BRPI0902036B1 - Sistema e método de autenticação para interconexão de redes sem fio heterogêneas - Google Patents

Sistema e método de autenticação para interconexão de redes sem fio heterogêneas Download PDF

Info

Publication number
BRPI0902036B1
BRPI0902036B1 BRPI0902036-5A BRPI0902036A BRPI0902036B1 BR PI0902036 B1 BRPI0902036 B1 BR PI0902036B1 BR PI0902036 A BRPI0902036 A BR PI0902036A BR PI0902036 B1 BRPI0902036 B1 BR PI0902036B1
Authority
BR
Brazil
Prior art keywords
authentication
mobile terminal
server
sdc
network
Prior art date
Application number
BRPI0902036-5A
Other languages
English (en)
Inventor
Sebastião Boanerges Ribeiro Junior
Paulo Roberto De Lira Gondim
Original Assignee
Fundação Universidade De Brasília
Oi S.A. - Em Recuperação Judicial
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fundação Universidade De Brasília, Oi S.A. - Em Recuperação Judicial filed Critical Fundação Universidade De Brasília
Priority to BRPI0902036-5A priority Critical patent/BRPI0902036B1/pt
Publication of BRPI0902036A2 publication Critical patent/BRPI0902036A2/pt
Publication of BRPI0902036B1 publication Critical patent/BRPI0902036B1/pt

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/16Performing reselection for specific purposes
    • H04W36/18Performing reselection for specific purposes for allowing seamless reselection, e.g. soft reselection
    • H04W12/0602

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

sistema e método de autenticação para interconexão de redes sem fio heterogêneas. a presente invenção refere-se a um sistema e a um método de autenticação com redução de atraso para interconexão de redes sem fio heterogêneas (40, 50), preferencialmente wwan celular e wlan, com uma troca segura de chaves entre os elementos redes, utilizando-se de segredos específicos e compartilháveis para cada um dos elementos interconectados a e pela rede. além disso, a presente invenção define uma arquitetura de rede baseada na introdução de um elemento funcional na rede wwan e em cada rede wlan passível de ser visitada pelo terminal móvel (10), a este elemento funcional é dado o nome de servidor de distribuição de chaves (sdc) (20, 30). o servidor de distribuição de chaves (sdc) (20, 30) introduzido na arquitetura da presente invenção é responsável por realizar a distribuição antecipada das chaves de autenticação temporárias das redes wlan elegíveis para receber o terminal móvel no handover seguinte.

Description

CAMPO DA INVENÇÃO
A presente invenção refere-se a um sistema e um método de au-tenticação para interconexão de redes sem fio heterogêneas, preferencialmente as redes heterogêneas WWAN celular e WLAN. A presente invenção proporciona uma arquitetura que compreende um procedimento de autenticação, de forma a permitir que a mesma seja realizada sem afetar o tempo de indisponibilidade do serviço.
DESCRIÇÃO DO ESTADO DA TÉCNICA
Ao longo do tempo, diferentes tecnologias de rede sem fio têm sido desenvolvidas para cobrir as diversas necessidades de comunicação. Esse desenvolvimento baseou-se, e ainda baseia-se, principalmente no raio de abrangência alcançado pelas redes. Assim, as redes WWAN (para a cobertura de regiões extensas), as redes WLAN (para instalações locais) e as redes WPAN (com cobertura pessoal) têm evoluído de forma contínua e distinta, com características inerentes à suas coberturas.
Além disso, a crescente oferta de serviços de voz e multimídia sobre redes de dados sem fio vem determinando a necessidade de otimização dos procedimentos de gerência de mobilidade, com a finalidade de reduzir o tempo de indisponibilidade da conexão do terminal à rede, e conse- qüentemente, ao serviço. A premissa maior passou a ser a manutenção da percepção da qualidade do serviço pelo usuário final, de tal forma que a sua experiência com o serviço não seja alterada pelo fato do terminal ter realizado um handover vertical.
O handover vertical ocorre quando um terminal se desloca entre pontos de acesso que implementam diferentes tecnologias. Por envolver diferentes tecnologias, o handover vertical geralmente é iniciado pelo terminal após a conexão com a nova rede.
Atualmente, verifica-se que o handover vertical, no sentido WWAN para WLAN, implica na interrupção da comunicação por um tempo significativo o suficiente para resultar em incômodo e em perda de informação do sistema por parte dos usuários, principalmente para aplicações de comunicação em tempo real, tais como voz e vídeo.
Uma solução normalmente adotada para solucionar o problema de interrupção da comunicação é manter a interface aérea da rede WWAN do terminal ligada simultaneamente à interface aérea WLAN. Assim, torna-se possível realizar a transferência da sessão ativa, e realizar o handover somente depois do terminal ter capacidade de encaminhar os pacotes IP pela interface aérea WLAN. Entretanto, essa implementação possui os seguintes problemas: a) Elevado consumo de energia por manter os dois estágios rádio ligados simultaneamente, reduzindo o tempo de duração da carga da bateria do terminal móvel; b) Complexidade e custo elevado no projeto do terminal, pois as duas interfaces aéreas necessitam ser totalmente independentes, com capacidade de encaminhar pacotes de forma independente. Além disso, os procedimentos de conexão e autenticação em uma das interfaces devem ocorrer enquanto a sessão continua ativa na outra; e c) Potencial interrupção ou perda da comunicação caso haja um rápido decaimento do sinal da rede de origem antes de completada a realização do handover, visto que não há necessidade de otimização do tempo de conexão e autenticação na nova rede.
Algumas soluções alternativas para autenticação em redes WLAN no cenário de handover vertical já foram propostas. Os exemplos mais significativos são listados a seguir.
Na primeira delas, Li-Der Chou, W. C. Lai, Y. C. Lin, C. M. Huang e C. H. Lin Chou em sua obra "Signaling Traffic Volume Generated by Mobile and Personal Communications" propuseram a utilização de agentes inteligentes (IA - Intelligent Agents) que seriam enviados à rede para executar os procedimentos de conexão e autenticação com antecedência. Os agentes inteligentes para usuários (UIAs - User Intelligent Agents) poderiam ser configurados para se autenticar em nome do usuário e os agentes inteligentes de servidor (SIA - Server Intelligent Agent) poderiam ser configurados para autenticar localmente os usuários. Para que esta proposta seja viabilizada, a chave de autenticação individual Ki armazenada no SIM e no HLR/AuC (Home Location Register/Authentication Center) deve ser compartilhada pelos agentes inteligentes, gerando uma vulnerabilidade no sistema e violando o princípio básico de segurança das redes GSM, que é a proteção da chave de autenticação individual Ki de acesso ou de leitura por qualquer aplicação não definida pelo 3GPP (3rd Generation Partnership Project).
Em uma outra solução, Scott C. H. Huang, Hao Zhu e Wensheng Zhang, em sua obra "SAP: Seamless Authentication Protocol for Vertical Handoff in Heterogeneous Wireless Networks" desenvolveram um protocolo de autenticação chamado de SAP (Seamless Authentication Protocol), Pro-tocolo de Autenticação Contínua, em que dois servidores de autenticação compartilham uma chave privativa comum e secreta utilizada para gerar a chave temporária de handover. A rede de acesso WLAN armazena esta chave temporária e a utiliza para admitir o terminal por um curto período de tempo, evitando os atrasos associados à consulta e geração de vetores pela rede WWAN. O tempo de validade da autenticação temporária deve ser o suficiente para permitir que a associação completa seja efetuada em paralelo à sessão ativa. Esta solução possui qualidades que podem ser exploradas, como a autenticação transparente, mas também cria uma vulnerabilidade adicional ao permitir a autenticação de vários terminais com um mecanismo que utiliza uma única chave comum.
Deste modo, a presente invenção proporciona uma arquitetura que soluciona os problemas ainda existentes de forma mais eficiente, alte-rando a arquitetura de autenticação na rede WLAN de maneira a reduzir o tempo de indisponibilidade da comunicação durante o handover para um valor inferior ao perceptível pelos usuários do sistema. Com esta solução, evitam-se também os problemas inerentes das outras alternativas descritas acima.
OBJETIVOS DA INVENÇÃO
O objetivo da presente invenção é, portanto, proporcionar um método seguro de troca de chaves entre os elementos da arquitetura de redes, definindo um segredo específico para cada terminal móvel e a rede de acesso WLAN assim como definir uma forma de compartilhamento segura deste segredo.
Outro o objetivo da presente invenção é diminuir o atraso evidenciado durante o procedimento de autenticação. Assim, a presente invenção visa minimizar as principais causas do atraso na realização do handover vertical, a saber: o tempo de espera para receber as chaves da rede caseira do assinante e a utilização de enlaces sobre a Internet para encaminhar as mensagens de autenticação até o servidor AAA da rede caseira, para verificar o resultado retornado pelo terminal.
BREVE DESCRIÇÃO DOS DESENHOS
A presente invenção, juntamente com seus objetivos, características e vantagens adicionais, será mais bem entendida a partir da seguinte descrição dos desenhos que ilustram, a título exemplificative, o melhor modo de execução considerado para realizá-la, a saber: a figura 1 ilustra um modelo esquemático de uma das arquiteturas de autenticação já conhecidas do estado da técnica; a figura 2 ilustra o modelo esquemático da nova arquitetura de autenticação proposta pela presente invenção, assim como seus componentes; a figura 3 mostra o atraso médio para transmitir um pacote com controle de retransmissão sobre quadros da rede WLAN; a figura 4 representa o modelo de filas para análise do atraso no sentido terminal-rede; e a figura 5 representa o modelo de filas para análise do atraso no sentido rede-terminal.
DESCRIÇÃO DETALHADA DA INVENÇÃO
A Figura 1 da presente invenção ilustra como é a atual arquitetura de autenticação na interconexão das redes heterogêneas WWAN celular e WLAN. Basicamente, a figura 1 ilustra um modelo de autenticação entre uma rede GPRS HPLMN 40 e uma rede WLAN 50 visitada. Na figura 1, os elementos interligados através de linhas tracejadas possuem interesse somente em tráfego de sinalização, enquanto que os elementos interligados através de linhas contínuas possuem interesse também em tráfego de dados, como por exemplo voz e multimídia.
A rede GPRS HPLMN 40, ou simplesmente WWAN, compreende uma unidade de registro de assinantes HLR (Home Location Register) 1 que é uma base de dados de registro de localização, na qual assinantes são subscritos com o propósito de gravar informações, tais como informação de subscrição e informação de localização. Um dos protocolos de comunicação que pode ser utilizado pelas interfaces com o HLR 1 é o protocolo para aplicações móveis MAP 110, 115 (Mobile Application Part), uma extensão específica para redes móveis da sinalização SS7, usada para comunicação entre elementos da rede ON (Core Network), utilizado na comutação de pacote, e para comunicação entre diferentes redes públicas de telefonia móvel PLMNs (Public Land Mobile Network).
A unidade HLR 1 comunica-se com a unidade SGSN 3 (Serving GPRS Supporting Node), que é o elemento central no domínio de comutação de pacote (Packet Switched) através de um protocolo MAP/SS7 115. Essa unidade SGSN 3 controla o estabelecimento de sessões de dados pelos terminais e contém dois tipos de informações relacionadas aos terminais sobre seu controle: de subscrição e de localização. Além disso, a unidade SGSN 3 comunica-se com a estação de transmissão 2 através da interface Gb 125. A estação de transmissão 2 é responsável por tratar o tráfego e a sinalização entre o terminal móvel 10 e a rede, no presente caso, WWAN.
Outro elemento presente na arquitetura atual é a unidade GGSN 4 (Gateway GPRS Support Node). Sua função é executar o roteamento do tráfego "entrante" e "sainte" e manter informações de subscrição e de localização que são recebidas através da HLR 1 e dos elementos SGSN 3, este último através da interface Gn 130.
As interfaces Gb 125, Gn 130, Gi 210 e Um 120 são interfaces padrões para troca de dados e sinalização definidas pelo 3GPP na especificação 3GPP TS 23.002.
O terminal móvel (MS) 10 consiste do equipamento físico que pode ser utilizado por um assinante da rede pública de telefonia móvel PLMN e sua comunicação com a rede WWAN 40 pode ser realizada através da interface rádio, por exemplo.
A rede ilustrada na figura 1 utiliza ainda a autenticação EAP-SIM, ou seja, utiliza o protocolo EAP para autenticação e distribuição de chaves utilizando o cartão SIM, assim como o processo de autenticação padrão definido para a rede GSM. O EAP-SIM baseia-se no mecanismo de desafio e resposta definido para o GSM, utilizando o algoritmo A3/A8 de autenticação e derivação de chave que é executável no cartão SIM. O desafio dado ao cartão SIM é um número randômico de 128 bits (RAND). O algoritmo do cartão SIM utiliza o RAND e a chave de autenticação individual Ki, armazenada internamente, como entradas para produzir uma resposta de 32 bits (SRES) e uma chave longa de 64 bits, ou chave cifrada Kc (cipher key), como saída.
Em contrapartida, a rede de acesso WLAN 50 é responsável por encapsular os pacotes de autenticação gerados pelo terminal móvel 10 em pacotes RADIUS e direcioná-los para o servidor AAA 5, 6, 7.
O servidor AAA 5, 6, 7, que é baseado em protocolo RADIUS, basicamente tem a função de identificar o terminal móvel 10 como sendo pertencente à rede HPLMN 40 e é responsável por disparar a requisição de autenticação. O acrônimo AAA significa autenticação, autorização e contabi-lização (Authentication, Authorization e Accounting) e RADIUS (Remote Au-thentication Dial In User Service) 140, 145, 150 é um protocolo definido pelo IETF para transportar as funções de AAA. O protocolo RADIUS 140, 145, 150 permite que um servidor de acesso de rede possa acessar um servidor centralizado e compartilhado para buscar serviços de AAA.
Com base nos padrões existentes e nas propostas de alteração conhecidas até o momento, foi possível definir algumas premissas básicas que devem ser seguidas por uma arquitetura de autenticação transparente em rede WLAN de forma a tornar a mesma aplicável nos cenários de handover vertical de terminais móveis executando aplicações de tempo real: a) manter, no mínimo, o mesmo nível de segurança existente na rede WWAN caseira do usuário; b) não impactar negativamente na qualidade da sessão durante o handover, isso é, ter duração máxima de interrupção no handover de 40 ms, em conjunto com o procedimento de conexão; c) poder realizar autenticação inicial na rede WLAN de forma in-dependente do tempo de espera pelos vetores de autenticação retornados pela rede WWAN; e d) não comprometer as chaves compartilhadas utilizadas pela rede WWAN (p. ex.: chave de autenticação individual Ki).
Com base nas condições acima e também com foco no fator de interoperabilidade com os sistemas atuais, a presente invenção também é igualmente compatível com o padrão IEEE 802.11i. Do ponto de vista do procedimento de autenticação, o suporte ao padrão 802.11i significa que a autenticação deve ser realizada através de mensagens EAP, independentemente do método ou mecanismo específico.
Assim, a presente invenção define uma arquitetura baseada na introdução de um elemento funcional na rede WWAN e em cada rede WLAN passível de ser visitada pelo terminal móvel, a este elemento funcional é dado o nome de Servidor de Distribuição de Chaves (SDC). O Servidor de Distribuição de Chaves (SDC) introduzido na arquitetura da presente invenção é responsável por realizar a distribuição antecipada das chaves de autenticação temporárias das redes WLAN elegíveis para receber o terminal móvel no handover seguinte. Com a introdução deste elemento e a alteração de alguns dos procedimentos de autenticação entre o terminal móvel e o servidor AAA da rede WLAN visitada, verifica-se a obtenção de uma redução significativa na interrupção do serviço, interrupção essa devida à autenticação durante o handover vertical.
Deste modo, a arquitetura da presente invenção continua permitindo a utilização de arquiteturas voltadas para o suporte às necessidades de roaming de assinantes WLAN e mantém as premissas de segurança definidas pelos padrões atuais, inclusive com a manutenção do algoritmo de autenticação em uso. Essa arquitetura de autenticação, objeto da presente in- venção, é ilustrada em detalhes na figura 2.
Na rede caseira WWAN 40, o servidor de distribuição de chaves - SDC HPLMN 20 é conectado ao elemento GGSN 4 através da interface Gi 210 e possui, para fins de confidencialidade na transmissão de informação, algum mecanismo-padrão através de túnel IPSec. Na rede G- PRS/GSM/UMTS, o terminal móvel é autenticado segundo os métodos padrões definidos para redes 3GPP, considerando que nessas redes existem mecanismos nativos para garantir a segurança na troca de dados entre o terminal móvel e os elementos de rede, incluindo o GGSN 4. Além disso, o SDC HPLMN 20 também pode realizar uma conexão segura com o terminal móvel 10 registrado na rede de acesso WWAN 40, pois o mesmo pode ser colocado internamente na rede local onde se encontra a interface Gi 210.
Em contrapartida, na rede WLAN visitada 50, o servidor de distribuição de chaves SDC WLAN 30 opera na mesma rede do servidor AAA 7 e deve possuir, para fins de confidencialidade na transmissão de informações, algum mecanismo-padrão através de túnel IPSec.
Entre o SDC HPLMN 20 e os diversos SDC WLAN 30, é considerado haver também algum mecanismo de troca segura de dados 215, a- través de métodos padrões de criptografia.
Basicamente, o SDC WLAN 30 tem as funções de:a) criar, sob requisição, novos pares de chaves de autenticação, aqui designadas como Ka, específicas e vinculadas a uma identificação específica do terminal móvel, como por exemplo: IMSI (International Mobile Subscriber Identity) registrado no cartão SIM (Subscriber Identity Module), também chamado de USIM (UMTS Subscriber Identity Module); e b) enviar as chaves criadas para o SDC HPLMN 20 e para o servidor AAA 7 da rede WLAN visitada 50 através de conexão segura estática 215, 220, ou seja, previamente configurada.
Da mesma forma, o SDC HPLMN 20 tem basicamente as funções de:a) requisitar uma chave de autenticação específica para o SDC WLAN 30 em nome do terminal da rede WWAN 40, a requisição sendo ba seada nas informações enviadas pelo terminal móvel de identificação do terminal móvel, de localização de célula do terminal móvel e, no SSID (informação de identificação da rede ou Service Set Identifier (IEEE 802.11)) da rede WLAN alvo 50; b) manter a base de endereços do SDC WLAN 30 associada aos SSID específicos da rede WLAN 50 e a localização geográfica da rede WLAN 50. Essas informações são fundamentais para garantir a identificação unívoca da rede WLAN 50 e do SDC WLAN 30 associado; e c) retornar para o terminal móvel 10 a chave de autenticação Ka criada pelo SDC WLAN 30.
Apenas a título exemplificative da concretização preferida, o servidor AAA 7 comunica-se com o terminal móvel 10 preferencialmente através de um comutador wireless 8, que por sua vez comunica-se com pelo menos um ponto de acesso Wi Fi 9, através dos quais o terminal móvel 10 será comunicado. Importante ressaltar que os pontos de acesso Wi Fi 9 e os comutadores wireless 8 são elementos essenciais e amplamente encontrados em redes WLAN.
O protocolo de troca de informação entre o SDC HPLMN 20 e os terminais móveis 10 ainda registrados na rede WWAN 50 pode ser baseado em protocolo HTTP padrão. Entre os elementos SDC 20 e 30, as informações podem ser trocadas via arquivos XML e entre o SDC WLAN 30 e o servidor AAA 7, as informações podem ser trocadas via qualquer protocolo de troca de dados seguro suportado pelo servidor AAA 7.
O método de operação da arquitetura objeto da presente invenção baseia-se na troca antecipada de chaves temporárias de autenticação com o auxílio da rede WWAN 40. As chaves trocadas e armazenadas no terminal móvel 10 e no servidor AAA 7 são utilizadas para autenticar o terminal móvel 10 na rede WLAN 50, seguindo os princípios definidos pelo padrão IEEE 802.11Í.
As funções executadas pelo terminal móvel 10 na arquitetura da presente invenção são:a) solicitar, enquanto o terminal móvel 10 ainda está registrado na rede WWAN 40, que o SDC HPLMN 20 requisite as chaves de autenticação para serem enviadas às redes WLAN 50 próximas. As redes WLAN 50 podem ser localizadas através de mecanismo-padrão de scanning da rede 802.11; b) informar a identificação do terminal móvel 10 ao SDC, assim como o SSID da rede WLAN 50 visada e a célula da rede WWAN 40 em que ele se encontra; c) receber as chaves de autenticação Ka retornadas pelo SDC HPLMN 20 através da rede GPRS e armazená-las em área segura enquanto permanecer no raio de alcance da possível rede WLAN 50 visada; d) ao tomar a decisão de conectar na rede WLAN visada 50, utilizar a chave de autenticação Ka recebida na autenticação EAP-SIM no lugar da chave de autenticação individual Ki armazenada no cartão SIM para validação e geração do material utilizado na autenticação mútua. Esta primeira autenticação é temporária e deve ser feita através do envio de endereço de identificação (NAI) com domínio específico, de forma a informar a natureza temporária desta autenticação para o servidor AAA 7; e e) iniciar o procedimento de autenticação completa utilizando os dados padrões originais armazenados no cartão SIM, realizados após a au-tenticação temporária bem-sucedida, do registro das aplicações na rede IMS e do completo restabelecimento da sessão.
Além disso, o servidor AAA 7 de autenticação da rede WLAN 50 deve suportar as seguintes funções: a) realizar a autenticação temporária do terminal móvel 10 com base no endereço NAI retornado e na chave de autenticação Ka específica recebida do SDC WLAN 30; b) para realizar a autenticação temporária, o servidor AAA 7 deve implementar o algoritmo A3/A8 para poder gerar os vetores de autenticação de forma autônoma do HLR 1 da rede WWAN 40, porém baseado no NAI do terminal móvel 10 e na chave de autenticação Ka recebida. Os vetores de autenticação podem ser gerados quando a chave Ka é recebida, com o objetivo de reduzir o atraso durante a autenticação temporária; c) controlar o tempo de associação do terminal móvel após a realização da autenticação temporária e desconectar os terminais móveis incapazes de realizar autenticação completa após um período predefinido de tempo; e d) enviar mensagens RADIUS accounting (contabilização dos dados) para o servidor AAA intermediário (não-mostrado), para registro das atividades no assinante em roaming. Apesar de não ter sido mostrado, o servidor AAA intermediário, que na figura 1 foi ilustrado como servidor AAA 6, encontra-se presente nestes tipos de rede com a finalidade de tarifação e cobrança, não estando relacionado diretamente com a função de autenticação inicial.
Além da arquitetura de autenticação proposta pela presente invenção, a rede WLAN 50 pode possuir uma topologia de servidores AAA descentralizados, com menos carga e mais próximos às redes de acesso, com o objetivo de diminuir o tempo de processamento de autenticação verificado nas medidas realizadas na presente invenção. As principais vantagens desta arquitetura de autenticação proposta são: a troca antecipada de chaves de autenticação específicas para cada terminal móvel, sem consumo do tempo de autenticação; a utilização de arquitetura de autenticação temporária sem a necessidade de realização de consulta em servidores AAA 5, 6 e bases HLR 1 externas à rede WLAN 50 durante o handover; e a utilização de chaves individuais específicas e exclusivas para cada terminal móvel 10 durante a autenticação temporária, aumentando o nível geral de segurança na rede WLAN 50 em relação às soluções do estado da técnica.
Com a arquitetura da presente invenção, o tempo de indisponibilidade do serviço durante o processo de handover vertical é reduzido para valores menores que os recomendados pelos padrões. Vale ressaltar que, como a troca de chaves de autenticação Ka ocorre antes do procedimento de handover, o tempo não é afetado. Esse tempo de autenticação durante o handover é bastante reduzido, por não necessitar de consulta à rede WWAN caseira e por não utilizar servidores AAA centralizados de alta capacidade e com enlaces IP via a rede Internet e sobre longas distâncias.
EXEMPLOS DE CONCRETIZAÇÃO DA PRESENTE INVENÇÃO:
Este exemplo ilustra a realização da modelagem analítica de uma arquitetura para autenticação em redes WLAN, onde é analisado o a- traso na execução de handover vertical entre redes WWAN e WLAN com o objetivo de avaliar e quantificar o tempo de interrupção do serviço decorrente do acréscimo de autenticação do terminal baseada nos padrões IEEE 802.1x e IEEE 802.11i com a utilização de protocolo EAP-SIM pela rede WLAN.
A arquitetura foi modelada analiticamente para várias condições e taxas de transmissão através da utilização dos modos IEEE 802.11b e IEEE 802.11g.
Através dos resultados obtidos, avaliou-se o impacto da introdução na rede WLAN da autenticação baseada no padrão IEEE 802.11i no a- traso da execução do handover vertical entre sistemas WWAN e WLAN oferecendo serviços convergentes multimídia.
i. Atraso de Transmissão em WLAN
As redes GPRS possuem elevada vulnerabilidade a ruído e elevada taxa de erro de bit (BER) devido ao seu uso externo. Para melhorar a performance nestas redes com relação à BER, são utilizados mecanismos de retransmissões baseados na camada de enlace, tal como o Radio Link Protocol ou RLP, que é utilizado sobre a camada MAC. Como as redes WLAN possuem uma largura de banda maior que as redes WWAN atuais e uma utilização geralmente interna (indoor), estes mecanismos de retransmissão não são utilizados.
Nos enlaces WLAN, alguns mecanismos de retransmissão podem ser realizados pelos protocolos superiores aos da camada de enlace, tais como: TCP, DHCP, EAP, etc. Para a análise aqui realizada, as seguintes premissas para as sessões fim a fim, relativas aos protocolos de camada de transporte com controle de retransmissão, são observadas: funcionamento em modo interativo e sem execução de retransmissão rápida (fast retransmit), ou seja, um pacote perdido sempre esgota o temporizador de round-trip (RTO).

Claims (17)

1. Método de autenticação de um terminal móvel (10) para interconectar redes sem fio heterogêneas (40,50) caracterizado pelo fato de que compreende as etapas de: requisitar um elemento SDC em nome do terminal móvel (10); criar um elemento SDC; enviar para o terminal móvel (10) o elemento SDC criado; e realizar a autenticação do terminal móvel (10) com base no elemento SDC criado; em que que a etapa de requisitar um elemento SDC compreende ainda as etapas de: enviar uma primeira informação de identificação do terminal móvel (10) para o servidor (30) da rede visitada (50); e requisitar ao servidor (30) da rede visitada (50) um elemento SDC para o terminal móvel (10) a partir do servidor (20) da rede local (40); em que a etapa de criar um elemento SDC compreende ainda a etapa de: criar elementos SDC específicos e vinculados a uma determinada identificação do terminal móvel (10); em que a etapa de enviar para o terminal móvel (10) o elemento SDC criado compreende ainda as etapas de: enviar por meio do servidor (20) da rede local (40) os elementos SDC criados pelo servidor (30) da rede visitada (50) para o terminal móvel (10); e enviar por meio do servidor (20) da rede local (40) os elementos SDC criados para o servidor de autenticação, autorização e contabilização (7); em que a etapa de realizar a autenticação do terminar móvel (10) com base no elemento SDC criado compreende ainda as etapas de: armazenar os elementos SDC recebidos no terminal móvel (10); utilizar o elemento SDC recebido no terminal móvel (10) no lugar da chave de autenticação individual Ki armazenada no cartão SIM; utilizar o elemento SDC armazenado no terminal móvel (10) para validação e geração da autenticação entre as redes local (40) e visitada (50); enviar do terminal móvel (10) para o servidor de autenticação, autorização e contabilização (7) uma segunda informação de identificação; e realizar a autenticação temporária do terminal móvel (10) no servidor de autenticação, autorização e contabilização (7) com base na segunda informação de autenticação recebida e no elemento SDC específico recebido do servidor de distribuição de chaves (30) da rede visitada (50).
2. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende ainda a etapa de: gerar vetores de autenticação no servidor de autenticação, autorização e contabilização (7) com base na segunda informação de identificação do terminal móvel (10) e no elemento recebido no mesmo.
3. Método, de acordo com a reivindicação 1 ou 2, caracterizado pelo fato de que a segunda informação de identificação do terminal móvel (10) compreende o endereço de autenticação NAI do terminal móvel (10).
4. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende ainda a etapa de: iniciar no terminal móvel (10) o procedimento de autenticação completa.
5. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende ainda a etapa de: controlar no servidor de autenticação, autorização e contabilização (7) o tempo de associação do terminal móvel (10) após a realização da autenticação temporária.
6. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende ainda a etapa de desconectar o terminal móvel (10) incapaz de realizar autenticação completa após um período predefinido de tempo.
7. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a identificação do terminal móvel (10) compreende um IMSI registrado no cartão SIM/USIM.
8. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a etapa de enviar as chaves de autenticação para o servidor de (20) da rede local (40) e para o servidor de autenticação, autorização e contabilização (7) é realizada através de conexão segura estática (215, 220).
9. Método. de acordo com a reivindicação 1, caracterizado pelo fato de que a etapa enviar uma primeira informação de identificação do terminal móvel (10) para o servidor (30) da rede visitada (50) compreende as informações de identificação do terminal móvel (10), de localização de célula do terminal móvel (10) e o SSID da rede alvo visitada (50).
10. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a etapa de armazenar os elementos recebidos no terminal móvel (10) compreende armazenar os elementos em uma área Segura enquanto o terminal móvel (10) permanecer no raio de alcance da possível rede visitada (50).
11. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a etapa de realizar a autenticação do terminal móvel (10) compreende ainda implementar preferencialmente o algoritmo A3/A8 para gerar vetores de autenticação de forma autônoma da unidade de registro de assinantes (1) da rede local (40).
12. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que a etapa de gerar os vetores de autenticação inicia-se quando o elemento é recebido no servidor de autenticação, autorização e contabilização (7).
13. Método, de acordo com a reivindicação 1, caracterizado pelo fato de que compreende ainda a etapa de enviar do servidor autenticação, autorização e contabilização (7) para o servidor autenticação, autorização e contabilização intermediário mensagens de contabilização para registro das atividades do terminal móvel (10) em roaming.
14. Método, de acordo com qualquer uma das reivindicações 1 a 13, caracterizado pelo fato de que a comunicação entre o servidor (20) na rede local (40) e o terminal móvel (10) é baseado preferencialmente no protocolo HTTP padrão.
15. Método, de acordo com qualquer uma das reivindicações 1 a 14, caracterizado pelo fato de que a comunicação entre o servidor (20) na rede local (40) e o servidor (30) na rede visitada (50) é realizada preferencialmente via arquivos XML.
16. Método, de acordo com qualquer uma das reivindicações 1 a 15, caracterizado pelo fato de que a comunicação entre o servidor (30) na rede visitada (50) e o servidor de autenticação, autorização e contabilização (7) é realizada via um protocolo (220) seguro de troca de dados suportado pelo servidor de autenticação, autorização e contabilização (7).
17. Método, de acordo com qualquer uma das reivindicações 1 a 16, caracterizado pelo fato de que o elemento é uma chave de autenticação
BRPI0902036-5A 2009-05-27 2009-05-27 Sistema e método de autenticação para interconexão de redes sem fio heterogêneas BRPI0902036B1 (pt)

Priority Applications (1)

Application Number Priority Date Filing Date Title
BRPI0902036-5A BRPI0902036B1 (pt) 2009-05-27 2009-05-27 Sistema e método de autenticação para interconexão de redes sem fio heterogêneas

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
BRPI0902036-5A BRPI0902036B1 (pt) 2009-05-27 2009-05-27 Sistema e método de autenticação para interconexão de redes sem fio heterogêneas

Publications (2)

Publication Number Publication Date
BRPI0902036A2 BRPI0902036A2 (pt) 2011-02-08
BRPI0902036B1 true BRPI0902036B1 (pt) 2021-05-04

Family

ID=43567414

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0902036-5A BRPI0902036B1 (pt) 2009-05-27 2009-05-27 Sistema e método de autenticação para interconexão de redes sem fio heterogêneas

Country Status (1)

Country Link
BR (1) BRPI0902036B1 (pt)

Also Published As

Publication number Publication date
BRPI0902036A2 (pt) 2011-02-08

Similar Documents

Publication Publication Date Title
EP3753226B1 (en) Security management in communication systems between security edge protection proxy elements
US7512783B2 (en) Provision of security services for an ad-hoc network
JP6045648B2 (ja) ユーザエンティティにネットワークアクセスを提供する方法及び装置
AU2005236981B2 (en) Improved subscriber authentication for unlicensed mobile access signaling
AU2004306553B2 (en) Apparatuses and method for authentication in heterogeneuous IP networks
EP1693995B1 (en) A method for implementing access authentication of wlan user
US7962123B1 (en) Authentication of access terminals in a cellular communication network
KR100464319B1 (ko) 차세대 이동통신시스템용 네트워크 구조 및 이를 이용한데이타 통신방법
US9226153B2 (en) Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP
FI121560B (fi) Todentaminen matkaviestintäyhteistoimintajärjestelmässä
JP4687788B2 (ja) 無線アクセスシステムおよび無線アクセス方法
KR101002799B1 (ko) 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치
Mohanty A new architecture for 3G and WLAN integration and inter-system handover management
WO2008034357A1 (en) Method and system for capwap intradomain authentication using 802.11r
WO2020208294A1 (en) Establishing secure communication paths to multipath connection server with initial connection over public network
KR100668660B1 (ko) 휴대 인터넷 망과 3g 망간의 로밍을 위한 사용자 인증처리 방법 및 이를 수행하는 라우터
CN115802304A (zh) 一种工业无线网络与5g融合系统及方法
Zhao et al. Security authentication of 3G-WLAN interworking
BRPI0902036B1 (pt) Sistema e método de autenticação para interconexão de redes sem fio heterogêneas
WO2020208295A1 (en) Establishing secure communication paths to multipath connection server with initial connection over private network
Kwon et al. Mobility Management for UMTS-WLAN Seamless Handover; Within the Framework of Subscriber Authentication
Gondim et al. DSMIP and PMIP for mobility management of heterogeneous access networks: Evaluation of authentication delay
Kwon et al. Consideration of UMTS-WLAN seamless handover
Cheng et al. Secure transparent Mobile IP for intelligent transportation systems
Zhang Interworking security in heterogeneous wireless IP networks

Legal Events

Date Code Title Description
B03A Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette]
B03H Publication of an application: rectification [chapter 3.8 patent gazette]

Free format text: REFERENTE A RPI 2092 DE 08/02/2011, QUANTO AO ITEM (71).

B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B15K Others concerning applications: alteration of classification

Free format text: A CLASSIFICACAO ANTERIOR ERA: H04W 12/06

Ipc: H04W 36/18 (2009.01), H04W 12/06 (2009.01)

B06V Preliminary requirement: patent application procedure suspended [chapter 6.22 patent gazette]
B25D Requested change of name of applicant approved

Owner name: FUNDACAO UNIVERSIDADE DE BRASILIA (BR/DF) ; OI S.A. (BR/RJ)

B25D Requested change of name of applicant approved

Owner name: FUNDACAO UNIVERSIDADE DE BRASILIA (BR/DF) ; OI S.A. - EM RECUPERACAO JUDICIAL (BR/RJ)

B07A Technical examination (opinion): publication of technical examination (opinion) [chapter 7.1 patent gazette]
B09A Decision: intention to grant [chapter 9.1 patent gazette]
B16A Patent or certificate of addition of invention granted

Free format text: PRAZO DE VALIDADE: 10 (DEZ) ANOS CONTADOS A PARTIR DE 04/05/2021, OBSERVADAS AS CONDICOES LEGAIS.