BRPI0808920A2 - Distribuição de perfil de usuário, política, e chave pmip em uma rede de comunicação sem fio. - Google Patents

Distribuição de perfil de usuário, política, e chave pmip em uma rede de comunicação sem fio. Download PDF

Info

Publication number
BRPI0808920A2
BRPI0808920A2 BRPI0808920-5A BRPI0808920A BRPI0808920A2 BR PI0808920 A2 BRPI0808920 A2 BR PI0808920A2 BR PI0808920 A BRPI0808920 A BR PI0808920A BR PI0808920 A2 BRPI0808920 A2 BR PI0808920A2
Authority
BR
Brazil
Prior art keywords
network
authentication
pmip
node
user identifier
Prior art date
Application number
BRPI0808920-5A
Other languages
English (en)
Inventor
Jun Wang
Arungundram C Mahendran
Vidya Narayanan
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Publication of BRPI0808920A2 publication Critical patent/BRPI0808920A2/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity

Description

"DISTRIBUIÇÃO DE PERFIL DE USUÁRIO, POLÍTICA E CHAVE PMIP EM UMA REDE DE COMUNICAÇÃO SEM FIO"
FUNDAMENTOS
Reivindicação de prioridade nos termos do Titulo 35 do U.S.C, §119.
0 presente Pedido de Patente reivindica prioridade do Pedido Provisório n- U.S. 60/895.298 intitulado "3GPP2 Network Evolution: User Profile Policy, and PMIP Key", depositado no dia 16 de março de 2007 e cedido à cessionária desta invenção, e ora incorporado explicitamente ao presente à guisa de referência.
Campo
Ao menos uma característica refere-se a sistemas de comunicação e, mais particularmente, a um método para facilitar a distribuição segura de informações do dispositivo móvel em uma rede sem fio, como uma rede de banda larga ultra móvel (UMB).
Fundamentos
Na evolução de diversas redes de comunicação sem fio em 3GPP2, um tipo de arquitetura de rede é conhecido como uma rede de banda larga ultra móvel (UMB) e pretendese que a mesma aperfeiçoe o padrão de telefone móvel CDMA2000 para aplicações e exigências da próxima geração. As redes de dados de pacote de UMB são baseadas em tecnologias de sistema de rede de Internet (TCP/IP) executadas em um sistema de rádio da próxima geração e pretende-se que as mesmas sejam mais eficientes e capazes de prover mais serviços do que a tecnologia que irá substituir. Pretende-se que a UMB seja uma tecnologia de quarta geração (4G) e use uma alta largura de banda, baixa latência, rede de TCP/IP subjacente com serviços de alto nível, como voice built on top. A quantidade muito amor de largura de banda (em comparação a gerações anteriores) e latências muito baixas permitem o uso de diversos tipos de aplicações que eram previamente possíveis, à medida que continua a entregar serviços de voz de alta qualidade (ou 5 de qualidade mais alta).
As redes de UBM possuem um gerenciamento menos centralizado de seus nós de acesso de rede, conhecidos como estações base (eBS) evoluídas. Por exemplo, tais nós de acesso podem realizar muitas das mesmas funções que a 10 estação base (BS) e o controlador da estação base (BSC) em uma rede CDMA. Devido a essa arquitetura de rede mais distributiva, diversos problemas ocorrem quando se tenta manter o identificador de acesso de rede (NAI) do terminal de acesso (AT) seguro.
Mediante algumas arquiteturas de rede da técnica
anterior, o NAI (ou seu identificador de terminal de acesso equivalente) é transmitido pelo terminal de acesso através do ar para o nó para entrega de dados de pacote (PDSN) que o usa para funções de autenticação, relatório de 20 contabilidade e/ou recuperação de diretrizes. A transmissão do NAI através do ar o torna suscetível a interferências e insegurança.
Em uma rede de UMB, o NAI não é enviado através do ar. Ao invés disso, dependendo dos métodos de protocolo 25 de autenticação extensível (ΕΑΡ), o autenticador pode não conhecer um NAI de terminal de acesso. Isso pode ser denominado NAI anônimo. Entretanto, um problema ocorre no modo como um AT é autenticado enquanto o NAI anônimo é implantado.
Em uma rede de UMB, o Perfil de Usuário e o
Perfil de Usuário de qualidade de serviço (QoS) são enviados para o controlador de rede de referência de sessão (SRNC) a partir da autenticação, contabilidade e autorização locais ou domésticas (LAAA/HAAA) através da autenticação de acesso bem sucedida. Entretanto, o Perfil de Usuário também precisa ser enviado para uma porta de comunicação de acesso (AGW) (por exemplo, através da 5 autorização de serviço de IP). Portanto, há um problema no modo como é enviado o Perfil de Usuário para uma AGW enquanto o NAI anônimo é implantado.
Se um túnel PMIPv4 é usado entre uma eBS e uma AGW em uma rede de UMB, a chave MN-HA (por exemplo, pode 10 ser uma chave baseada por TA ou chave dupla por eBS-AGW) precisa ser enviada para a eBS e a AGW. Portanto, um problema ocorre no modo como é enviada a chave MN-HA usada para o túnel PMIPv4 entre a eBS e a AGW para o SRNC e a AGW.
Consequentemente, se faz necessária uma maneira
de abordar esses problemas ao implantar o NAI anônimo em uma rede de UMB.
SUMÁRIO
Um método operacional em um servidor de autenticação para uma rede de comunicação sem fio é fornecido para a segurança de uma chave de usuário primária. Uma solicitação de autenticação de acesso é recebida a partir do ponto de autenticação sem fio. Um identificador de usuário secundário é gerado, sendo que a chave de usuário secundário é associada a um identificador de usuário primário para o ponto de autenticação sem fio. O identificador de usuário secundário é fornecido para um autenticador associado ao ponto de autenticação. As informações do perfil de usuário podem ser recuperadas com base no identificador de usuário primário. As informações do perfil de usuário podem ser enviadas para o autenticador. A rede de comunicação pode incluir ao menos um dentre uma rede compatível com Banda Larga Ultra Móvel (UMB), uma rede compatível com WiMAX ou uma rede compatível com Evolução de Longo Prazo (LTE). 0 servidor de autenticação pode ser uma entidade de autenticação, contabilidade e autorização (AAA) e o ponto de autenticação é um terminal de acesso sem fio (AT) . 0 autenticador pode ser um controlador de rede de referência de sessão (SRNC) associado a uma estação base (BS) que atende o terminal de acesso sem fio (AT) em uma rede compatível com uma Banda Larga Ultra Móvel (UMB) e o identificador de usuário primário é um identificador de acesso de rede (NAI) para o terminal de acesso sem fio. A estação base de entrega pode ser localizada junto ao controlador de rede de referência de sessão (SRNC).
0 identificador de usuário secundário pode ser um número aleatoriamente gerado que é subsequentemente associado ao identificador de usuário primário. 0 identificador de usuário secundário também pode ser o 20 identificador de usuário primário. O identificador de usuário secundário pode ser uma função do identificador de usuário primário.
Um servidor de autenticação é fornecido, incluindo um circuito de processamento próprio para:
(a) receber uma solicitação de autenticação de
acesso a partir de um ponto de autenticação sem fio; (b) gerar um identificador de usuário secundário associado a um identificador de usuário primário para o ponto de autenticação sem fio; (c) prover um identificador de 30 usuário secundário para um autenticador associado ao ponto de autenticação; (d) recuperar as informações de perfil de usuário com base no identificador de usuário primário; (e) prover as informações de perfil de usuário para o autenticador.
0 servidor de autenticação compreende, ainda, uma interface de comunicação própria para se comunicar através de ao menos um dentre uma rede compatível com Banda Larga Ultra Móvel (UMB) , uma rede compatível com WiMAX ou uma rede compatível com Evolução de Longo Prazo (LTE). 0 servidor de autenticação pode ser uma entidade de autenticação, contabilidade e autorização (AAA) e o ponto de autenticação é um terminal de acesso sem fio (AT) . O autenticador pode ser um controlador de rede de referência de sessão (SRNC) associado a uma estação base (BS) que atende o terminal de acesso sem fio (AT) em uma rede compatível com uma Banda Larga Ultra Móvel (UMB) e o identificador de usuário primário é um identificador de acesso de rede (NAI) para o terminal de acesso sem fio. O identificador de usuário secundário pode ser (a) um número aleatoriamente gerado que é subsequentemente associado ao identificador de usuário primário, (b) o identificador de usuário primário e/ou (c) uma função do identificador de usuário primário.
por conseguinte, um servidor de autenticação também é fornecido de modo que compreende: (a) elementos para receber uma solicitação de autenticação de acesso a 25 partir de um ponto de autenticação sem fio; (b) elementos para gerar um identificador de usuário secundário associado a um identificador de usuário primário para o ponto de autenticação sem fio; (c) elementos para prover um identificador de usuário secundário para um autenticador 30 associado ao ponto de autenticação; (d) elementos para recuperar as informações de perfil de usuário com base no identificador de usuário primário; e/ou (e) elementos para prover as informações de perfil de usuário para o autenticador.
Um programa de computador operacional em um servidor de autenticação para garantir segurança a um identificador de usuário primário também é fornecido, o qual, quando executado por um processador, faz com que o processador: (a) receba uma solicitação de autenticação de acesso a partir de um ponto de autenticação sem fio; (b) gere um identificador de usuário secundário associado a um identificador de usuário primário para o ponto de autenticação sem fio; (c) forneça um identificador de usuário secundário para um autenticador associado ao ponto de autenticação; (d) recupere as informações de perfil de usuário com base no identificador de usuário primário; e/ou (e) forneça as informações de perfil de usuário para o autenticador.
Um método também é fornecido por um servidor de autenticação para distribuir informações sobre perfil de usuário e/ou diretrizes em uma rede de comunicação. Um ponto de autenticação que procura estabelecer comunicações através de um primeiro nó de acesso de rede é autenticado. As informações de perfil de usuário associadas ao ponto de autenticação são recuperadas e enviadas para um nó de porta de comunicação de rede que facilita os serviços de comunicação para o ponto de autenticação. As informações de perfil de usuário também são enviadas para um autenticador que facilita as comunicações para o ponto de autenticação. O servidor de autenticação pode ser uma entidade de autenticação, contabilidade e autorização (AAA) que é parte da rede de comunicação.
Em um exemplo, enviar as informações de perfil de usuário para o nó de porta de comunicação de rede inclui fazer com que um autenticador para a rede de comunicação envie as informações de perfil de usuário para o nó de porta de comunicação de rede. Em outro exemplo, enviar as informações de perfil de usuário para o nó de porta de comunicação de rede inclui fazer com que o servidor de autenticação envie as informações de perfil de usuário para o nó de porta de comunicação de rede. As informações de perfil de usuário podem incluir ao menos um dentre um perfil de usuário, diretrizes de usuário, qualidade de serviço para o perfil de usuário, para os serviços de comunicação do ponto de autenticação. Adicionalmente, o método pode compreender, ainda: (a) enviar uma solicitação de diretrizes a partir de um nó de porta de comunicação de rede para um controle de diretrizes e uma entidade de função de recurso (PCRF); (b) enviar uma solicitação de identificador de usuário primário a partir da entidade de PCRF para o servidor de autenticação, sendo que o identificador de usuário primário é exclusivamente associado ao ponto de autenticação; (c) enviar uma resposta a partir do servidor de autenticação para a entidade de PCRF, incluindo o identificador de usuário primário solicitado; (d) obter diretrizes de usuário em uma entidade de PCRF para o ponto de autenticação com o uso do identificador de usuário primário; e/ou (e) enviar as diretrizes de usuário a partir da entidade de PCRF para o nó de porta de comunicação de rede.
0 autenticador pode ser um controlador de rede de referência de sessão (SRNC) associado a uma estação base (BS) que atende o ponto de autenticação em uma rede compatível com uma Banda Larga Ultra Móvel (UMB) e o 30 identificador confidencial é um identificador de acesso de rede para o terminal de acesso sem fio.
Um servidor de autenticação também é fornecido, incluindo um circuito de processamento próprio para: (a) autenticar um ponto de autenticação que procura estabelecer comunicações através de um primeiro nó de acesso de rede; (b) recuperar informações de perfil de usuário associadas ao ponto de autenticação; (c) enviar as informações de perfil de usuário para um nó de porta de comunicação de rede que facilita os serviços de comunicação para o ponto de autenticação; (d) enviar as informações de perfil de usuário para um autenticador que facilita as comunicações para o ponto de autenticação; (e) receber uma solicitação de identificador de usuário primário a partir de uma entidade de PCRF, sendo que o identificador de usuário primário é exclusivamente associado ao ponto de autenticação; e/ou (f) enviar uma resposta para a entidade de PCRF, incluindo o identificador de usuário primário solicitado.
Por conseguinte, um servidor de autenticação é fornecido de modo que compreende: (a) elementos para autenticar um ponto de autenticação que procura estabelecer comunicações através de um primeiro nó de acesso de rede; 20 (b) elementos para recuperar informações de perfil de usuário associadas ao ponto de autenticação; (c) elementos para enviar as informações de perfil de usuário para um nó de porta de comunicação de rede que facilita os serviços de comunicação para o ponto de autenticação; (d) elementos 25 para enviar as informações de perfil de usuário para um autenticador que facilita as comunicações para o ponto de autenticação; (e) elementos para receber uma solicitação de identificador de usuário primário a partir de uma entidade de PCRF, sendo que o identificador de usuário primário é 30 exclusivamente associado ao ponto de autenticação; e/ou (f) elementos para enviar uma resposta para a entidade de PCRF, incluindo o identificador de usuário primário solicitado. Um programa de computador operacional em um servidor de autenticação também é fornecido para prover informações de usuário, as quais, quando executadas por um processador, fazem com que o processador: (a) autentique um 5 ponto de autenticação que procura estabelecer comunicações através de um primeiro nó de acesso de rede; (b) recupere informações de perfil de usuário associadas ao ponto de autenticação; (c) envie as informações de perfil de usuário para um nó de porta de comunicação de rede que facilita os 10 serviços de comunicação para o ponto de autenticação; (d) envie as informações de perfil de usuário para um autenticador que facilita as comunicações para o ponto de autenticação; (e) receba uma solicitação de identificador de usuário primário a partir de uma entidade de PCRF, sendo 15 que o identificador de usuário primário é exclusivamente associado ao ponto de autenticação; e/ou (f) envie uma resposta para a entidade de PCRF, incluindo o identificador de usuário primário solicitado.
Um método operacional em uma rede de comunicação 20 é fornecido. A conectividade de rede sem fio é fornecida para um ponto de autenticação através de um primeiro nó de acesso de rede. A chave PMIP é fornecida para ambas as extremidades de um túnel PMIP entre o primeiro nó de acesso de rede e um nó de rede PMIP usada para prover comunicações 25 para o ponto de autenticação. A chave PMIP é então fornecida para um primeiro autenticador associado ao primeiro nó de acesso de rede. As comunicações podem ser roteadas para o primeiro nó de acesso de rede.
Subseqüentemente, uma solicitação pode ser recebida no nó de rede PMIP a partir de uma entidade de solicitação para re-rotear as comunicações para o ponto de autenticação. O nó de rede PMIP pode verificar se a entidade de solicitação conhece a chave PMIP. Em um exemplo, as comunicações podem ser re-roteadas para um segundo nó de acesso de rede caso a entidade de solicitação demonstre, de modo bem sucedido, que conhece a chave PMIP. Em outro exemplo, as comunicações podem ser re-roteadas 5 para um segundo nó de acesso de porta de comunicação de rede caso a entidade de solicitação demonstre, de modo bem sucedido, que conhece a chave PMIP. O re-roteamento de comunicações pode incluir o estabelecimento de um novo túnel de IP móvel de proxy entre o primeiro nó de rede PMIP 10 e uma nova entidade de rede de entrega. Em um exemplo, a chave PMIP pode ser gerada em uma entidade de autenticação, contabilidade e autorização (AAA) ou em um nó de porta de comunicação de rede. O nó de rede PMIP pode ser um nó de porta de comunicação de rede.
Um nó de rede PMIP também é fornecido, incluindo
um circuito de processamento próprio para: (a) prover uma conectividade de rede sem fio para um ponto de autenticação através de um primeiro nó de acesso de rede; (b) prover uma chave PMIP para ambas as extremidades de um túnel PMIP 20 entre o primeiro nó de acesso de rede e o nó de rede PMIP usado para prover comunicações para o ponto de autenticação; (c) prover uma chave PMIP para um primeiro autenticador associado ao primeiro nó de acesso de rede; (d) receber uma solicitação a partir de uma entidade de 25 solicitação para re-rotear as comunicações para o ponto de autenticação; (e) verificar se a entidade de solicitação conhece a chave PMIP; (f) re-rotear as comunicações para um segundo nó de acesso de rede caso a entidade de solicitação prove, com êxito, que conhece a chave PMIP; e/ou re-rotear 30 as comunicações para um segundo nó de porta de comunicação de rede se a entidade de solicitação provar, com êxito, que conhece a chave PMIP. O re-roteamento de comunicações pode incluir o estabelecimento de um novo túnel de IP móvel de proxy entre o primeiro nó de rede PMIP e uma nova entidade de rede de entrega.
Por conseguinte, o nó de rede PMIP também é fornecido de modo que compreende: (a) elementos para prover uma conectividade de rede sem fio para um ponto de autenticação através de um primeiro nó de acesso de rede; (b) elementos para prover uma chave PMIP para ambas as extremidades de um túnel PMIP entre o primeiro nó de acesso de rede e o nó de rede PMIP usado para prover comunicações para o ponto de autenticação; (c) elementos para prover uma chave PMIP para um primeiro autenticador associado ao primeiro nó de acesso de rede; (d) elementos para receber uma solicitação a partir de uma entidade de solicitação para re-rotear as comunicações para o ponto de autenticação; (e) elementos para verificar se a entidade de solicitação conhece a chave PMIP; (f) elementos para rerotear as comunicações para um segundo nó de acesso de rede caso a entidade de solicitação prove, com êxito, que conhece a chave PMIP; e/ou (f) re-rotear as comunicações para um segundo nó de porta de comunicação de rede se a entidade de solicitação provar, com êxito, que conhece a chave PMIP. 0 re-roteamento de comunicações pode incluir o estabelecimento de um novo túnel de IP móvel de proxy entre o primeiro nó de rede PMIP e uma nova entidade de rede de entrega.
Um programa de computador operação em um nó de rede PMIP também é fornecido, o qual, quando executado por um processador, faz com que o processador: (a) forneça uma conectividade de rede sem fio para um ponto de autenticação 30 através de um primeiro nó de acesso de rede; (b) forneça uma chave PMIP para ambas as extremidades de um túnel PMIP entre o primeiro nó de acesso de rede e o nó de rede PMIP usado para prover comunicações para o ponto de autenticação; (c) forneça uma chave PMIP para um primeiro autenticador associado ao primeiro nó de acesso de rede; (d) receba uma solicitação a partir de uma entidade de solicitação para re-rotear as comunicações para o ponto de 5 autenticação; (e) verifique se a entidade de solicitação conhece a chave PMIP; (f) re-roteie as comunicações para um segundo nó de acesso de rede caso a entidade de solicitação prove, com êxito, que conhece a chave PMIP; e/ou re-roteie as comunicações para um segundo nó de porta de comunicação 10 de rede se a entidade de solicitação provar, com êxito, que conhece a chave PMIP.
BREVE DESCRIÇÃO DOS DESENHOS Diversas características, natureza e vantagens podem se tornar evidentes a partir da descrição detalhada estabelecida quando considerada em conjunto com os desenhos, nos quais caracteres de referências iguais são igualmente identificados ao longo do texto.
A Figura 1 é um diagrama de bloco de uma rede de UMB, na qual uma ou mais características dentre NAI seguro, perfil de usuário seguro e distribuição de diretrizes e/ou distribuição de chave PMIP podem ser implantadas de acordo com um exemplo.
A Figura 2 é um diagrama em fluxo que ilustra um método de autenticação, através do qual um identificador de 25 acesso de rede (NAI) não é transmitido através do ar durante uma autenticação de acesso de rede entre um terminal de acesso (AT) e uma entidade de autenticação, contabilidade e autorização domésticas (HAAA).
A Figura 3 ilustra um método operacional em um servidor de autenticação (por exemplo, HAAA) para uma rede de comunicação sem fio que é fornecido para a segurança de uma chave de usuário primária. A Figura 4 é um diagrama de bloco que ilustra como o serviço sem fio pode ser fornecido para um AT conforme se move de uma primeira eBS para uma segunda eBS em uma rede de UMB.
A Figura 5 ilustra como uma AGW pode recuperar o
Perfil de Usuário a partir de uma LAAA quando um novo túnel PMIP é estabelecido e solicitar as Diretrizes de Usuário a partir da PCRF em uma configuração de SRNC distribuída.
A Figura 6 ilustra como uma AGW pode recuperar o Perfil de Usuário a partir de uma LTVAA quando um novo túnel PMIP é estabelecido e solicitar as Diretrizes de Usuário a partir da PCRF em uma configuração de SRNC centralizada.
A Figura 7 ilustra como uma AGW pode obter as informações de Perfil de Usuário como parte de um processo de autenticação e as Diretrizes de Usuário a partir de uma PCRF em uma configuração de SRNC distribuída.
A Figura 8 ilustra como uma AGW pode obter as informações de Perfil de Usuário como parte de um processo de autenticação e as Diretrizes de Usuário a partir de uma PCRF em uma configuração de SRNC distribuída.
A Figura 9 ilustra como uma LAAA pode impingir (push) o Perfil de Usuário à AGW e a AGW pode solicitar as Diretrizes de Usuário a partir de uma PCRF em uma configuração de SRNC distribuída.
A Figura 10 ilustra como uma LAAA pode impingir o
Perfil de Usuário a uma AGW e a AGW pode solicitar as Diretrizes de Usuário a partir de uma PCRF em uma configuração de SRNC centralizada.
A Figura 11 ilustra um método operacional em um servidor de autenticação para prover um autenticador com as informações de perfil de usuário.
A Figura 12 ilustra um método para prover um nó de porta de comunicação de rede com as informações de diretrizes de usuário para um ponto de autenticação operacional em uma rede de comunicação.
A Figura 13 ilustra um método para verificar novas solicitações de túnel em uma rede de comunicação.
A Figura 14 ilustra uma arquitetura de
autenticação encontrada em algumas redes de comunicação.
A Figura 15 é um diagrama de bloco que ilustra um servidor de autenticação. 0 servidor de autenticação pode incluir um circuito de processamento 1504 acoplado a uma interface de comunicação de rede.
A Figura 16 é um diagrama de bloco que ilustra um exemplo de um dispositivo de nó de rede PMIP.
DESCRIÇÃO DETALHADA
Na descrição seguinte, detalhes específicos são 15 dados a fim de prover uma compreensão completa das configurações. Entretanto, será compreendido por uma pessoa de habilidade comum na técnica que as configurações podem ser praticadas sem esses detalhes específicos. Por exemplo, os circuitos podem ser mostrados em diagramas de bloco com 20 o objetivo de não encobrir as configurações em detalhes desnecessários. Em outras ocorrências, circuitos, estruturas e técnicas bem conhecidos podem ser mostrados em detalhes com a finalidade de não encobrir as configurações.
Ademais, observa-se que as configurações podem 25 ser descritas como um processo que é retratado como um diagrama em fluxo, um fluxograma, um diagrama de estrutura ou um diagrama de bloco. Muito embora um fluxograma possa descrever as operações como um processo seqüencial, muitas das operações podem ser realizadas em paralelo ou 30 simultaneamente. Além disso, a ordem das operações podem ser reorganizada. Um processo é interrompido quando suas operações são concluídas. Um processo pode corresponder a um método, uma função, um procedimento, uma sub-rotina, um subprograma, etc. Quando um processo corresponde a uma função, seu término corresponde a um retorno da função à função de chamada ou à função principal.
Em um ou mais exemplos e/ou configurações, as funções descritas podem ser implantadas em hardware, software, firmware ou qualquer combinação desses. Se implantadas em software, as funções podem ser armazenadas ou transmitidas como uma ou mais instruções ou código em um meio Iegivel por computador. A mídia legível por computador inclui mídia de armazenamento em computador e mídia de comunicação, incluindo qualquer meio que facilita a transferência de um programa de computador de um local para outro. Uma mídia de armazenamento pode ser qualquer mídia disponíveis que pode ser acessada por um computador de propósito geral ou de propósito especial. Com fins exemplificativos, e não de limitação, tal mídia legível por computador pode compreende RAM, ROM, EEPROM, CD-ROM ou outro armazenamento em disquete óptico, armazenamento em disquete magnético ou outros dispositivos de armazenamento, ou qualquer outro meio que pode ser usado para transportar ou armazenar elementos de código de programa desejados na forma de instrução ou estruturas de dados e que pode ser acessado por um computador de propósito geral ou de propósito especial, ou um processador de propósito geral ou de propósito especial. Ademais, qualquer conexão é adequadamente denominada um meio legível por computador. Por exemplo, se o software é transmitido a partir de um website, servidor ou outra fonte remota com o uso de um cabo coaxial, cabo de fibra óptica, cabo de par trançado, linha de assinante digital (DSL), ou tecnologias sem fio, como infravermelho, rádio e microondas, então, o cabo coaxial, cabo de fibra óptica, cabo de par trançado, DSL ou tecnologias sem fio, como infravermelho, rádio e microondas, são incluídos na definição de meio. Disquete e disco, conforme aqui usado, inclui disco compacto (CD) , disco laser, disco óptico, disco versátil digital (DVD), disquete flexível e disco blu-ray, sendo que disquetes 5 usualmente reproduzem dados magneticamente, enquanto discos reproduzem dados opticamente com lasers. As combinações dos supramencionados também são incluídos no escopo da mídia legível por computador.
Ademais, um meio de armazenamento pode 10 representar um ou mais dispositivos para armazenar dados, incluindo memória somente de leitura (ROM), memória de acesso aleatório (RAM) , meios de armazenamento de disquete magnético, meios de armazenamento óptico, dispositivos de memória rápida e/ou outros meios para armazenamento de 15 informações.
Além disso, as configurações podem ser implantadas por hardware, software, firmware, middleware, middleware, microcódigo ou qualquer combinação desses. Quando implantado em software, firmware, middleware, 20 middleware ou microcódigo, o código de programa ou os segmentos de código para realizar as tarefas necessárias pode ser armazenado em um meio legível por computador, como um meio de armazenamento ou outro (s) armazenamento (s) . Um processador pode realizar as tarefas necessárias. Um 25 segmento de código pode representar um procedimento, uma função, um subprograma, um programa, uma rotina, uma subrotina, um módulo, um pacote de software, uma classe ou qualquer combinação de instruções, estruturas de dados ou demonstrativos de programa Um segmento de código pode ser 30 acoplado a outro segmento de código ou um circuito de hardware através da transferência e recebimento de informações, dados, argumentos, parâmetros ou conteúdos de memória. As informações, argumentos, parâmetros, dados, etc. podem ser transferidos, encaminhados ou transmitidos através de qualquer meio adequado, incluindo compartilhamento de memória, transferência de mensagem, transferência de token, transmissão de rede, etc.
Na descrição seguinte, uma determinada
terminologia é usada para descrever determinadas características. Os termos "terminal de acesso" e "dispositivo de comunicação" podem ser intercambiavelmente usados para fazer referência a um dispositivo móvel, 10 telefone móvel, terminal sem fio e/ou outros tipos de aparelho de comunicação móvel ou fixo capazes de se comunicar através de uma rede sem fio.
Ambiente de rede
As características descritas aqui podem ser implantadas em diversos tipos de redes, incluindo redes compatíveis com UMB, WiMAX e LTE.
A Figura 14 ilustra uma arquitetura de autenticação encontrada em algumas redes de comunicação. A rede de comunicação 1400 (por exemplo, redes de UMB, WiMAX 20 ou de Evolução de Longo Prazo (LTE) ) pode incluir uma pluralidade de Nós de IP 1404 e 1408 com um Ponto de Autenticação 1402, um Autenticador 1406 e um Servidor de Autenticação 1410. Durante a operação, o Ponto de Autenticação 1402 (por exemplo, terminal de acesso) pode 25 ser autenticado pelo Autenticador 1406 com a assistência do Servidor de Autenticação 1410. Em um exemplo, o Autenticador 14 0 6 pode ser um controlador de rede de referência de sessão (SRNC) e o Servidor de Autenticação 1410 pode ser uma entidade de autenticação, contabilidade e 30 autorização (HTVAA) . Adicionalmente, os Nós de IP 1404 e 1408 podem incluir uma estação base, uma porta de comunicação e/ou outras entidades de rede. Uma Entidade de Diretrizes 1412 (por exemplo, PCRF) pode armazenar informações de diretrizes para o Ponto de Autenticação 1402.
Ao prover serviços de comunicação para um Ponto de Autenticação 1402 na rede de comunicação 1400, um 5 mecanismo ou método é necessário para distribuir um perfil de usuário para o Ponto de Autenticação 1402 para o Autenticador 1406 e o Nó B de IP (Porta de Comunicação) . Particularmente, é esse caso, já que o Autenticador 1406 não é posicionado junto ao Nó B de IP (Porta de 10 Comunicação) 1408.
Adicionalmente, quando um pseudo-NAI é usado para identificar o Ponto de Autenticação 1402 para a rede de comunicação, é difícil distribuir as diretrizes de usuário a partir de uma entidade de diretrizes (por exemplo, PCRF doméstica) para os Nós de IP 1404 e 1408.
Adicionalmente, também é problemático gerar e distribuir uma chave PMIP entre dois Nós de IP que precisam configurar um túnel PMIP. Por exemplo, em uma rede de UMB, uma chave PMIP pode ser distribuída para uma estação base e
2 0 uma porta de comunicação ou uma porta de comunicação e uma âncora de mobilidade local (LMA).
Enquanto diversos exemplos podem ser aqui ilustrados a partir do ponto de vista de uma rede de UMB, as características aqui descritas podem ser aplicáveis a outros tipos de redes, como uma WiMAX e LTE, por exemplo.
A Figura 1 é um diagrama de bloco de uma rede de UMB, na qual uma ou mais características dentre NAI seguro, perfil de usuário seguro e distribuição de diretrizes e/ou distribuição de chave PMIP podem ser implantadas de acordo 30 com um exemplo. Uma rede de UMB pode uso uma arquitetura plana que não depende de uma entidade centralizada, como um Controlador de Estação Base (BSC), para coordenar as conexões através da estação base evoluída (eBS) de UMB. Uma eBS pode combinar as funções de uma estação base tradicional, uma BSC e algumas funções do nó para entrega de dados de pacote (PDSN) em um único nó, realizando a implantação da rede de UMB mais simples. Posto que o número de componentes é reduzido (em comparação às rede da técnica anterior) , a rede de UMB pode ser mais confiável, mais flexíveis, com uma implantação mais fácil e/ou com uma operação menos custoso. Por exemplo, em redes herdadas, a BS, o BSC, o PDSN e o agente doméstico de IP móvel (HA) cooperam para atender o tráfego de usuário. As redes de UMB reutilizam a maioria da infraestrutura da rede principal, porém, consolidam as funções em menos componentes de rede. A combinação dessas funções em menos nós reduz a latência, diminui os custos de capital e de manutenção e reduz a complexidade das interações entre os nós para entregar a QoS de fim-a-fim.
Esse exemplo ilustra como uma rede de acesso de UMB 102 e a rede de entrega 113 pode prover acesso de rede sem fio a uma pluralidade de terminais de acesso AT 106, 108, 110, 122 (por exemplo, Pontos de Autenticação) enquanto reutiliza uma infraestrutura da rede principal (por exemplo, Rede Doméstica 103) . A rede de entrega 113 pode ser a rede "doméstica" para ATs 106, 108, 110, 122, porém as ATs também podem mover ou visitar outras redes e obter a conectividade de rede sem fio a partir de tais outras redes.
Nesse exemplo, a rede de acesso de UMB 102 inclui uma primeira eBS 104 e uma segunda eBS 107 (amplamente denominada "nós de acesso de rede") que permitem que um ou mais terminais de acesso (AT) 106, 108 e 110 se conectem com a rede de entrega 113 e a rede doméstica 103. A primeira eBS 104 pode ser acoplada a um primeiro controlador de rede de referência de sessão (SRNC) 114 (amplamente denominado "autenticador") e uma primeira porta de comunicação de acesso (AGW) 112 (amplamente denominada "nó de porta de comunicação de rede") na rede de entrega 113 que se acopla à inf raestrutura de rede doméstica 103.
5 Similarmente a segunda eBS 107 pode ser acoplada a um segundo SRNC 109 e a primeira AGW 112. A rede de entrega 113 pode incluir a AGW-a 112 e AGW-b 120 que são acopladas à autenticação, contabilidade e autorização (LAAA) 124, um controle de diretrizes de visitação e a função de recurso 10 (vPCRF) 132 pata facilitar as comunicações e/ou a conectividade para as eBSs e ATs. A rede doméstica 103 pode inclui um agente doméstico (HA) 126, uma AAA doméstica (HAAA) 128 e uma PCRF doméstica (hPCRF). De modo adicional, outras redes de acesso 105 também podem acopladas ao HA 126 15 e/ou LAAA 124 para prover a conectividade de rede sem fio aos terminais de acesso.
Em várias implantações, a rede de acesso de UMB 102 pode incluir outras eBSs 116 e 117, SRNCs 118 e AGWs 12 0 que podem prover uma conectividade de rede sem fio para 20 outros ATs 122. As redes 102, 113, 105 e/ou 103 são consideradas exemplificativas de um sistema de comunicação em que podem operar uma ou mais novas características aqui descritas. Entretanto, os dispositivos e/ou a funcionalidade daqueles dispositivos nessas redes podem ser 25 localizados em uma das outras redes mostradas (ou uma rede diferente) sem que se desvie da operação e das características descritas aqui.
De acordo com diversos exemplos, os ATs 106, 108, 110 e/ou 122 podem ser dispositivos de comunicação sem fio, telefones móveis, terminais sem fio e outros tipos de dispositivos sem fio e/ou móveis que suportam uma conectividade de rádio sem fio através de uma rede de UMB. As eBSs 104, 107 e 116 suportam a interface aérea de UMB. As eBSs 104, 107 e/ou 116 podem incluir protocolos de MAC e/ou físicos e podem realizar gerenciamento de recurso de rádio, gerenciamento de canal de rádio, 5 decifração de camada 2 e/ou compactação de cabeçalho IP (por exemplo, ROHC).
As AGWs 112 e/ou 120 podem prover a conectividade de IP de Camada 3 à rede doméstica 103. A AGW 112 e/ou 120 pode incluir diversas funções, como autenticação, 10 armazenamento temporário em estado inativo e/ou cliente de IP móvel de Proxy. Por exemplo, a AGW 112 e/ou 120 pode incluir Gerenciamento de Endereço de IP, Agente Externo (FA) para MIPv4, Atraso de DHCP, cliente de IP móvel de proxy (PMIP), policiamento/classificação de pacote de IP, 15 autenticador EAP e/ou cliente de AAA.
Os SRNCs 114, 109 e 118 podem controlar diversas funções em suporte de controle de recurso de rádio, incluindo armazenamento de informações de sessão, funções de paginação e gerenciamento de localização. As funções de 20 SRNC podem incluir, por exemplo, (a) armazenamento de informações de sessão de interface aérea, (b) controlador de paginação, (c) gerenciamento de localização e/ou (d) autenticador de EAP para ATs. 0 primeiro SRNC 114 pode manter as informações específicas de acesso de rádio para 25 os ATs 106 e 108, enquanto o segundo SRNC 107 pode manter as informações específicas de acesso de rádio para o AT HO. Um SRNC pode ser responsável pela manutenção da referência de sessão (por exemplo, ponto de armazenamento de sessão para contexto de interface aérea negociada, 30 suportando gerenciamento de estado inativo e fornecendo funções de controle de paginação quando o AT está inativo. O SRNC também pode ser responsável pela autenticação de acesso do AT. A função de SRNC pode ser hospedada por, ou colocada junto a, uma eBS ou pode ser localizada em uma entidade (sem rádio) separada. Observe que o SRNC pode ser implantado em uma configuração centralizada ou distribuída. Em uma configuração centralizada, um único SRNC 118 é 5 conectado a diversas eBSs 116 e 117 e AGW 120. Em uma configuração distribuída, cada eBS inclui um SRNC.
Os serviços de autenticação, contabilidade e autorização (AAA) para a rede doméstica 103 podem ser divididos entre um agente doméstico 126, uma AAA local 10 (LAAA) 124 e uma AAA doméstica (HAAA) 128. A HAAA 128 pode ser responsável pela autenticação, contabilidade e autorização associadas aos usos dos ATS 106, 108, 110 e/ou 112 dos recursos de rede. Um agente doméstico 126 pode prover uma solução de mobilidade que suporta, por exemplo, 15 IP Móvel de Cliente (CMIP) e/ou IP Móvel de Proxy (PMIP) e também pode facilitar a mobilidade de inter-tecnologia.
Um controle de diretrizes e uma função de recurso (PCRF) podem armazenar e distribuir diretrizes para os ATs 106, 108, 110 e/ou 122. Em uma implantação, um PCRF 20 doméstico (hPCRF) 130 pode ser responsável pelas diretrizes da rede doméstica e um PCRF visitante (vPCRF) 132 pode ser responsável pelas diretrizes de rede visitante. O hPCRF 130 e o vPCRF 132 fornecem normas locais e de visitantes, respectivamente, para as AGWs 112 e 120. Essas normas podem 25 incluir, por exemplo, (a) detectar pacotes que pertencem a um fluxo de dados de serviço, (b) prover um controle de diretrizes para um fluxo de dados de serviço, e/ou (c) prover parâmetro de carga aplicável para um fluxo de dados de serviço.
3 0 Tornando Identificador de Acesso de Rede Anônimo Seguro
Mediante as redes da técnica anterior, como as redes de dados de pacote de alta taxa (HRPD), os terminais de acesso ATs enviam seu identificador de acesso de rede (NAI) através do ar durante um processo de autenticação. Tal transmissão através do ar pode expor o NAI a terceiros e isso compromete a segurança das comunicações. Adicionalmente, o PDSN pode tomar conhecimento do NAI para 5 realizar o relatório de contabilidade e a recuperação de diretrizes a partir do PCRF, por exemplo.
A Figura 2 é um diagrama em fluxo que ilustra um método de autenticação, através do qual um identificador de acesso de rede (NAI) não é transmitido através do ar 10 durante uma autenticação de acesso de rede entre um terminal de acesso (AT) e uma entidade de autenticação, contabilidade e autorização domésticas (HAAA). Por exemplo, durante uma subscrição inicial, o AT 202 e a HAAA 216 podem obter um NAI associado ao AT 202. Esse NAI pode ser 15 armazenado em um cartão de módulo de identidade de assinante (SIM) , por exemplo, no AT 202 e reconhecido pela HAAA 216. Em algumas implantações, um pseudo-NAI também pode ser obtido durante o processo de subscrição inicial. O pseudo-NAI pode ser gerado pela HAAA 216 ou pelo AT 202 e 20 pode ser reconhecido pela HAAA 216 e pelo AT 202. 0 pseudoNAI pode ser associado ao NAI para o AT 202 de modo que a HAAA 216 e o AT 202 possam usá-lo durante um processo de autenticação de acesso subsequente.
A fim de estabelecer comunicações com uma eBS de 25 entrega 204, o AT 202 pode configurar uma sessão de UMB de 224. O AT pode enviar, então, uma Solicitação de Autenticação de Acesso 226a e 226b para a HAAA 216 através da eBS 204. A Solicitação de Autenticação de Acesso 226 pode ser enviada em um Protocolo de Autenticação Extensível 30 (EAP) (ou algum outro protocolo de autenticação) através de uma UMB para a eBS 204 e, então, em EAP através de um protocolo de AAA para a HAAA 216. A Solicitação de Autenticação 226 pode incluir o pseuso-NAI (por exemplo, obtido durante a subscrição inicial) de modo que o AT solicitante 202 possa ser identificado pela HAAA 216 com fins de autenticação. Em outras implantações, em que um pseudo-NAI ainda não foi obtido a partir da HAAA, o AT 202 5 pode enviar o NAI real na Solicitação de Autenticação 22 6. Entretanto, isso é feito somente na primeira vez e um pseudo-NAI (por exemplo, fornecido pela HAAA 216) pode ser usada subsequentemente, limitando, desse modo, a transmissão do NAI real através do ar.
A HAAA 216 gera um ID de usuário que pode
associar com o NAI ou com o AT solicitante 228. Por exemplo, o ID de usuário pode ser um número aleatório gerado pela HAAA ou pode ser uma função (ao menos parcialmente) do NAI ou (em algumas implantações), pode ser o NAI.
A HAAA 216 também pode recuperar um Perfil de Usuário e um Perfil de Usuário de QoS (por exemplo, a partir da hPCRF 214 ou vPCRF 208) com base no NAI para o AT solicitante 202. Em um exemplo, o Perfil de Usuário e o 20 Perfil de Usuário de QoS podem definir o tipo de serviço, o plano de serviço, as restrições do serviço, etc., associados ao AT solicitante AT 202. Em algumas implantações, a HAAA 216 também pode gerar um novo pseudoNAI que pode enviar para o AT 2 02 para que seja usado em 25 solicitações de autenticação subsequentes.
Uma mensagem de autenticação de acesso bem sucedida 232 pode ser enviada, então, para a LAAA 210 que pode incluir o ID de usuário, o Perfil de Usuário, o Perfil de Usuário de QoS e (possivelmente) o pseudo-NAI. Por sua 30 vez, a LAAA 210 pode encaminhar o ID de usuário, o Perfil de Usuário, o Perfil de Usuário de QoS e uma chave MN-HA PMIP para o SRNC 204. 0 SRNC 204 pode prover a chave MN-HA PMIP para a AGW 206; subsequentemente, o SRNC 204 e/ou a AGW 206 podem usar esse ID de usuário para realizar um relatório de contabilidade e uma recuperação de diretrizes sem o conhecimento do NAI.
No caso em que o ID de usuário é um número 5 aleatório (por exemplo, associado ao NAI pela HAAA), o ID de usuário pode ser usado pela rede de entrega sem o conhecimento do NAI. Como resultado desse esquema, o NAI dos ATs solicitantes não é enviado através do ar e é reconhecido por um número limitado de entidades de 10 infraestrutura de núcleo (por exemplo, HAAA).
Em outras instâncias, o ID de usuário pode ser o NAI, porém é distribuído pela HAAA 216 para a rede de entrega e não é transmitido através do ar pelo AT 202.
A Figura 3 ilustra um método operacional em um servidor de autenticação (por exemplo, HAAA) para uma rede de comunicação sem fio que é fornecido para a segurança de uma chave de usuário primária. Uma solicitação de autenticação de acesso é recebida a partir de um ponto de autenticação sem fio (por exemplo, AT) 302. Um identificador de usuário secundário (por exemplo, ID de usuário) pode ser gerado, sendo que a chave de usuário secundária é associada a um identificador de usuário primário (por exemplo, NAI) para o ponto de autenticação sem fio 304. As informações de perfil de usuário (por exemplo, Perfil de Usuário) podem ser recuperadas com base no identificador de usuário primário 306. O identificador de usuário secundário pode ser fornecido para um autenticador (por exemplo, SNRC) associado ao ponto de autenticação 308. As informações de perfil de usuário podem ser enviadas para o autenticador (por exemplo, SRNC) . A rede de comunicação pode incluir ao menos um dentre uma rede compatível com Banda Larga Ultra Móvel (UMB), uma rede compatível com WiMAX ou uma rede compatível com Evolução de Longo Prazo (LTE). 0 servidor de autenticação (por exemplo, HAAA) pode ser uma entidade de autenticação, contabilidade e autorização (AAA) e o ponto de autenticação é um terminal de acesso sem fio (AT). 0 autenticador pode ser um 5 controlador de rede de referência de sessão (SRNC) associado a uma estação base (BS) que atende o terminal de acesso sem fio (AT) em uma rede compatível com uma Banda Larga Ultra Móvel (UMB) e o identificador de usuário primário é um identificador de acesso de rede (NAI) para o 10 terminal de acesso sem fio. A estação base de entrega pode ser localizada junto ao controlador de rede de referência de sessão (SRNC).
O identificador de usuário secundário pode ser um número aleatoriamente gerado que é subsequentemente 15 associado ao identificador de usuário primário. O identificador de usuário secundário também pode ser o identificador de usuário primário. O identificador de usuário secundário pode ser uma função do identificador de usuário primário.
A Figura 15 é um diagrama de bloco que ilustra um
servidor de autenticação. 0 servidor de autenticação 1500 pode incluir um circuito de processamento 1504 acoplado a uma interface de comunicação de redel506. 0 circuito de processamento 1504 pode ser próprio para: (a) receber uma 25 solicitação de autenticação de acesso a partir de um ponto de autenticação sem fio; (b) gerar um identificador de usuário secundário associado a um identificador de usuário primário para o ponto de autenticação sem fio; (c) prover um identificador de usuário secundário para um autenticador 30 associado ao ponto de autenticação; (d) recuperar as informações de perfil de usuário com base no identificador de usuário primário; (e) prover as informações de perfil de usuário para o autenticador. Por Conseguinte7 um servidor de autenticação pode ser fornecido de modo a compreender: (a) elementos para receber uma solicitação de autenticação de acesso a partir de um ponto de autenticação sem fio; (b) elementos para 5 gerar um identificador de usuário secundário associado a um identificador de usuário primário para o ponto de autenticação sem fio; (c) elementos para prover um identificador de usuário secundário para um autenticador associado ao ponto de autenticação; (d) elementos para 10 recuperar as informações de perfil de usuário com base no identificador de usuário primário; e/ou (e) elementos para prover as informações de perfil de usuário para o autenticador.
Um programa de computador operacional em um servidor de autenticação para garantir segurança a um identificador de usuário primário também é fornecido, o qual, quando executado por um processador, faz com que o processador: (a) receba uma solicitação de autenticação de acesso a partir de um ponto de autenticação sem fio; (b) gere um identificador de usuário secundário associado a um identificador de usuário primário para o ponto de autenticação sem fio; (c) forneça um identificador de usuário secundário para um autenticador associado ao ponto de autenticação; (d) recupere as informações de perfil de usuário com base no identificador de usuário primário; e/ou (e) forneça as informações de perfil de usuário para o autenticador.
Distribuição de Perfil de Usuário e Politicas para AGW
A Figura 4 é um diagrama de bloco que ilustra como o serviço sem fio pode ser fornecido para um AT conforme se move de uma primeira eBS para uma segunda eBS em uma rede de UMB. Em redes de UMB, mais funções são realizadas de modo próximo à interface sem fio com o AT 406. Uma dessas funções é permitir que o AT 406 seja transferido e se mova entre eBSs (por exemplo, a partir de uma primeira eBS-A 4 08 no tempo tO para uma segunda eBS-B 410 em um tempo tl) da rede de acesso 402 enquanto faz essa 5 mobilidade transparente para a rede doméstica rede 404. Para manter a mobilidade do AT 406 oculto em relação à rede doméstica 404, a AGW 412 na rede de entrega 403 gerencia o encaminhamento da eBS de entrega atual.
Conforme ilustrado na Figura 2, o SRNC-A 412 pode 10 ser parte do processo de autenticação. O trajeto da mensagem de solicitação de autenticação 226a e 226b (da Figura 2) e da mensagem de autenticação bem sucedida 232 e 234 é ilustrado na Figura 4. Se o AT 406 é autenticado com sucesso pela HAAA 416, o SRNC-A 412 recebe o ID de usuário, 15 o Perfil de Usuário, o Perfil de Usuário de QoS e a chave de PMIP MN-HA. Entretanto, à medida que um AT se move a partir de uma primeira eBS 408 para uma segunda eBS na mesma rede de acesso 402, a AGW 414 pode ocultar a mobilidade dos ATs da infraestrutura da rede doméstica 404. 20 Entretanto, a fim de realizar isso, a AGW 414 deve conhecer as informações de Perfil de Usuário e de Diretrizes para o AT 406 com o objetivo de determinar adequadamente o tipo de serviço (por exemplo, qualidade de serviço, etc.) que deve ser fornecido através da segunda eBS-B 410.
Esses métodos alternativos são propostos para
prover informações de perfil de usuário para a AGW. Em primeiro lugar, a AGW 414 pode recuperar o Perfil de Usuário a partir da LAAA 418 e as Diretrizes de Usuário a partir da PCRF quando um novo túnel PMIP é estabelecido. As 30 Figuras 5 e 6 ilustram como uma AGW pode recuperar o Perfil de Usuário a partir de uma LAAA quando um novo túnel PMIP é estabelecido e as Diretrizes de Usuário a partir de uma PCRF em configurações de SRNC distribuídas e centralizadas, respectivamente. Em segundo lugar, a AGW 414 pode obter as informações de Perfil de Usuário durante um processo de autenticação e as informações de Diretrizes de Usuário a partir de uma PCRF. As Figuras 7 e 8 ilustram como uma AGW pode obter as informações de Perfil de Usuário como parte de um processo de autenticação e as Diretrizes de Usuário a partir de uma PCRF em configurações de SRNC distribuídas e centralizadas, respectivamente. Em terceiro lugar, a LAAA 418 pode impingir o Perfil de Usuário à AGW 414 e a AGW pode, então, solicitar as Diretrizes de Usuário a partir da PCRF. As Figuras 9 e 10 ilustram como uma LAAA pode impingir o Perfil de Usuário à AGW 414 e a AGW pode solicitar as Diretrizes de Usuário a partir de uma PCRF em uma configuração de SRNC distribuída e centralizada, respectivamente.
Observe que em uma configuração de SRNC distributiva, o SRNC pode ser posicionado com a eBS (por exemplo, Figura 1 - eBS-a 114 e SRNC -a 104) enquanto em uma configuração de SRNC centralizada, o SRNC pode estar separado da eBS e pode atender uma ou mais eBSs (por exemplo, Figura 1 - SRNC-c 118, eBS-c 116 e eBS 117).
A Figura 5 ilustra como um AGW pode recuperar o Perfil de Usuário a partir de uma LAAA quando um novo túnel PMIP é estabelecido e solicitar as Diretrizes de Usuário a partir da PCRF em uma configuração de SRNC distribuída. Um processo de autenticação 520, 522 e 525 pode ser realizado, sendo que o AT 502 envia uma Solicitação de Autenticação para a HAAA 516. Se o AT é autenticado pela HAAA 616, a HAAA 616 gera informações de ID de usuário e outras informações de Perfil de Usuário em resposta. Como parte da resposta de autenticação 525, a eBS/SRNC 504 pode receber o Perfil de Usuário a partir da LAAA 510. Uma vez que a autenticação de acesso foi realizada, o AT 502 pode ser transferido a partir de uma eBS 504 de ponto de ancoragem de dados (DAP) para uma nova eBS de entrega. A nova eBS de entrega pode enviar uma 5 Solicitação de Transferência de DAP 530 através da nova eBS/SRNC de entrega. A mensagem de solicitação de registro (RRQ) de IP móvel de proxy (PMIP) 532 (incluindo um ID de usuário para o AT 502) é enviada pela nova eBS/SRNC de entrega para a AGW 506, a qual, por sua vez, envia uma 10 mensagem de solicitação de AAA (ID de usuário) 534 para a LAAA 510. A LAAA 510 recupera as informações de perfil de usuário (por exemplo, Perfil de Usuário, Chave PMIP MH-HA, etc.) associadas ao AT solicitante e as envia para a AGW 506. A AGW 506 pode enviar uma mensagem de resposta de 15 registro PMIP (RRP) 538 para a eBS/SRNC 504 que envia, então, uma mensagem de Atribuição de Transferência de DAP 540 para o AT 502.
Durante um processo em que um novo endereço de IP e/ou configuração 542 podem ser associados ao AT 502, a AGW 20 506 (com conhecimento do ID de usuário) é capaz de obter as Diretrizes de Usuário para o AT associado ao ID de usuário. A AGW 506 pode enviar uma Solicitação de Diretrizes (ID de usuário) 544 para o vPCRF 508 que pode ser encaminhada 546 para o hPCRF 514. Devido ao fato de que o hPCRF 514 não 25 conhece o mapeamento entre o ID de usuário e o NAI associado às Diretrizes de Usuário, o mesmo pode enviar uma solicitação de NAI (ID de usuário) 548 para a HAAA 516. A HAAA 516 responde com uma Resposta de NAI (ID de usuário, NAI) 550 que o hPCRF 514 pode usar para obter as Diretrizes 30 de Usuário associadas ao ID de usuário e ao NAI. Ou seja, o hPCRF 514 utiliza o NAI para obter as Diretrizes de Usuário correspondes ao AT associado ao ID de usuário. Uma Resposta de Diretrizes (ID de usuário, Diretrizes de Usuário) 552 é enviada pelo hPCRF 514 para o vPCRF 508, o qual envia, então, uma Resposta de Diretrizes (ID de usuário, Diretrizes de Usuário) 554 para a AGW 506. A AGW 506 pode então enviar ou impingir 556 as Diretrizes de Usuário à 5 eBS/SRNC 504.
De acordo com um exemplo, o AT 502 pode autorizar a recuperação das informações de perfil de usuário e/ou de diretrizes através da inclusão de um MAC na mensagem de Solicitação de Transferência de DAP 530. O MAC pode ser 10 criado com base em alguns dados estáticos, juntamente com algumas informações dinâmicas, como um número seqüencial. A chave para a geração MAC pode ser derivada a partir de uma hierarquia de chaveamento EAP (por exemplo, uma chave da DSRK - Chave de Raiz Específica de Domínio) compartilhada 15 entre o AT 502 e a HAAA 516 (ou LAAA) . Por exemplo, a geração de MAC pode ser com base em uma chave de autorização AK que é parte da hierarquia de chave EAP (por exemplo, AK= f (DSRK) , em que f é alguma função, como uma função pseudo-aleatória, como HMAC_SHA256). Os dados de 20 autorização incluídos na mensagem de Solicitação de Transferência de DAP 530 a partir do AT 502 pode ser enviada para a LAAA 510 através da AGW 506. Mediante uma verificação bem sucedida do MAC, o LAAA 510 envia o perfil de usuário para a AGW 506.
Para a recuperação de diretrizes a partir da
PCRF, uma abordagem similar poderia ser usada. A chave usada nesse caso deveria ser provenientes da chave compartilhada entre o AT e a HAAA (uma chave a partir da EAP EMSK pode ser gerada de modo similar,como acima).
A Figura 6 ilustra como um AGW pode recuperar o
Perfil de Usuário a partir de uma LAAA quando um novo túnel PMIP é estabelecido e solicitar as Diretrizes de Usuário a partir da PCRF em uma configuração de SRNC centralizada. Um processo de autenticação 622, 624, 626 e 625 pode ser realizado, sendo que o AT 602 envia uma Solicitação de Autenticação para a HAAA 618. Se o AT é autenticado com êxito pela HAAA 618, a HAAA 618 gera informações de ID de 5 usuário e obtém outras informações de Perfil de Usuário em resposta. Como parte da resposta de autenticação 606, o SRNC 606 pode receber 625 o Perfil de Usuário a partir da LAAA 610.
Uma vez que a autenticação de acesso foi realizada, o AT 602 pode se mover a partir de uma eBS 604 de ponto de ancoragem de dados (DAP) para uma nova eBS de entrega. A mensagem de RRQ de IP móvel de proxy (PMIP) 632 (incluindo um ID de usuário para o AT 602) é enviada pela nova eBS/SRNC de entrega para a AGW 608, a qual, por sua vez, envia uma mensagem de Solicitação de AAA 634 (incluindo um ID de usuário para o AT 602) para a LAAA 612. A LAAA 612 recupera as informações de perfil de usuário (por exemplo, Perfil de Usuário, Chave PMIP MH-HA, etc.) associadas ao AT solicitante602 e as envia para a AGW608. A 2 0 AGW pode enviar uma mensagem de RRP de PMIP para a eBS/SRNC que envia, então, uma mensagem de Atribuição de Transferência de DAP 639 para o AT 602.
Para as implantações ilustradas nas Figuras 5 e 6, se a segurança é a preocupação, a assinatura do AT (por 25 exemplo, uma transformação de chaves da chave MN-HA) pode ser incluída na Solicitação de Transferência de DAP / RRQ de PMIP e a HAAA pode verificá-la antes de enviar o NAI (associado ao AT solicitante) para o hPCRF a fim de recuperar as informações de perfil de usuário e/ou de 30 diretrizes.
Durante um processo em que um novo endereço de IP e/ou configuração 638 podem ser associados ao AT 602, a AGW 608 (com conhecimento do ID de usuário) é capaz de obter as Diretrizes de Usuário para o AT associado ao ID de usuário. A AGW 608 pode enviar uma Solicitação de Diretrizes (ID de usuário) 640 para o vPCRF 610 que pode ser encaminhada 642 para o hPCRF 616. Devido ao fato de que o hPCRF 616 não conhece o mapeamento entre o ID de usuário e o NAI associado às Diretrizes de Usuário, o mesmo pode enviar uma solicitação de NAI (ID de usuário) 644 para a HAAA 618. A HAAA 618 responde com uma Resposta de NAI (ID de usuário, NAI) 646 que o hPCRF 616 pode usar para obter as Diretrizes de Usuário associadas ao ID de usuário e ao NAI. Ou seja, o hPCRF 616 utiliza o NAI para obter as Diretrizes de Usuário correspondes ao AT associado ao ID de usuário. Uma Resposta de Diretrizes (ID de usuário, Diretrizes de Usuário) 648 é enviada pelo hPCRF 616 para o vPCRF 610, o qual envia, então, uma Resposta de Diretrizes (ID de usuário, Diretrizes de Usuário) 650 para a AGW 608. A AGW 608 pode então enviar e impingir 606 as Diretrizes de Usuário à eBS/SRNC 606 que pode copiar parte ou todas as informações 654 para a eBS 604.
A Figura 7 ilustra como um AGW pode obter as informações de Perfil de Usuário como parte de um processo de autenticação e as Diretrizes de Usuário a partir de uma PCRF em uma configuração de SRNC distribuída. Um processo de autenticação 720, 722, 724 e 728 pode ser realizado, sendo que o AT 702 envia uma Solicitação de Autenticação para a HAAA 716. Se o AT é autenticado com êxito pela HAAA 716, a HAAA 716 gera informações de ID de usuário e obtém outras informações de Perfil de Usuário em resposta. Como parte da resposta de autenticação, o SRNC 706 pode receber o Perfil de Usuário a partir da LAAA 710. A eBS/SRNC 704 pode receber, então, as informações de perfil de usuário (por exemplo, ID de usuário, Perfil de Usuário e/ou chave PMIP MN-HA) a partir da AGW 706. Durante um processo em que um novo endereço de IP e/ou configuração 738 podem ser associados ao AT 702, a AGW 706 (com conhecimento do ID de usuário) é capaz de obter as Diretrizes de Usuário para o AT associado ao ID de usuário.
5 A AGW 706 pode enviar uma Solicitação de Diretrizes (ID de usuário) 740 para o vPCRF 708 que pode ser encaminhada 742 para o hPCRF 714. Devido ao fato de que o hPCRF 714 não conhece o mapeamento entre o ID de usuário e o NAI associado às Diretrizes de Usuário, o mesmo pode enviar uma 10 solicitação de NAI (ID de usuário) 744 para a HAAA 716. A HAAA 716 responde com uma Resposta de NAI (ID de usuário, NAI) 746 que o hPCRF 714 pode usar para obter as Diretrizes de Usuário associadas ao ID de usuário e ao NAI. Ou seja, o hPCRF 714 utiliza o NAI para obter as Diretrizes de Usuário 15 correspondes ao AT associado ao ID de usuário. Uma Resposta de Diretrizes (ID de usuário, Diretrizes de Usuário) 748 é enviada pelo hPCRF 714 para o vPCRF 708, o qual envia, então, uma Resposta de Diretrizes (ID de usuário, Diretrizes de Usuário) 748 para a AGW 706. A AGW 706 pode 20 então enviar 704 as Diretrizes de Usuário para a eBS/SRNC.
A Figura 8 ilustra como um AGW pode obter as informações de Perfil de Usuário como parte de um processo de autenticação e as Diretrizes de Usuário a partir de uma PCRF em uma configuração de SRNC distribuída. Como parte de 25 uma autenticação, o SRNC 806 pode receber informações de perfil de usuário (por exemplo, ID de usuário, Perfil de Usuário e/ou Chave PMIP MN-HA) . O SRNC 806 pode enviar ou impingir as informações de perfil de usuário (exemplo, ID de usuário, Perfil de Usuário e/ou Chave PMIP MN-HA) à AGW 30 808 em uma mensagem de Solicitação de AAA 828 e recebe uma mensagem de Ack de AAA 830 a partir da AGW 808.
Um processo de autenticação 822, 824, 826, 828 pode ser realizado, sendo que o AT 802 envia uma Solicitação de Autenticação para a HAAA 818. Se o AT 802 é autenticado com êxito pela HAAA 818, a HAAA 818 gera informações de ID de Usuário e obtém outras informações de Perfil de Usuário em resposta. Como parte da resposta de autenticação, a AGW 808 pode receber as informações de perfil de usuário (por exemplo, ID de usuário, Perfil de Usuário e/ou Chave PMIP MN-HA) a partir da LAAA 812. A AGW 808 pode, então, encaminhar essas informações de perfil de usuário para o SRNC 806 que pode copiar 832 alguma ou todas as informações para eBS 804.
Uma vez que a autenticação de acesso foi realizada, o AT 802 pode se mover a partir de uma eBS 804 de ponto de ancoragem de dados (DAP) para uma nova eBS de entrega. Durante um processo em que um novo endereço de IP e/ou configuração 842 pode ser associado ao AT 802, a AGW 808 (com conhecimento do ID de usuário) pode ser capaz de obter as Diretrizes de Usuário para o AT associado ao ID de usuário. A AGW 808 pode enviar uma Solicitação de Diretrizes (ID de usuário) 844 para o vPCRF 810 que pode ser encaminhada 846 para o hPCRF 816. Devido ao fato de que o hPCRF 816 não conhece o mapeamento entre o ID de usuário e o NAI associado às Diretrizes de Usuário, o mesmo pode enviar uma solicitação de NAI (ID de usuário) 848 para a HAAA 818. A HAAA 818 responde com uma Resposta de NAI (ID de usuário, NAI) 850 que o hPCRF 816 pode usar para obter as Diretrizes de Usuário associadas ao ID de usuário e ao NAI. Ou seja, o hPCRF 816 utiliza o NAI para obter as Diretrizes de Usuário correspondes ao AT associado ao ID de usuário. Uma Resposta de Diretrizes (ID de usuário, Diretrizes de Usuário) 852 é enviada pelo hPCRF 816 para o vPCRF 810, o qual envia, então, uma Resposta de Diretrizes (ID de usuário, Diretrizes de Usuário) 854 para a AGW 808. A AGW 808 pode então enviar e impingir 856 as Diretrizes de Usuário ao SRNC 806 que pode copiar 858 parte ou todas as informações para a eBS 804.
A Figura 10 ilustra como uma LAAA pode enviar o Perfil de Usuário para um AGW e o AGW pode solicitar as 5 Diretrizes de Usuário a partir de uma PCRF em uma configuração de SRNC centralizada. Um processo de autenticação 920, 922 e 924 pode ser realizado, sendo que o AT 902 envia uma Solicitação de Autenticação para a HAAA 916. Se o AT é autenticado pela HAAA 916, a HAAA 916 gera 10 informações de ID de usuário e outras informações de Perfil de Usuário em resposta. Como parte da resposta de autenticação, a eBS/SRNC 904 pode receber o Perfil de Usuário a partir da LAAA 910. Subseqüentemente, a LAAA 910 pode enviar ou impingir uma mensagem de AAA (ID de usuário, 15 Perfil de Usuário, Chave PMIP MN-HA) 926 à AGW 906. A AGW 906 pode reconhecer 928 o recebimento da mensagem 926. As Diretrizes de Usuário podem ser obtidas pela AGW através de um processo similar aos processos ilustrados nas Figuras 5 e 7.
A Figura 10 ilustra como uma LAAA pode impingir o
Perfil de Usuário a uma AGW e a AGW pode solicitar as Diretrizes de Usuário a partir de uma PCRF em uma configuração de SRNC centralizada. Um processo de autenticação 1022, 1024 e 1026 pode ser realizado, sendo 25 que o AT 1002 envia uma Solicitação de Autenticação para a HAAA 1018. Se o AT 1002 é autenticado pela HAAA 1018, a HAAA 1018 gera informações de ID de usuário e outras informações de Perfil de Usuário em resposta. Como parte da resposta de autenticação, o SRNC 1006 pode receber o Perfil 30 de Usuário a partir da LAAA 1012. Subseqüentemente, a LAAA 1012 pode enviar ou impingir uma mensagem de AAA (ID de usuário, Perfil de Usuário, Chave PMIP MN-HA) 1028 à AGW 1008. A AGW 1008 pode reconhecer 1030 o recebimento da mensagem 1028. As Diretrizes de Usuário podem ser obtidas pela AGW através de um processo similar ao processo ilustrado nas Figuras 5, 7 e 9.
A Figura 11 ilustra um método operacional em um servidor de autenticação para prover um autenticador com as informações de perfil de usuário. Um servidor de autenticação (por exemplo, HAAA) pode receber uma solicitação de autenticação de acesso a partir do ponto de autenticação (por exemplo, AT) 1100 e verifica se o ponto de autenticação é um assinante válido da rede de comunicação (por exemplo, UMB). Um servidor de autenticação pode autenticar um ponto de autenticação que procura estabelecer as comunicações por meio de um primeiro nó de acesso de rede 1102. Se o ponto de autenticação é autenticado com êxito pelo servidor de autenticação 1104, o servidor de autenticação recupera as informações de perfil de usuário associadas ao ponto de autenticação 1106. O servidor de autenticação envia, então, as informações de perfil de usuário para um nó de porta de comunicação de rede que facilita os serviços de comunicação para o ponto de autenticação 1108. Similarmente, o servidor de autenticação também pode enviar as informações de perfil de usuário para um autenticador que facilita as comunicações para o ponto de autenticação 1110. Tais informações de perfil de usuário podem prover, por exemplo, uma pontuação ou qualidade de serviço para o ponto de autenticação. Em um exemplo, o servidor de autenticação pode ser uma entidade de autenticação, contabilidade e autorização (AAA) que é parte da rede de comunicação. Em uma implantação, enviar as informações de perfil de usuário para o nó de porta de comunicação de rede inclui fazer com que o autenticador envie as informações de perfil de usuário para o nó de porta de comunicação de rede. As informações de perfil de usuário podem ser fornecidas de acordo com um ou mais métodos ilustrados nas Figuras 5 a 10.
Referindo-se novamente à Figura 15, o circuito de processamento 1504 do Servidor de autenticação 1500 pode 5 ser próprio para: (a) autenticar um ponto de autenticação que procura estabelecer comunicações através de um primeiro nó de acesso de rede; (b) recuperar informações de perfil de usuário associadas ao ponto de autenticação; (c) enviar as informações de perfil de usuário para um nó de porta de 10 comunicação de rede que facilita os serviços de comunicação para o ponto de autenticação; (d) enviar as informações de perfil de usuário para um autenticador que facilita as comunicações para o ponto de autenticação; (e) receber uma solicitação de identificador de usuário primário a partir 15 de uma entidade de PCRF, sendo que o identificador de usuário primário é exclusivamente associado ao ponto de autenticação; e/ou (f) enviar uma resposta para a entidade de PCRF, incluindo o identificador de usuário primário solicitado.
Por conseguinte, um servidor de autenticação pode
ser fornecido de modo a compreender: (a) elementos para autenticar um ponto de autenticação que procura estabelecer comunicações através de um primeiro nó de acesso de rede; (b) elementos para recuperar informações de perfil de 25 usuário associadas ao ponto de autenticação; (c) elementos para enviar as informações de perfil de usuário para um nó de porta de comunicação de rede que facilita os serviços de comunicação para o ponto de autenticação; (d) elementos para enviar as informações de perfil de usuário para um 30 autenticador que facilita as comunicações para o ponto de autenticação; (e) elementos para receber uma solicitação de identificador de usuário primário a partir de uma entidade de PCRF, sendo que o identificador de usuário primário é exclusivamente associado ao ponto de autenticação; e/ou (f) elementos para enviar uma resposta para a entidade de PCRF, incluindo o identificador de usuário primário solicitado.
Similarmente, um programa de computador operacional em um servidor de autenticação também pode ser fornecido para prover informações de usuário, as quais, quando executadas por um processador, fazem com que o processador: (a) autentique um ponto de autenticação que procura estabelecer comunicações através de um primeiro nó de acesso de rede; (b) recupere informações de perfil de usuário associadas ao ponto de autenticação; (c) envie as informações de perfil de usuário para um nó de porta de comunicação de rede que facilita os serviços de comunicação para o ponto de autenticação; (d) envie as informações de perfil de usuário para um autenticador que facilita as comunicações para o ponto de autenticação; (e) receba uma solicitação de identificador de usuário primário a partir de uma entidade de PCRF, sendo que o identificador de usuário primário é exclusivamente associado ao ponto de autenticação; e/ou (f) envie uma resposta para a entidade de PCRF, incluindo o identificador de usuário primário solicitado.
A Figura 12 ilustra um método para prover um nó de porta de comunicação de rede com as informações de 25 diretrizes de usuário para um ponto de autenticação operacional em uma rede de comunicação. O método pode compreender: (a) enviar uma solicitação de diretrizes a partir do nó de porta de comunicação de rede para um controle de diretrizes e para uma entidade de função de 30 recurso (PCRF) 1202, sendo que a solicitação de diretrizes pode ser realizada para um ponto de autenticação, para o qual o nó de porta de comunicação de rede facilita as comunicações; (b) enviar uma solicitação de identificador de usuário primária a partir da entidade de PCRF para o servidor de autenticação, sendo que o identificador de usuário primário é exclusivamente associado ao ponto de autenticação 1204; (c) enviar uma resposta a partir do servidor de autenticação para a entidade de PCRF, incluindo o identificador de usuário primário solicitado 1206; (d) obter diretrizes de usuário na entidade de PCRF para o ponto de autenticação com o uso do identificador de usuário primário 1208; e/ou (e) enviar as diretrizes de usuário a partir da entidade de PCRF para o nó de porta de comunicação de rede 1210. Por exemplo, as informações de diretrizes de usuário podem ser fornecidas de acordo com um ou mais dos métodos ilustrados nas Figuras 5 a 10. O autenticador pode ser um controlador de rede de referência de sessão (SRNC) associado a uma estação base que atende o ponto de autenticação em uma rede compatível com uma Banda Larga Ultra Móvel (UMB) e o identificador confidencial é um identificador de acesso de rede para o terminal de acesso sem fio.
Distribuição de Chave PMIP para Verificar Novas Solicitações de Túnel
À medida que um AT é transferido e se move para eBSs diferentes, a AGW que gerencia as comunicações para o AT estabelece um túnel de IP de móvel de proxy (PMIP) para a nova eBS de entrega. Entretanto, a AGW tem que impedir que outras eBSs (ou invasores) reivindiquem estar fornecendo conectividade sem fio para o AT quando, de fato, não estão. A AGW deveria ser capaz de impedir que uma entidade não-autorizada altere a associação do túnel PMIP. Portanto, a chave de agente doméstico de nó móvel (MN-HA) pode ser usada para garantir a segurança de túneis entre a eBS e a AGW e entre o SRNC e a AGW. Há pelo menos dois tipos de túneis PMIP, túneis PMIP de RAN entre uma eBS e a AGW e túneis PMIP de Rede entre a AGW e o SRNC e entre uma primeira AGW e uma segunda AGW. À medida que um AT se move de eBS a eBS (no interior 5 de uma rede de entrega), um novo túnel PMIP de RAN pode ser estabelecido pela AGW com a nova eBS de entrega. Similarmente, conforme o AT é transferido e se move para uma nova rede de entrega ou de acesso, a AGW doméstica pode estabelecer um túnel PMIP de rede com a nova rede de 10 entrega ou de acesso.
Há diversas maneiras de obter uma Chave MN-HA que pode ser usada a fim de verificar se um novo túnel PMIP deveria ser estabelecido por uma AGW. A LAAA pode simplesmente escolher um número aleatório enquanto a chave 15 MN-HA de túnel PMIP o fornece para a AGW. Já que o AT não precisa conhecer essa chave, a única entidade que "deriva" essa chave é a LAAA. Portanto, não há necessidade de uma derivação, posto que uma simples geração de número aleatório forte é suficiente. O número aleatório gerado 20 (isto é, chave MN-HA) pode ser cedido ao SRNC e/ou à AGW e usado para verificar se um novo túnel PMIP (por exemplo, túnelPMIPv4) deveria ser estabelecido.
Alternativamente, a chave MN-HA pode ser criada a partir da hierarquia EAP, como no caso da chave de 25 autenticação. Por exemplo, a chave MN-HA pode ser uma função da DSRK (Chave de Raiz Específica de Domínio) compartilhada entre o AT e a LAAA (por exemplo, DSRK -> P4K (chave MN-HA de PMIPv4) ou P4K = f(DSRK), em que f é alguma função (por exemplo, função pseudo-aleatória, como HMAC 30 SHA256) . 0 P4K gerado (por exemplo, chave MN-HA) pode ser cedido ao SRNC e/ou à AGW e usado para garantir a segurança de um túnel PMIP (por exemplo, túnel PMIPv4). Em algumas implantações, uma chave MN-HA pode ser enviada para a AGW juntamente com o perfil de usuário. Por exemplo, a chave MN-HA pode ser enviada para um SRNC de entrega através de uma Autenticação de Acesso bem sucedida.
5 Ainda em outras implantações, a chave MN-HA pode ser gerada pela própria AGW e distribuída para a eBS de entrega atual.
Quando um telefone celular estabelece, primeiramente, comunicações em uma rede de entrega através de uma eBS, essa eBS e sua AGW são dotadas com uma chave 10 MN-HA (a qual pode ser obtida conforme discutido acima). Quando uma Solicitação de Transferência de DAP é recebida pela AGW, a mesma pode verificar se a eBS solicitante reconhece a chave MN-HA. Se sim, a AGW pode concordar com a transferência da solicitação. Se, entretanto, a eBS 15 solicitante não reconhece a chave MN-HA, a AGW pode negar a solicitação de transferência, já que a eBS não é confiável. De maneira similar, a chave MN-HA pode ser usada a fim de proteger as solicitações de transferência a partir de AGWs ou HAs diferentes.
Referindo-se novamente à Figura 1, em um exemplo,
um terminal de acesso AT-x 122 pode estabelecer o serviço sem fio através da eBS-c 116. Durante o processo de estabelecimento de seu serviço sem fio, o AT-x 122 pode se auto-autenticar com as redes doméstica e de entrega (por 25 exemplo, conforme discutido e ilustrado com referência às Figuras 5 a 10). Em um exemplo (em que um SRNC centralizado é usado), como parte desse processo de autenticação, uma chave MN-HA pode ser fornecida para (ou gerada por) a AGW-c 120. A chave MN-HA também é fornecida para o SRNC-c de 30 entrega 118 que suporta a eBS-c de entrega 116. Se posteriormente o AT-x 122 se mover para a eBS-d 111, uma Solicitação de Transferência de DAP pode ser gerada, através da qual um novo túnel PMIP deveria ser estabelecido entre a nova eBS-d 117 e a AGW-c de entrega 120. Já que o SRNC-c 118 reconhece a chave MN-HA (a partir do processo de autenticação), o mesmo pode prover para a chave MN-HA a AGW-c 120 a fim de verificar que a nova solicitação de 5 túnel é válida. Por conseguinte, a AGW-c 120 pode estabelecer o novo túnel com a eBS-d 117, conforme solicitado.
Em outro exemplo, o AT-1106 realiza, inicialmente, um processo de autenticação enquanto procura 10 serviço sem fio através da eBS-a 104. Consequentemente, a AGW-a 112 e o SRNC-a 104 reconhecerão a chave MN-HA para seu túnel. Se o AT-I 106 deseja, subseqüentemente, se comunicar através da eBS-b 107, uma nova solicitação de túnel é enviada para a AGW-a 112. Entretanto, nesse caso, o 15 SRNC-b de entrega 109 não reconhece a chave MN-HA (por exemplo, foi inicialmente cedido para o SRNC-a 114). Portanto, a fim de verificar sua nova solicitação de túnel como válida, o SRNC-b 109 pode obter a chave MN-HA a partir do SRNC-a 114. Isso permite que a AGW re-roteie os dados 20 para a nova eBS-b 107 sem a necessidade de re-autenticação. Alternativamente, o AT-I 106 pode simplesmente se reautenticar (por exemplo, realizar o processo de autenticação ilustrado nas Figuras 5 a 10) com a rede doméstica e/ou de entrega.
A Figura 13 ilustra um método para verificar
novas solicitações de túnel em uma rede de comunicação. A conectividade da rede sem fio pode ser fornecida para um ponto de autenticação através de um primeiro nó de acesso de rede 1302. Uma chave de IP móvel de proxy (PMIP) é 30 fornecida em ambas as extremidades de um túnel PMIP entre o primeiro nó de acesso de rede e um nó de rede PMIP usados para prover comunicações para o ponto de autenticação 1304. A chave PMIP é, então, fornecida para um primeiro autenticador associado ao primeiro nó de acesso de rede 1306 (por exemplo, túnel PMIP). As comunicações podem ser roteadas para o primeiro nó de acesso de redel308.
Subseqüentemente, uma solicitação pode ser recebida no nó de rede PMIP a partir de uma entidade solicitante a fim de re-rotear as comunicações para o ponto de autenticação 1310. O nó de rede PMIP pode verificar se a entidade solicitante reconhece a chave PMIP 1312. Em um exemplo, as comunicações podem ser re-roteadas para um segundo nó de acesso de rede (por exemplo, nova eBS) se a entidade solicitante demonstrar, com êxito, que reconhece a chave PMIP. Em outro exemplo, as comunicações podem ser reroteadas para um segundo nó de acesso de porta de comunicação de rede (por exemplo, AGW) caso a entidade de solicitação demonstre, de modo bem sucedido, que reconhece a chave PMIP. 0 re-roteamento de comunicações pode incluir o estabelecimento de um novo túnel de IP móvel de proxy entre o primeiro nó de rede PMIP e uma nova entidade de rede de entrega 1314. Em um exemplo, a chave PMIP pode ser gerada em uma entidade de autenticação, contabilidade e autorização (AAA) ou um nó de porta de comunicação de rede. O nó de rede PMIP pode ser um nó de porta de comunicação de rede.
A Figura 16 é um diagrama de bloco que ilustra um 25 exemplo de um dispositivo de nó de rede PMIP. O dispositivo de nó de rede PMIP 1600 pode incluir um circuito de processamento 1604 acoplado a uma interface de comunicação de rede 1606. O circuito de processamento 1604 pode ser próprio para: (a) prover uma conectividade de rede sem fio 30 para um ponto de autenticação através de um primeiro nó de acesso de rede; (b) prover uma chave PMIP para ambas as extremidades de um túnel PMIP entre o primeiro nó de acesso de rede e o nó de rede PMIP usado para prover comunicações para o ponto de autenticação; (c) prover uma chave PMIP para um primeiro autenticador associado ao primeiro nó de acesso de rede; (d) receber uma solicitação a partir de uma entidade de solicitação para re-rotear as comunicações para o ponto de autenticação; (e) verificar se a entidade de solicitação conhece a chave PMIP; (f) re-rotear as comunicações para um segundo nó de acesso de rede caso a entidade de solicitação prove, com êxito, que conhece a chave PMIP; e/ou re-rotear as comunicações para um segundo nó de porta de comunicação de rede se a entidade de solicitação provar, com êxito, que conhece a chave PMIP. O re-roteamento de comunicações pode incluir o estabelecimento de um novo túnel de IP móvel de proxy entre o primeiro nó de rede PMIP e uma nova entidade de rede de entrega.
Por conseguinte, o nó de rede PMIP também pode ser fornecido de modo que compreende: (a) elementos para prover uma conectividade de rede sem fio para um ponto de autenticação através de um primeiro nó de acesso de rede; 2 0 (b) elementos para prover uma chave PMIP para ambas as extremidades de um túnel PMIP entre o primeiro nó de acesso de rede e o nó de rede PMIP usado para prover comunicações para o ponto de autenticação; (c) elementos para prover uma chave PMIP para um primeiro autenticador associado ao 25 primeiro nó de acesso de rede; (d) elementos para receber uma solicitação a partir de uma entidade de solicitação para re-rotear as comunicações para o ponto de autenticação; (e) elementos para verificar se a entidade de solicitação conhece a chave PMIP; (f) elementos para re30 rotear as comunicações para um segundo nó de acesso de rede caso a entidade de solicitação prove, com êxito, que conhece a chave PMIP; e/ou (f) re-rotear as comunicações para um segundo nó de porta de comunicação de rede se a entidade de solicitação provar, com êxito, que conhece a chave PMIP. 0 re-roteamento de comunicações pode incluir o estabelecimento de um novo túnel de IP móvel de proxy entre o primeiro nó de rede PMIP e uma nova entidade de rede de 5 entrega.
De modo similar, um programa de computador operacional em um dispositivo de nó de rede PMIP também pode ser fornecido, o qual, quando executado por um processador, faz com que o processador: (a) forneça uma conectividade de rede sem fio para um ponto de autenticação através de um primeiro nó de acesso de rede; (b) forneça uma chave PMIP para ambas as extremidades de um túnel PMIP entre o primeiro nó de acesso de rede e o nó de rede PMIP usado para prover comunicações para o ponto de autenticação; (c) forneça uma chave PMIP para um primeiro autenticador associado ao primeiro nó de acesso de rede; (d) receba uma solicitação a partir de uma entidade de solicitação para re-rotear as comunicações para o ponto de autenticação; (e) verifique se a entidade de solicitação conhece a chave PMIP; (f) re-roteie as comunicações para um segundo nó de acesso de rede caso a entidade de solicitação prove, com êxito, que conhece a chave PMIP; e/ou re-roteie as comunicações para um segundo nó de porta de comunicação de rede se a entidade de solicitação provar, com êxito, que 2 5 conhece a chave PMIP.
Um ou mais dos componentes, etapas e/ou funções ilustrados nas Figuras 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11,
12, 13, 15 e/ou 16 podem ser reorganizados e/ou combinados em um único componente, etapa ou função ou incorporados em 30 diversos componentes, etapas ou funções. Os elementos, componentes, etapas e/ou funções adicionais também podem ser adicionados. Os aparelhos, dispositivos e/ou componentes ilustrados nas Figuras 1, 4, 14, 15 e 16 pode ser configurado ou próprio para realizar um ou mais dos métodos, características ou etapas descritas nas Figuras 2,
3, e/ou 5 a 13. Os algoritmos descritos aqui podem ser implantados, de modo eficaz, em software e/ou hardware 5 incorporado.
As pessoas versadas na técnica verificarão que diversos os blocos, módulos, circuitos e etapas de algoritmo lógicos ilustrativos descritos em conexão com as configurações reveladas aqui podem ser implantados como hardware eletrônico, software de computador ou combinações de ambos. Para ilustrar de modo claro essa permutabilidade de hardware e software, diversos componentes, blocos, módulos, circuitos e etapas ilustrativos foram descritos acima, em geral, em termos de sua funcionalidade. Se tal funcionalidade é implantada como hardware ou software depende da aplicação particular e de restrições de projeto no sistema geral. Deve-se observar que as configurações anteriores são meramente exemplificativas e não devem ser interpretadas como limitadoras das reivindicações. A descrição das configurações deve ser ilustrativa e não deve limitar o escopo das reivindicações. Como tal, os presentes ensinamentos podem ser prontamente aplicados a outros tipos de aparelhos e muitas alternativas, modificações e variações ficarão aparentes para as pessoas versadas na técnica.

Claims (56)

1. Método operacional em um servidor de autenticação para uma rede de comunicação sem fio compreendendo: receber uma solicitação de autenticação de acesso a partir de um ponto de autenticação sem fio; gerar um identificador de usuário secundário associado a um identificador de usuário primário para o ponto de autenticação sem fio; prover um identificador de usuário secundário para um autenticador associado ao ponto de autenticação.
2. Método, de acordo com a reivindicação 1, em que a rede de comunicação inclui ao menos um dentre uma rede compatível com Banda Larga Ultra Móvel (UMB), uma rede compatível com WiMAX ou uma rede compatível com Evolução de Longo Prazo (LTE).
3. Método, de acordo com a reivindicação 1, em que o servidor de autenticação pode ser uma entidade de autenticação, contabilidade e autorização (AAA) e o ponto de autenticação é um terminal de acesso sem fio (AT).
4. Método, de acordo com a reivindicação 3, em que o autenticador pode ser um controlador de rede de referência de sessão (SRNC) associado a uma estação base (BS) que atende o terminal de acesso sem fio (AT) em uma rede compatível com uma Banda Larga Ultra Móvel (UMB) e o identificador de usuário primário é um identificador de acesso de rede (NAI) para o terminal de acesso sem fio.
5. Método, de acordo com a reivindicação 4, em que a estação base de entrega é posicionada junto ao controlador de rede de referência de sessão (SRNC).
6. Método, de acordo com a reivindicação 1, compreendendo adicionalmente: recuperar as informações de perfil de usuário com base no identificador de usuário primário; e prover as informações de perfil de usuário para o autenticador.
7. Método, de acordo com a reivindicação 1, em que o identificador de usuário secundário é um número aleatoriamente gerado que é subsequentemente associado ao identificador de usuário primário.
8. Método, de acordo com a reivindicação 1, em que o identificador de usuário secundário é o identificador de usuário primário.
9. Método, de acordo com a reivindicação 1, em que o identificador de usuário secundário é uma função di identificador de usuário primário.
10. Servidor de autenticação, incluindo um circuito de processamento adaptado para: receber uma solicitação de autenticação de acesso a partir de um ponto de autenticação sem fio; gerar um identificador de usuário secundário associado a um identificador de usuário primário para o ponto de autenticação sem fio; e prover um identificador de usuário secundário para um autenticador associado ao ponto de autenticação.
11. Servidor de autenticação, de acordo com a reivindicação 10, compreendendo adicionalmente uma interface de comunicação própria para se comunicar através de ao menos um dentre uma rede compatível com Banda Larga Ultra Móvel (UMB) , uma rede compatível com WiMAX ou uma rede compatível com Evolução de Longo Prazo (LTE).
12. Servidor de autenticação, de acordo com a reivindicação 10, em que o servidor de autenticação pode ser uma entidade de autenticação, contabilidade e autorização (AAA) e o ponto de autenticação é um terminal de acesso sem fio (AT) .
13. Servidor de autenticação, de acordo com a reivindicação 12, em que o autenticador pode ser um controlador de rede de referência de sessão (SRNC) associado a uma estação base (BS) que atende o terminal de acesso sem fio (AT) em uma rede compativel com uma Banda Larga Ultra Móvel (UMB) e o identificador de usuário primário é um identificador de acesso de rede (NAI) para o terminal de acesso sem fio.
14. Servidor de autenticação, de acordo com a reivindicação 10, em que o circuito de processamento é adicionalmente adaptado para: recuperar as informações de perfil de usuário no identificador de usuário primário; e prover as informações de perfil de usuário para o autenticador.
15. Servidor de autenticação, de acordo com a reivindicação 10, em que o identificador de usuário secundário é um número aleatoriamente gerado que é subsequentemente associado ao identificador de usuário primário.
16. Servidor de autenticação, de acordo com a reivindicação 10, em que o identificador de usuário secundário é o identificador de usuário primário.
17. Servidor de autenticação, de acordo com a reivindicação 10, em que o identificador de usuário secundário é uma função do identificador de usuário primário.
18. Servidor de autenticação compreendendo: meios para receber uma solicitação de autenticação de acesso a partir de um ponto de autenticação sem fio; meios para gerar um identificador de usuário secundário associado a um identificador de usuário primário para o ponto de autenticação sem fio; e meios para prover um identificador de usuário secundário para um autenticador associado ao ponto de autenticação.
19. Servidor de autenticação, de acordo com a reivindicação 18, compreendendo adicionalmente: meios para recuperar as informações de perfil de usuário com base no identificador de usuário primário; e meios para prover as informações de perfil de usuário para o autenticador.
20. Programa de computador operacional em um servidor de autenticação para garantir segurança de um identificador de usuário primário, o qual, quando executado por um processador, faz o processador: receber uma solicitação de autenticação de acesso a partir de um ponto de autenticação sem fio; gerar um identificador de usuário secundário associado a um identificador de usuário primário para o ponto de autenticação sem fio; e prover o identificador de usuário secundário para um autenticador associado ao ponto de autenticação.
21. Programa de computador, de acordo com a reivindicação 20, o qual quando executado pelo processador, faz adicionalmente o processador: recuperar informações de perfil de usuário no identificador de usuário primário; e fornecer as informações de perfil de usuário para o autenticador.
22. Método operacional em uma rede de comunicação, compreendendo: autenticar um ponto de autenticação que procura estabelecer comunicações através de um primeiro nó de acesso de rede; recuperar as informações de perfil de usuário associadas ao ponto de autenticação; e enviar as informações de perfil de usuário para um nó de porta de comunicação de rede que facilita os serviços de comunicação para o ponto de autenticação.
23. Método, de acordo com a reivindicação 22, compreendendo adicionalmente: enviar informações de perfil de usuário para um autenticador que facilita as comunicações para o ponto de autenticação.
24. Método, de acordo com a reivindicação 22, em que o servidor de autenticação pode ser uma entidade de autenticação, contabilidade e autorização (AAA) que é parte da rede de comunicação.
25. Método, de acordo com a reivindicação 22, em que enviar as informações de perfil de usuário para o nó de porta de comunicação de rede inclui fazer com que um autenticador para a rede de comunicação envie as informações de perfil de usuário para o nó de porta de comunicação de rede.
26. Método, de acordo com a reivindicação 22, em que enviar as informações de perfil de usuário para o nó de porta de comunicação de rede inclui fazer com que o servidor de autenticação envie as informações de perfil de usuário para o nó de porta de comunicação de rede.
27. Método, de acordo com a reivindicação 22, em que as informações de perfil de usuário incluem ao menos um dentre um perfil de usuário, diretrizes de usuário, qualidade de serviço para o perfil de usuário e para os serviços de comunicação do ponto de autenticação.
28. Método, de acordo com a reivindicação 22, compreendendo adicionalmente: enviar uma solicitação de diretrizes a partir de um nó de porta de comunicação de rede para um controle de diretrizes e uma entidade de função de recurso (PCRF); enviar uma solicitação de identificador de usuário primário a partir da entidade de PCRF para o servidor de autenticação, sendo que o identificador de usuário primário é exclusivamente associado ao ponto de autenticação; enviar uma resposta a partir do servidor de autenticação para a entidade de PCRF, incluindo o identificador de usuário primário solicitado; obter diretrizes de usuário em uma entidade de PCRF para o ponto de autenticação com o uso do identificador de usuário primário; e enviar as diretrizes de usuário a partir da entidade de PCRF para o nó de porta de comunicação de rede.
29. Método, de acordo com a reivindicação 22, em que o autenticador pode ser um controlador de rede de referência de sessão (SRNC) associado a uma estação base que atende o ponto de autenticação em uma rede compativel com uma Banda Larga Ultra Móvel (UMB) e o identificador confidencial é um identificador de acesso de rede para o terminal de acesso sem fio.
30. Servidor de autenticação, incluindo um circuito de processamento adaptado para: autenticar um ponto de autenticação que procura estabelecer comunicações através de um primeiro nó de acesso de rede; recuperar informações de perfil de usuário associadas ao ponto de autenticação; e enviar as informações de perfil de usuário para um nó de porta de comunicação de rede que facilita os serviços de comunicação para o ponto de autenticação.
31. Servidor de autenticação, de acordo com a reivindicação 30, em que o circuito de processamento é adicionalmente adaptado para: enviar informações de perfil de usuário para um autenticador que facilita as comunicações para o ponto de autenticação.
32. Servidor de autenticação, de acordo com a reivindicação 30, em que o circuito de processamento é adicionalmente adaptado para: receber uma solicitação de identificador de usuário primário a partir de uma entidade de PCRF, sendo que o identificador de usuário primário é exclusivamente associado ao ponto de autenticação; e enviar uma resposta para a entidade de PCRF, incluindo o identificador de usuário primário solicitado.
33. Servidor de autenticação compreendendo: meios para autenticar um ponto de autenticação que procura estabelecer comunicações através de um primeiro nó de acesso de rede; meios para recuperar informações de perfil de usuário associadas ao ponto de autenticação; e meios para enviar as informações de perfil de usuário para um nó de porta de comunicação de rede que facilita os serviços de comunicação para o ponto de autenticação.
34. Servidor de autenticação, de acordo com a reivindicação 33, compreendendo adicionalmente: meios para enviar as informações de perfil de usuário para um autenticador que facilita as comunicações para o ponto de autenticação.
35. Servidor de autenticação, de acordo com a reivindicação 33, compreendendo adicionalmente: meios para receber uma solicitação de identificador de usuário primário a partir de uma entidade de PCRF, sendo que o identificador de usuário primário é exclusivamente associado ao ponto de autenticação; e meios para enviar uma resposta para a entidade de PCRF, incluindo o identificador de usuário primário solicitado.
36. Programa de computador operacional em um servidor de autenticação para prover informações de usuário, o qual, quando executado por um processador, faz o processador: autenticar um ponto de autenticação que procura estabelecer comunicações através , de um primeiro nó de acesso de rede; recuperar as informações de perfil de usuário associadas ao ponto de autenticação; e enviar as informações de perfil de usuário para um nó de porta de comunicação de rede que facilita os serviços de comunicação para o ponto de autenticação.
37. Programa de computador, de acordo com a reivindicação 36, o qual, quando executado pelo processador, faz adicionalmente o processador: enviar informações de perfil de usuário para um autenticador que facilita as comunicações para o ponto de autenticação.
38. Programa de computador, de acordo com a reivindicação 36, o qual, quando executado pelo processador, faz adicionalmente o processador: receber uma solicitação de identificador de usuário primário a partir de uma entidade de PCRF, sendo que o identificador de usuário primário é exclusivamente associado ao ponto de autenticação; e enviar uma resposta para a entidade de PCRF, incluindo o identificador de usuário primário solicitado.
39. Método operacional em uma rede de comunicação, compreendendo: prover uma conectividade de rede sem fio para um ponto de autenticação através de um primeiro nó de acesso de rede; prover uma chave PMIP para ambas as extremidades de um túnel PMIP entre o primeiro nó de acesso de rede e o nó de rede PMIP usado para prover comunicações para o ponto de autenticação; prover uma chave PMIP para um primeiro autenticador associado ao primeiro nó de acesso de rede; receber uma solicitação a partir de uma entidade de solicitação para re-rotear as comunicações para o ponto de autenticação; e verificar se a entidade de solicitação conhece a chave PMIP.
40. Método, de acordo com a reivindicação 39, compreendendo adicionalmente: re-rotear comunicações para um segundo nó de acesso de rede caso a entidade de solicitação demonstre, de modo bem sucedido, que conhece a chave PMIP.
41. Método, de acordo com a reivindicação 39, compreendendo adicionalmente: re-rotear comunicações para um segundo nó de porta de comunicação de rede caso a entidade de solicitação demonstre, de modo bem sucedido, que conhece a chave PMIP.
42. Método, de acordo com a reivindicação 41, em que re-rotear comunicações inclui estabelecer um novo túnel de IP móvel de proxy entre o primeiro nó de rede PMIP e uma nova entidade de rede de entrega.
43. Método, de acordo com a reivindicação 39, compreendendo adicionalmente: re-rotear comunicações para o primeiro nó de acesso de rede.
44. Método, de acordo com a reivindicação 39, compreendendo adicionalmente: gerar a chave PMIP em uma entidade de autenticação, contabilidade e autorização (AAA).
45. Método, de acordo com a reivindicação 39, em que o nó de rede PMIP é um nó de porta de comunicação de rede.
46. Nó de rede PMIP, incluindo um circuito de processamento adaptado para: prover uma conectividade de rede sem fio para um ponto de autenticação através de um primeiro nó de acesso de rede; prover uma chave PMIP para ambas as extremidades de um túnel PMIP entre o primeiro nó de acesso de rede e o nó de rede PMIP usado para prover comunicações para o ponto de autenticação; prover uma chave PMIP para um primeiro autenticador associado ao primeiro nó de acesso de rede; receber uma solicitação a partir de uma entidade de solicitação para re-rotear as comunicações para o ponto de autenticação; e verificar se a entidade de solicitação reconhece a chave PMIP.
47. Nó de rede PMIP, de acordo com a reivindicação 46, em que o circuito de processamento é adicionalmente adaptado para: re-rotear comunicações para um segundo nó de acesso de rede caso a entidade de solicitação demonstre, de modo bem sucedido, que reconhece a chave PMIP.
48. Nó de rede PMIP, de acordo com a reivindicação 46, em que o circuito de processamento é adicionalmente adaptado para: re-rotear comunicações para um segundo nó de porta de comunicação de rede caso a entidade de solicitação demonstre, de modo bem sucedido, que reconhece a chave PMIP.
49. Nó de rede PMIP, de acordo com a reivindicação 46, em que re-rotear comunicações inclui estabelecer um novo túnel de IP móvel de proxy entre o primeiro nó de rede PMIP e uma nova entidade de rede de entrega.
50. Nó de rede PMIP, compreendendo: meios para prover uma conectividade de rede sem fio para um ponto de autenticação através de um primeiro nó de acesso de rede; meios para prover uma chave PMIP para ambas as extremidades de um túnel PMIP entre o primeiro nó de acesso de rede e o nó de rede PMIP usado para prover comunicações para o ponto de autenticação; meios para prover uma chave PMIP para um primeiro autenticador associado ao primeiro nó de acesso de rede; receber uma solicitação a partir de uma entidade de solicitação para re-rotear as comunicações para o ponto de autenticação; e meios para verificar se a entidade de solicitação conhece a chave PMIP.
51. Nó de rede PMIP, de acordo com a reivindicação 50, em que o circuito de processamento é adicionalmente adaptado para: meios para re-rotear comunicações para um segundo nó de acesso de rede caso a entidade de solicitação demonstre, de modo bem sucedido, que reconhece a chave PMIP.
52. Nó de rede PMIP, de acordo com a reivindicação 50, em que o circuito de processamento é adicionalmente próprio para: meios para re-rotear comunicações para um segundo nó de porta de comunicação de rede caso a entidade de solicitação demonstre, de modo bem sucedido, que reconhece a chave PMIP.
53. Nó de rede PMIP, de acordo com a reivindicação 50, em que re-rotear comunicações inclui estabelecer um novo túnel de IP móvel de proxy entre o primeiro nó de rede PMIP e uma nova entidade de rede de entrega.
54. Programa de computador operacional em um nó de rede PMIP, o qual quando executado por um processador, faz o processador: prover conectividade de rede sem fio para um ponto de autenticação através de um primeiro nó de acesso de rede; prover uma chave PMIP para ambas as extremidades de um túnel PMIP entre o primeiro nó de acesso de rede e o nó de rede PMIP usado para prover comunicações para o ponto de autenticação; prover uma chave PMIP para um primeiro autenticador associado ao primeiro nó de acesso de rede; receber uma solicitação a partir de uma entidade de solicitação para re-rotear as comunicações para o ponto de autenticação; e verificar se a entidade de solicitação reconhece a chave PMIP.
55. Programa de computador, de acordo com a reivindicação 54, o qual quando executado pelo processador, faz adicionalmente o processador: re-rotear comunicações para um segundo nó de acesso de rede caso a entidade de solicitação demonstre, de modo bem sucedido, que reconhece a chave PMIP.
56. Programa de computador, de acordo com a reivindicação 54, o qual quando executado pelo processador, faz adicionalmente o processador: re-rotear comunicações para um segundo nó de porta de comunicação de rede caso a entidade de solicitação demonstre, de modo bem sucedido, que reconhece a chave PMIP.
BRPI0808920-5A 2007-03-16 2008-03-17 Distribuição de perfil de usuário, política, e chave pmip em uma rede de comunicação sem fio. BRPI0808920A2 (pt)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US89529807P 2007-03-16 2007-03-16
US60/895,298 2007-03-16
US12/048,883 2008-03-14
US12/048,883 US10171998B2 (en) 2007-03-16 2008-03-14 User profile, policy, and PMIP key distribution in a wireless communication network
PCT/US2008/057280 WO2008121544A2 (en) 2007-03-16 2008-03-17 User profile, policy, and pmip key distribution in a wireless communication network

Publications (1)

Publication Number Publication Date
BRPI0808920A2 true BRPI0808920A2 (pt) 2014-09-02

Family

ID=39677743

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0808920-5A BRPI0808920A2 (pt) 2007-03-16 2008-03-17 Distribuição de perfil de usuário, política, e chave pmip em uma rede de comunicação sem fio.

Country Status (18)

Country Link
US (2) US10171998B2 (pt)
EP (2) EP3382990B1 (pt)
JP (1) JP4965671B2 (pt)
KR (3) KR101122997B1 (pt)
CN (3) CN102938890B (pt)
BR (1) BRPI0808920A2 (pt)
CA (1) CA2681116A1 (pt)
DK (2) DK3382990T3 (pt)
ES (2) ES2827573T3 (pt)
HU (2) HUE036642T2 (pt)
NO (1) NO2137925T3 (pt)
PL (2) PL3382990T3 (pt)
PT (2) PT2137925T (pt)
RU (1) RU2440688C2 (pt)
SI (2) SI2137925T1 (pt)
TR (1) TR201806942T4 (pt)
TW (3) TW201325182A (pt)
WO (1) WO2008121544A2 (pt)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10171998B2 (en) 2007-03-16 2019-01-01 Qualcomm Incorporated User profile, policy, and PMIP key distribution in a wireless communication network
US20090042569A1 (en) * 2007-04-20 2009-02-12 Interdigital Technology Corporation Method and apparatus for supporting mobile ip and proxy mip in evolved 3gpp systems
KR101341720B1 (ko) * 2007-05-21 2013-12-16 삼성전자주식회사 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법
US8769611B2 (en) * 2007-05-31 2014-07-01 Qualcomm Incorporated Methods and apparatus for providing PMIP key hierarchy in wireless communication networks
US8098597B2 (en) * 2007-08-24 2012-01-17 Samsung Electronics Co., Ltd. IAS-based configuration for UMB Femto devices
US8811161B2 (en) * 2007-09-21 2014-08-19 Intellectual Discovery Co., Ltd. Method of creating and deleting service flow for robust header compression, and wireless communication system supporting the same
JP4371250B1 (ja) * 2008-08-07 2009-11-25 日本電気株式会社 通信システム、サーバ装置、情報通知方法、プログラム
JP4371249B1 (ja) * 2008-08-07 2009-11-25 日本電気株式会社 通信システム、サーバ装置、情報通知方法、プログラム
US8353018B2 (en) * 2008-11-13 2013-01-08 Yahoo! Inc. Automatic local listing owner authentication system
US8234693B2 (en) * 2008-12-05 2012-07-31 Raytheon Company Secure document management
KR101556906B1 (ko) * 2008-12-29 2015-10-06 삼성전자주식회사 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법
US8826376B2 (en) * 2009-03-10 2014-09-02 Alcatel Lucent Communication of session-specific information to user equipment from an access network
KR101674903B1 (ko) * 2009-10-20 2016-11-11 삼성전자주식회사 개인 네트워크를 이용한 서비스 제공 방법 및 장치
CN102056118B (zh) * 2009-10-30 2015-05-20 中兴通讯股份有限公司 计费控制的方法、装置及系统
US9166803B2 (en) 2010-02-12 2015-10-20 Tekelec, Inc. Methods, systems, and computer readable media for service detection over an RX interface
CN102893640B (zh) 2010-03-15 2016-03-23 泰克莱克股份有限公司 用于在策略和计费规则功能与服务节点之间传输策略信息的方法、系统和计算机可读介质
US9319318B2 (en) * 2010-03-15 2016-04-19 Tekelec, Inc. Methods, systems, and computer readable media for performing PCRF-based user information pass through
EP2418818B1 (en) 2010-08-12 2018-02-14 Deutsche Telekom AG Network entity for managing communications towards a user entity over a communication network
EP2418815B1 (en) 2010-08-12 2019-01-02 Deutsche Telekom AG Managing Session Initiation Protocol communications towards a user entity in a communication network
EP2418817B1 (en) 2010-08-12 2018-12-12 Deutsche Telekom AG Application server for managing communications towards a set of user entities
TWI568234B (zh) * 2014-01-28 2017-01-21 國立勤益科技大學 全球移動通訊網路的匿名認證方法
US10681086B2 (en) * 2014-03-11 2020-06-09 Telefonaktiebolaget Lm Ericsson (Publ) Methods, devices and computer programs for subjecting traffic associated with a service to a specific treatment
RU2610258C2 (ru) * 2014-11-28 2017-02-08 Общество С Ограниченной Ответственностью "Яндекс" Способ (варианты) и система (варианты) анонимной авторизации на сервисе пользователя
US10200265B2 (en) * 2015-06-11 2019-02-05 Comcast Cable Communications, Llc Application peering
RU2637999C1 (ru) * 2016-09-12 2017-12-08 Общество С Ограниченной Ответственностью "Яндекс" Способ и система создания профиля пользователя и аутентификации пользователя
EP3944581A1 (en) * 2020-07-21 2022-01-26 Mastercard International Incorporated Authentication method and system

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6445922B1 (en) * 1999-12-15 2002-09-03 Lucent Technologies Inc. Method and system for support of overlapping IP addresses between an interworking function and a mobile IP foreign agent
US6563919B1 (en) * 1999-12-17 2003-05-13 Nortel Networks Limited System and method for unifying the implementation and processing of mobile communications and a unified mobility manager for providing such communications
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
AU2002213367A1 (en) 2000-10-20 2002-05-06 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
EP1378093B1 (en) 2001-04-09 2012-08-08 Hewlett-Packard Development Company, L.P. Authentication and encryption method and apparatus for a wireless local access network
WO2003067439A1 (en) * 2002-02-04 2003-08-14 Flarion Technologies, Inc. A method for extending mobile ip and aaa to enable integrated support for local access and roaming access connectivity
US8630414B2 (en) * 2002-06-20 2014-01-14 Qualcomm Incorporated Inter-working function for a communication system
WO2004003679A2 (en) * 2002-06-28 2004-01-08 Nokia Corporation Method of registering home address of a mobile node with a home agent
KR100480258B1 (ko) 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US7562393B2 (en) 2002-10-21 2009-07-14 Alcatel-Lucent Usa Inc. Mobility access gateway
US20040193891A1 (en) * 2003-03-31 2004-09-30 Juha Ollila Integrity check value for WLAN pseudonym
US7505432B2 (en) 2003-04-28 2009-03-17 Cisco Technology, Inc. Methods and apparatus for securing proxy Mobile IP
US7793098B2 (en) * 2003-05-20 2010-09-07 Nokia Corporation Providing privacy to nodes using mobile IPv6 with route optimization
CN1283072C (zh) * 2003-07-03 2006-11-01 华为技术有限公司 无线局域网中用户终端网络选择信息的处理方法
US7539156B2 (en) * 2003-10-17 2009-05-26 Qualcomm Incorporated Method and apparatus for provisioning and activation of an embedded module in an access terminal of a wireless communication system
US7324474B2 (en) * 2003-10-21 2008-01-29 Qualcomm Incorporated Methods and apparatus for Network Initiated Data Services
GB2417856B (en) 2004-03-20 2008-11-19 Alcyone Holding S A Wireless LAN cellular gateways
US20060019635A1 (en) * 2004-06-29 2006-01-26 Nokia Corporation Enhanced use of a network access identifier in wlan
ES2458295T3 (es) * 2004-11-10 2014-04-30 Telefonaktiebolaget Lm Ericsson (Publ) Disposición, nodos y método en relación con acceso a servicios sobre un sistema de comunicación
CN100486280C (zh) 2005-02-02 2009-05-06 中国移动通信集团公司 移动通信终端页面适配的方法及系统
FI20050384A0 (fi) 2005-04-14 2005-04-14 Nokia Corp Geneerisen todentamisarkkitehtuurin käyttö Internet-käytäntöavainten jakeluun matkaviestimissä
CN100558135C (zh) 2005-06-17 2009-11-04 华为技术有限公司 一种在通信网络中实现预付费业务的方法及系统
US20070047477A1 (en) 2005-08-23 2007-03-01 Meshnetworks, Inc. Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication
WO2007026268A1 (en) * 2005-08-31 2007-03-08 Nokia Corporation Inter-access mobility and service control
US8478266B1 (en) * 2006-03-07 2013-07-02 Sprint Spectrum L.P. Method and system for anonymous operation of a mobile node
US8090830B2 (en) * 2006-05-02 2012-01-03 Research In Motion Limited Apparatus, and associated method, for generating and transmitting an anonymous routing identifier to identify user agent
US20080108321A1 (en) * 2006-11-08 2008-05-08 Pouya Taaghol Over-the-air (OTA) device provisioning in broadband wireless networks
JP5144679B2 (ja) * 2006-12-19 2013-02-13 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおけるユーザアクセス管理
EP1953991A1 (en) * 2007-01-30 2008-08-06 Matsushita Electric Industrial Co., Ltd. Race condition resolution in mixed network- and host-based mobility mangement scenarios
US20080192695A1 (en) * 2007-02-09 2008-08-14 Telefonaktiebolaget Lm Ericsson (Publ) Enhancing protection of a mobile node's home address in a visited network
US10171998B2 (en) 2007-03-16 2019-01-01 Qualcomm Incorporated User profile, policy, and PMIP key distribution in a wireless communication network

Also Published As

Publication number Publication date
US20190075462A1 (en) 2019-03-07
PT3382990T (pt) 2020-09-18
KR101122996B1 (ko) 2012-03-14
CA2681116A1 (en) 2008-10-09
HUE050161T2 (hu) 2020-11-30
KR20110044930A (ko) 2011-05-02
WO2008121544A2 (en) 2008-10-09
RU2009138223A (ru) 2011-04-27
DK2137925T3 (en) 2018-06-25
EP2137925B1 (en) 2018-04-18
SI3382990T1 (sl) 2020-11-30
KR101122997B1 (ko) 2012-03-14
EP2137925A2 (en) 2009-12-30
TW201325182A (zh) 2013-06-16
PL2137925T3 (pl) 2018-08-31
EP3382990A1 (en) 2018-10-03
TR201806942T4 (tr) 2018-06-21
WO2008121544A3 (en) 2009-03-26
KR20110043795A (ko) 2011-04-27
PT2137925T (pt) 2018-05-14
SI2137925T1 (en) 2018-06-29
ES2827573T3 (es) 2021-05-21
CN102938890B (zh) 2016-03-16
ES2670853T3 (es) 2018-06-01
US10171998B2 (en) 2019-01-01
JP2010521932A (ja) 2010-06-24
US20080263631A1 (en) 2008-10-23
KR20090130296A (ko) 2009-12-22
HUE036642T2 (hu) 2018-07-30
KR101122999B1 (ko) 2012-03-13
CN102938890A (zh) 2013-02-20
CN102938889B (zh) 2015-07-22
CN101675644A (zh) 2010-03-17
PL3382990T3 (pl) 2021-01-11
DK3382990T3 (da) 2020-09-07
CN101675644B (zh) 2014-07-16
CN102938889A (zh) 2013-02-20
TW201325183A (zh) 2013-06-16
US11463874B2 (en) 2022-10-04
RU2440688C2 (ru) 2012-01-20
NO2137925T3 (pt) 2018-09-15
EP3382990B1 (en) 2020-08-19
JP4965671B2 (ja) 2012-07-04
TW200849929A (en) 2008-12-16

Similar Documents

Publication Publication Date Title
US11463874B2 (en) User profile, policy, and PMIP key distribution in a wireless communication network
RU2437238C2 (ru) Способы и устройство для обеспечения иерархии ключей pmip в сети беспроводной связи
US7130286B2 (en) System and method for resource authorizations during handovers
BR112020014278A2 (pt) Método e aparelho para múltiplos registros
US9226153B2 (en) Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP
BR112020002515A2 (pt) método de acionamento de autenticação de rede e dispositivo relacionado
Singh et al. Unified heterogeneous networking design

Legal Events

Date Code Title Description
B08F Application dismissed because of non-payment of annual fees [chapter 8.6 patent gazette]

Free format text: REFERENTE A 7A ANUIDADE.

B08K Patent lapsed as no evidence of payment of the annual fee has been furnished to inpi [chapter 8.11 patent gazette]

Free format text: EM VIRTUDE DO ARQUIVAMENTO PUBLICADO NA RPI 2343 DE 01-12-2015 E CONSIDERANDO AUSENCIA DE MANIFESTACAO DENTRO DOS PRAZOS LEGAIS, INFORMO QUE CABE SER MANTIDO O ARQUIVAMENTO DO PEDIDO DE PATENTE, CONFORME O DISPOSTO NO ARTIGO 12, DA RESOLUCAO 113/2013.