de um segundo gráfico descrevendo as ligações entre os gateways de redes de acordo com uma modalidade;
[021]FIG. 3 é uma vista esquemática da arquitetura global de um sistema de acordo com uma modalidade;
[022]FIG. 4 é um fluxograma que ilustra as etapas do método de acordo com uma modalidade; e [023]FIG. 5 é uma vista esquemática ilustrativa de um gateway que recebe
Petição 870190047835, de 22/05/2019, pág. 18/40
7/14 uma solicitação de acesso.
5. Descrição de Modalidades [024]Enquanto exemplo, modalidades são capazes de várias modificações e formas alternativas, modalidades da mesma são mostradas a título de exemplo nos desenhos e serão aqui descritas em detalhes. Deve ser entendido, contudo, que não há intenção de limitar modalidades exemplares às formas particulares divulgadas, mas, pelo contrário, modalidades exemplares devem cobrir todas as modificações, equivalentes e alternativas que caem dentro do âmbito das reivindicações. Números semelhantes referem-se a elementos semelhantes em toda a descrição das figuras.
[025]Modalidades da invenção serão descritas no âmbito do controle de acesso à redes domésticas que podem ser acessadas através de gateways domésticos. Dispositivos de usuário, tais como telefones celulares, laptops ou pads, pode acessar às redes domésticas através dos gateways domésticos.
[026]Na descrição seguinte, o termo gateway ou dispositivo de acesso à rede designa um ponto de acesso a uma rede (por exemplo, uma rede doméstica) para um determinado dispositivo de usuário. O dispositivo de usuário pode ser um telefone celular, um laptop ou um pad. O termo rede designa um conjunto de dispositivos eletrônicos que estão ligados uns aos outros, a fim de trocar dados e compartilhar recursos. A rede pode ser acessada por um dispositivo de usuário, por exemplo, fornecendo uma senha ou uma chave.
[027]De acordo com uma modalidade da invenção, cada gateway doméstico coleta os identificadores de dispositivos de usuário que se conectaram à rede doméstica associada, através de uma ligação Wi-Fi, Bluetooth ou Ethernet. Estes identificadores são por exemplo, os endereços MAC (COntrole de Acesso ao Meio) dos dispositivos de usuários que têm um acesso autenticado e concederam acesso à rede doméstica. Estes acessos à rede doméstica podem ter sido concedidos por vários meios: quer fornecendo a chave WPA-PSK, um método WPS
Petição 870190047835, de 22/05/2019, pág. 19/40
8/14 (Estabelecimento Protegido de Wi-Fi), ou pelo mecanismo de uma ou mais modalidades da presente invenção.
[028]O gateway doméstico envia a lista de identificadores (tal como endereços MAC) desses dispositivos de usuários com seu identificador de gateway (por exemplo, o endereço MAC do gateway) para um servidor de autenticação distante.
[029]O servidor de autenticação coleta a informação acima a partir de uma pluralidade de gateways domésticos, por exemplo, os gateways domésticos de um ou vários operadores de telecom. Com base nessas informações o servidor constrói um gráfico. Os nós do gráfico são os gateways domésticos. Ao receber os identificadores dos diferentes gateways, o servidor cria uma borda entre dois gateways domésticos se existir um dispositivo de usuário que se conectou aos dois gateways domésticos ou seja, se um mesmo identificador estiver presente na lista de identificadores dos dois gateways.
[030]Assim, de acordo com uma modalidade, quando um dispositivo de usuário convidado / visitante solicita acesso à rede através de um gateway doméstico, chamado de gateway hospedeiro, sem saber, por exemplo, a chave WPA PSK, o gateway hospedeiro cantata o servidor de autenticação e provê seu próprio identificador (por exemplo, o seu endereço MAC) e o endereço MAC do dispositivo de usuário solicitante. O servidor de autenticação busca o gráfico e determina se pelo menos um gateway doméstico que o dispositivo usuário solicitante visitou antes e o gateway hospedeiro são conectados (ligados) por uma borda. Se assim for, o servidor de autenticação informa o gateway hospedeiro que o acesso é concedido ao dispositivo de usuário solicitante.
[031 ]FIG.1 mostra um exemplo de gráfico simplificado compreendendo dois gateways domésticos G1 e G2 como nós. A três dispositivos de usuários UD1, UD2 e UD3 é concedido acesso ao gateway G2. Isto é mostrado na figura por um
Petição 870190047835, de 22/05/2019, pág. 20/40
9/14 retângulo posicionado próximo ao gateway, este retângulo representa a lista de dispositivos de usuário que têm acesso concedido ao gateway. Ao dispositivo de usuário UD2 é concedido acesso ao gateway G1. Uma borda E1 é criada entre G1 e G2 uma vez que ao dispositivo de usuário UD2 é concedido acesso a ambos os gateways.
[032]De acordo com uma modalidade, se o dispositivo de usuário UD1, solicita acesso ao gateway G1, este acesso será concedido desde G1 esteja ligado a G2 pela borda E1.
[033]Em outra modalidade, o acesso também é concedido, se os gateways G1 e G2 forem ligados por várias bordas consecutivas, o que significa que os gateways G1 e G2 estão ligados através de gateways intermediários. Este caso é ilustrado pela figura 2. Neste exemplo, o gráfico compreende três gateways G1, G2 e G3 como nós. Aos dispositivos de usuário UD1 e UD2 são concedidos acesso ao gateway G2, aos dispositivos de usuário UD2 e UD3 é concedido acesso ao gateway G3 e ao dispositivo de usuário UD3 é concedido acesso ao gateway G1. Uma borda E2 é criada entre G2 e G3 desde que o dispositivo de usuário UD2 tenha concedido acesso a esses dois gateways. Uma borda E3 é criada entre G1 e G2 desde que o dispositivo de usuário UD3 tenha concedido acesso a esses gateways.
[034]De acordo com uma modalidade, se o dispositivo de usuário UD1, solicita acesso ao gateway G1, este será concedido acesso desde que G1 esteja ligado ao G2 pelas bordas consecutivas E2 e E3.
[035]Em uma modalidade particular, o número de bordas consecutivas é limitado a um número predeterminado Μ. O acesso não será concedido se o número de bordas consecutivas for maior que M. Isto significa que o acesso não é concedido se o número de gateways intermediários for maior do que N = M-1.
[036]Em uma modalidade particular, o tipo de acesso é determinado com base no número n de gateways intermediários (isto é, o número m = n + 1 de bordas
Petição 870190047835, de 22/05/2019, pág. 21/40
10/14 consecutivas) no gráfico. Por exemplo, dois tipos de acesso podem ser definidos: um acesso completo e um acesso restrito. Em um acesso completo, um dispositivo de usuário visitante tem acessado para às mesmas funcionalidades que o proprietário da rede local e, em um acesso restrito, o dispositivo visitante tem acessado à apenas uma parte delas. Nesta modalidade particular, ao dispositivo visitante é concedido um acesso completo, se o número n de gateways intermediários no gráfico for menor do que ou igual a Ni e um acesso restrito se o número n de gateways intermediários no gráfico for menor do que ou igual a N2, com N1 < N2 = N. Por exemplo, N1 = 1 e N2 = 3.
[037]Em uma modalidade particular, 0 gráfico é periodicamente recalculado e uma borda é mantida entre dois gateways apenas se houver um dispositivo de usuário que se conectou a ambos os gateways desde um período de tempo predefinido, por exemplo, durante 0 último mês ou a última semana. Para este fim, 0 gateway doméstico envia, juntamente com a lista de identificadores aos quais foi concedido acesso, a data de acesso para cada identificador da lista. Nesse caso, as bordas antigas não são mantidas no gráfico.
[038]FIG.3 ilustra um sistema de acordo com uma modalidade da invenção. Os gateways 10 de uma pluralidade de redes locais são conectados a um servidor de autenticação 20.
[039]Cada gateway coleta identificadores dos dispositivos que se conectaram à rede local associada. Estes identificadores são enviados para 0 servidor 20 periodicamente ou quando um usuário solicita acesso à rede local. Em seguida, 0 servidor de autenticação 20 constrói um gráfico com base nesses identificadores.
[040]Quando um dispositivo de usuário solicita um acesso a uma determinada rede local sem 0 uso de uma chave dedicada, a chave WPA-PSK, 0 gateway associado (primeiro gateway) contata 0 servidor e envia 0 identificador do
Petição 870190047835, de 22/05/2019, pág. 22/40
11/14 dispositivo de usuário e seu identificador para o servidor 20 a fim de determinar se existe um segundo gateway ao qual o dispositivo de usuário concedeu acesso e que o segundo gateway está ligado ao primeiro gateway. O servidor 20 busca o gráfico a fim de determinar se existe um segundo gateway ao qual o dispositivo de usuário concedeu acesso e se o segundo gateway está ligado ao primeiro gateway por uma borda ou uma pluralidade de bordas consecutivas. Se assim for, o servidor responde ao primeiro gateway que o dispositivo de usuário pode acessar à rede local.
[041 ]Em uma modalidade, o primeiro gateway pode baixar uma cópia do gráfico e informações de acesso do servidor 20 e determinar a partir do gráfico se houver um segundo gateway ao qual o dispositivo de usuário concedeu acesso e que o segundo gateway está ligado ao primeiro gateway.
[042]Como mencionado antes, os identificadores de dispositivos de usuário ou os gateways são, por exemplo, nos endereços MAC destes dispositivos.
[043]Em outra modalidade, outros elementos de identificação podem ser utilizados. O identificador pode ser, por exemplo, um identificador de um cartão SIM, por exemplo IMSI (Identidade de Assinante Móvel Internacional), autenticada por um protocolo EAP, por exemplo, ΕΑΡ-SIM (Extensão de Protocolo de Autenticação Módulo de Identidade de Assinante) ou EAP-AKA (Protocolo de Autenticação Estendida - Acordo de Autenticação e Chave). Estes identificadores são autenticados quando os dispositivos do usuário se conectam a uma rede local.
[044]Em uma modalidade alternativa, o servidor cria uma borda entre dois gateways domésticos (indicando que os dois gateways domésticos estão ligados) se pelo menos uma comunicação foi trocada entre os dois gateways domésticos. A comunicação é, por exemplo, um telefonema ou um e-mail.
[045]Nesta modalidade, as bordas são criadas com base em chamadas de telefone e informações de e-mail disponíveis nos servidores das operadoras de telecomunicações. A autenticação serve para construir o gráfico com base nestas
Petição 870190047835, de 22/05/2019, pág. 23/40
12/14 informações.
[046]Em outra modalidade, uma vantagem é criada apenas se uma pluralidade de chamadas ou mensagens foram trocadas entre os dois gateways. Por exemplo, uma vantagem é criada se pelo menos n comunicações são trocas, com n >2.
[047]Em outra modalidade, uma vantagem é criada se as comunicações estão em ambas as direções (telefonemas ou e-mails vêm de ambos os gateways) e se estas comunicações são regulares (por exemplo pelo menos um telefonema ou email a cada mês ou a cada semana).
[048]FIG. 4 é um fluxograma que ilustra as etapas de um modalidade.
[049]Em uma primeira etapa S1, o primeiro gateway, como um exemplo de um dispositivo de acesso à rede, da primeira rede recebe uma solicitação de acesso a partir de um dispositivo de usuário visitante (o primeiro dispositivo de usuário).
[050]Em uma segunda etapa S2, o primeiro gateway determina se o dispositivo visitante tem acesso à primeira rede. Se assim for, o acesso é concedido.
[051 ]Em uma terceira etapa S3, se ao dispositivo visitante não foi concedido o acesso, o primeiro gateway contata o servidor de autenticação 20, a fim de determinar se existe um segundo gateway, também como um exemplo de um dispositivo de acesso à rede, que concedeu ao dispositivo visitante um acesso a uma segunda rede e o segundo gateway está ligado ao primeiro gateway. O servidor de autenticação busca o gráfico. Ela determina se há um segundo gateway que concedeu ao dispositivo visitantete um acesso a uma segunda rede lendo a lista de identificadores associados a cada gateway e o segundo gateway está ligado ao primeiro gateway por uma borda ou, em uma modalidade particular, por bordas sucessivas.
[052]Como mencionado acima, o primeiro gateway pode baixar uma cópia do gráfico e acessar informação do servidor 20 e determinar a partir do gráfico se há
Petição 870190047835, de 22/05/2019, pág. 24/40
13/14 um segundo gateway ao qual o dispositivo de usuário concedeu acesso e que o segundo gateway está ligado ao primeiro gateway.
[053]Se um segundo gateway ligado ao primeiro gateway for encontrado, o primeiro gateway é configurado para conceder ao dispositivo visitante um acesso à primeira rede em uma etapa S4. Caso contrário, o acesso é recusado no etapa S5.
[054]A figura 5 é uma vista esquemática de um primeiro gateway. O primeiro gateway 10 inclui um processador 100 (por exemplo uma unidade de processamento central (CPU) ou outro processador (s) apropriado), uma memória 102 (por exemplo, memória de acesso aleatório (RAM), memória somente de leitura (ROM), e semelhantes) e um ou mais dispositivos de entrada / saída 101, a fim de se comunicar com o servidor de autenticação. As etapas exemplares mostradas na Figura 4 são executadas pelo processador 100.
[055]A memória 102 pode representar tanto uma memória transitória tal como a RAM, quanto uma memória não transitória, tal como uma ROM, uma unidade de disco rígido, uma unidade de CD, uma unidade de Blu-ray, e/ou uma memória flash, para o processamento e armazenamento de diferentes arquivos, dados e informação, conforme necessário, incluindo produtos de programa de computador e software (por exemplo, tal como representado por um diagrama de fluxo da FIG. 4), uma cópia do gráfico a partir do servidor de autenticação 20, identificadores de dispositivos de usuário, e etc., como necessário.
[056]Em virtude das modalidades da invenção, um dispositivo de usuário pode acessar a uma rede local, mesmo se ele não fornecer a senha dedicada ou chave.
[057]Embora algumas modalidades da presente invenção tenham sido ilustradas nos desenhos em anexo e descritas na precedente Descrição Detalhada, deve ser compreendido que a presente invenção não está limitada às modalidades descritas, mas é suscetível de numerosos rearranjos, modificações e substituições
Petição 870190047835, de 22/05/2019, pág. 25/40
14/14 sem que se afaster da invenção, tal como definido adiante e definido pelas reivindicações seguintes.

Claims (15)

  1. REIVINDICAÇÕES
    1. Método para controlar acesso a uma primeira rede, CARACTERIZADO pelo fato de que compreende:
    - receber (S1), por um primeiro dispositivo de acesso à rede da primeira rede, uma solicitação de acesso a partir de um primeiro dispositivo de usuário,
    - determinar (S2), pelo primeiro dispositivo de acesso à rede, se ao primeiro dispositivo de usuário foi concedido um acesso à primeira rede,
    - se ao primeiro dispositivo de usuário não foi concedido um acesso à primeira rede, determinar (S3) se um segundo dispositivo de acesso à rede ligado ao primeiro dispositivo de acesso à rede concedeu ao primeiro dispositivo de usuário um acesso a uma segunda rede, e
    - se o segundo dispositivo de acesso à rede concedeu acesso ao primeiro dispositivo de usuário, conceder (S4) ao primeiro dispositivo de usuário um acesso à primeira rede pelo primeiro dispositivo de acesso à rede, em que o segundo dispositivo de acesso à rede é ligado ao primeiro dispositivo de acesso à rede, se uma das seguintes condições de ligação for satisfeita:
    c) um dispositivo de usuário diferente concedeu um acesso às primeira e segunda redes pelos referidos primeiro e segundo dispositivos de acesso à rede, respectivamente, e
    d) pelo menos uma comunicação foi trocada entre os primeiro e segundo dispositivos de acesso à rede.
  2. 2. Método de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que a comunicação trocada entre os referidos primeiro e segundo dispositivos de acesso à rede é uma chamada de telefone ou uma mensagem de e-mail.
  3. 3. Método de acordo com a reivindicação 1 ou 2, CARACTERIZADO pelo fato de que o segundo dispositivo de acesso à rede é ligado ao primeiro dispositivo de acesso à rede se o segundo dispositivo de acesso à rede for ligado ao primeiro
    Petição 870190047835, de 22/05/2019, pág. 27/40
    2/4 dispositivo de acesso à rede através de pelo menos um dispositivo de acesso à rede intermediário.
  4. 4. Método de acordo com a reivindicação 3, CARACTERIZADO pelo fato de que, quando o segundo dispositivo de acesso à rede é ligado ao primeiro dispositivo de acesso à rede através de um dispositivo de acesso à rede intermediário, ao primeiro dispositivo de usuário é concedido um acesso à primeira rede se um número n de dispositivos de acesso à rede intermediários for menor do que ou igual a um número predeterminado N.
  5. 5. Método de acordo com a reivindicação 3 ou 4, CARACTERIZADO pelo fato de que pelo menos dois tipos de acesso, compreendendo pelo menos um acesso completo e um acesso restrito à primeira rede são definidos e o segundo dispositivo de acesso à rede é ligado ao primeiro dispositivo de acesso à rede através de um dispositivo de acesso à rede intermediário, e em que ao primeiro dispositivo de usuário é concedido um acesso completo à primeira rede se n for inferior ou igual a um número predeterminado N1 e ao primeiro dispositivo de usuário é concedido um acesso restrito à primeira rede, se n for inferior que ou igual a um número predeterminado N2, com N1 < N2.
  6. 6. Método de acordo com qualquer uma das reivindicações 1 a 5, CARACTERIZADO pelo fato de que ao primeiro dispositivo de usuário é concedido um acesso à primeira rede se o segundo dispositivo de acesso à rede for ligado ao primeiro dispositivo de acesso à rede, desde um período de tempo predefinido.
  7. 7. Primeiro dispositivo de acesso à rede para controlar o acesso a uma primeira rede, CARACTERIZADO pelo fato de que compreende:
    - uma memória (102) armazenando software; e
    - um processador (100) configurado para receber uma solicitação de acesso a partir de um primeiro dispositivo de usuário;
    - determinar se o primeiro dispositivo de usuário tem acesso à primeira rede;
    Petição 870190047835, de 22/05/2019, pág. 28/40
    3/4
    - se o primeiro dispositivo de usuário não concedeu um acesso à primeira rede, o processador (100) configurado para determinar se um segundo dispositivo de acesso à rede ligado ao primeiro dispositivo de acesso à rede concedeu ao primeiro dispositivo usuário um acesso a uma segunda rede ,
    - se o segundo dispositivo acesse a rede concedeu acesso ao primeiro dispositivo de usuário, o processador é configurado para conceder ao primeiro dispositivo de usuário um acesso à primeira rede, em que o segundo dispositivo de acesso à rede é ligado ao primeiro dispositivo de acesso à rede, se uma das seguintes condições de ligação for satisfeita:
    a) a um dispositivo de usuário diferente tem sido concedido um acesso à primeira e segunda redes pelos referidos primeiro e segundo dispositivos de acesso à rede, respectivamente, e
    b) pelo menos uma comunicação tem sido trocada entre os referidos primeiro e segundo dispositivos de acesso à rede.
  8. 8. Primeiro dispositivo de acesso à rede de acordo com a reivindicação 7, CARACTERIZADO pelo fato de que a comunicação trocada entre os primeiro e segundo dispositivos de acesso à rede é uma chamada de telefone ou uma mensagem de e-mail.
  9. 9. Primeiro dispositivo de acesso à rede de acordo com a reivindicação 7 ou 8, CARACTERIZADO pelo fato de que o segundo dispositivo de acesso à rede é ligado ao primeiro dispositivo de acesso à rede se o segundo dispositivo de acesso à rede for ligado ao primeiro dispositivo de acesso à rede através de pelo menos um dispositivo de acesso à rede intermediário.
  10. 10. Primeiro dispositivo de acesso à rede de acordo com a reivindicação 8 ou 9, CARACTERIZADO pelo fato de que quando o segundo dispositivo de acesso à rede é ligado ao primeiro dispositivo de acesso à rede através de n dispositivos de acesso à rede intermediário, ao primeiro dispositivo de usuário é concedido um
    Petição 870190047835, de 22/05/2019, pág. 29/40
    4/4 acesso à primeira rede se n for menor do que ou igual a um número predeterminado N.
  11. 11. Primeiro dispositivo de acesso à rede de acordo com a reivindicação 10, CARACTERIZADO pelo fato de que pelo menos dois tipos de acesso, compreendendo pelo menos um acesso completo e um acesso restrito à primeira rede são definidos e o segundo dispositivo de acesso à rede é ligado ao primeiro dispositivo de acesso à rede através de um dispositivo de acesso à rede intermediário, e em que ao primeiro dispositivo de usuário é concedido um acesso completo à primeira rede, se n for inferior ou igual a um número predeterminado N1 e ao primeiro dispositivo de usuário é concedido um acesso restrito à primeira rede, se n for inferior que ou igual a um número predeterminado N2, com N1 < N2.
  12. 12. Primeiro dispositivo de acesso à rede de acordo com qualquer uma das reivindicações 7 a 11, CARACTERIZADO pelo fato de que ao primeiro dispositivo de usuário é concedido um acesso à primeira rede se o segundo dispositivo de acesso à rede for ligado ao primeiro dispositivo de acesso à rede, desde um período de tempo predefinido .
  13. 13. Gateway, CARACTERIZADO pelo fato de que compreende o primeiro dispositivo de acesso à rede definido em qualquer uma das reivindicações 7 a 12.
  14. 14. Dispositivo de armazenamento de programa não transitório (205) legível por máquina, CARACTERIZADO pelo fato de que tangivelmente incorpora um programa de instruções executáveis pela máquina para executar as etapas de programa definidas em qualquer uma das reivindicações 1-6.
  15. 15. Programa de computador que compreende instruções de código de software para realizar o método definido em qualquer uma das reivindicações 1 a 6, CARACTERIZADO pelo fato de que o programa de computador é executado por um ou mais processadores.
BR112019010431A 2016-11-22 2017-11-16 método, aparelho e sistema para controlar acesso a uma rede local BR112019010431A2 (pt)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP16306531.1A EP3324664A1 (en) 2016-11-22 2016-11-22 Method, apparatus, and system for controlling acess to a local network
PCT/EP2017/079434 WO2018095799A1 (en) 2016-11-22 2017-11-16 Method, apparatus, and system for controlling access to a local network

Publications (1)

Publication Number Publication Date
BR112019010431A2 true BR112019010431A2 (pt) 2019-09-03

Family

ID=57482349

Family Applications (1)

Application Number Title Priority Date Filing Date
BR112019010431A BR112019010431A2 (pt) 2016-11-22 2017-11-16 método, aparelho e sistema para controlar acesso a uma rede local

Country Status (5)

Country Link
US (1) US11431713B2 (pt)
EP (2) EP3324664A1 (pt)
CN (1) CN110024428B (pt)
BR (1) BR112019010431A2 (pt)
WO (1) WO2018095799A1 (pt)

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6823461B2 (en) 2002-06-27 2004-11-23 Nokia Corporation Method and system for securely transferring context updates towards a mobile node in a wireless network
US7346772B2 (en) 2002-11-15 2008-03-18 Cisco Technology, Inc. Method for fast, secure 802.11 re-association without additional authentication, accounting and authorization infrastructure
US8151322B2 (en) 2006-05-16 2012-04-03 A10 Networks, Inc. Systems and methods for user access authentication based on network access point
CN1901449B (zh) 2006-07-19 2010-05-12 华为技术有限公司 一种网络接入的方法和网络通信系统
ITTO20070853A1 (it) 2007-11-26 2009-05-27 Csp Innovazione Nelle Ict Scar Metodo di autenticazione per utenti appartenenti ad organizzazioni diverse senza duplicazione delle credenziali
US8566926B1 (en) * 2010-03-18 2013-10-22 Sprint Communications Company L.P. Mobility protocol selection by an authorization system
FR2966672A1 (fr) 2010-10-22 2012-04-27 France Telecom Connexion dynamique d'un terminal mobile a un reseau local.
KR20140066626A (ko) 2012-11-23 2014-06-02 숭실대학교산학협력단 액세스 라우터 및 액세스 라우터의 이동성 관리 방법과 이를 위한 db 서버
US9282456B2 (en) * 2012-11-30 2016-03-08 Intel Corporation Techniques for roaming between heterogeneous wireless networks
EP2936881B1 (en) * 2012-12-21 2019-12-04 Orange Connecting to a wireless network using social network identifier
EP2824973A1 (en) * 2013-07-09 2015-01-14 Orange Network architecture enabling a mobile terminal to roam into a wireless local area network
US9642071B2 (en) 2014-02-28 2017-05-02 Qualcomm Incorporated Access point initiated neighbor report request
US9866557B2 (en) 2014-03-19 2018-01-09 Telefonaktiebolaget Lm Ericsson (Publ) Method and nodes for authorizing network access
WO2015153924A1 (en) 2014-04-02 2015-10-08 Open Garden Inc. System and method for access control via social networking
US20160021205A1 (en) * 2014-07-15 2016-01-21 Aruba Networks, Inc. Automatic detection of vip guests on wireless networks
US11445371B2 (en) * 2015-08-28 2022-09-13 Pcms Holdings, Inc. Method and apparatus for granting access rights to users of communications networks
US20170078880A1 (en) * 2015-09-16 2017-03-16 CloudMondo, Inc. Cloud-based friend onboarding for wi-fi network communication authentication

Also Published As

Publication number Publication date
EP3545703A1 (en) 2019-10-02
CN110024428A (zh) 2019-07-16
CN110024428B (zh) 2022-06-24
EP3545703B1 (en) 2020-07-15
US11431713B2 (en) 2022-08-30
EP3324664A1 (en) 2018-05-23
WO2018095799A1 (en) 2018-05-31
US20190356664A1 (en) 2019-11-21

Similar Documents

Publication Publication Date Title
US11089480B2 (en) Provisioning electronic subscriber identity modules to mobile wireless devices
CN109842880B (zh) 路由方法、装置及系统
US10516540B2 (en) Management of profiles in an embedded universal integrated circuit card (eUICC)
CN112566050B (zh) 附件无线设备的蜂窝服务账户转移
US11974132B2 (en) Routing method, apparatus, and system
US20150017950A1 (en) Virtual sim card cloud platform
US20240196214A1 (en) Facilitating Residential Wireless Roaming Via VPN Connectivity Over Public Service Provider Networks
JP6962432B2 (ja) 通信方法、コントロールプレーン装置、コントロールプレーン装置もしくは通信端末のための方法、及び通信端末
US11196680B1 (en) Systems and methods for configuring an application platform using resources of a network
CN112512045B (zh) 一种通信系统、方法及装置
US11265702B1 (en) Securing private wireless gateways
WO2019210461A1 (en) Wireless network service access control with subscriber identity protection
BR112020013611A2 (pt) método de atualização de chave, aparelho e mídia de armazenamento legível por computador
JP2014509468A (ja) 無線ネットワーククレデンシャルを帯域外配信するための方法及びシステム
US20200412539A1 (en) Systems and methods for user-based authentication
US11683312B2 (en) Client device authentication to a secure network
WO2021063298A1 (zh) 实现外部认证的方法、通信装置及通信系统
US10750363B2 (en) Methods and apparatuses for conditional WiFi roaming
CN108738015B (zh) 网络安全保护方法、设备及系统
US11218491B2 (en) Security de-escalation for data access
WO2016090927A1 (zh) 实现共享waln管理的方法、系统及wlan共享注册服务器
BR112019010431A2 (pt) método, aparelho e sistema para controlar acesso a uma rede local
BR102022008929A2 (pt) Aprimoramentos de roaming e descoberta de controle de admissão de fatia de rede (nsac)
KR20240140890A (ko) 통신 네트워크에서의 보안 구성 업데이트
BR102015030404B1 (pt) Processo de fornecimento de um perfil de assinante para um terminal, terminal que compreende um módulo seguro, e servidor de fornecimento de um perfil de assinante de uma rede de comunicação móvel

Legal Events

Date Code Title Description
B06W Patent application suspended after preliminary examination (for patents with searches from other patent authorities) chapter 6.23 patent gazette]