ES2251459T3 - Autenticacion en una red de tranmisison de datos por paquetes. - Google Patents

Abstract

Método de autenticación para autenticar un nodo móvil (MT) para una red de transmisión de datos por paquetes, que comprende las siguientes etapas: la red de transmisión de datos por paquetes recibe una identidad de nodo móvil (IMSI) y un código de protección (MT_RAND) del nodo móvil, correspondiéndose la identidad del nodo móvil con un secreto compartido específico de la identidad del nodo móvil y utilizable por una red de telecomunicaciones; la red de transmisión de datos por paquetes obtiene información de autenticación (Kc, SRES, RAND) utilizable por la red de telecomunicaciones, comprendiendo la información de autenticación un desafío (RAND) y un secreto de sesión (Kc, SRES) en correspondencia con la identidad del nodo móvil y obtenible usando el desafío y el secreto compartido (Ki); se forma información criptográfica (SIGNrand) usando por lo menos el código de protección (MT_RAND) y el secreto de sesión (Kc, SRES); se envían el desafío (RAND) y la información criptográfica (SIGNrand) desde la red de transmisión de datos por paquetes hacia el nodo móvil (MT); la red de transmisión de datos por paquetes recibe una primera respuesta (SIGNsres) en correspondencia con el desafío y sobre la base del secreto compartido; y se verifica la primera respuesta (SIGNsres) para autenticar el nodo móvil.

Description

Autenticación en una red de transmisión de datos por paquetes.

La presente invención se refiere a redes móviles por paquetes y está relacionada en particular, aunque no necesariamente, con la autenticación de un nodo móvil que se conecta a una red IP (Protocolo de Internet) móvil.

En la interconexión de redes IP móviles, un terminal, tal como un ordenador portátil que tiene acoplado al mismo un adaptador de Red Inalámbrica de Área Local (WLAN), se conecta con su agente local a través de un agente externo. En términos funcionales, el terminal actúa como un nodo móvil en la red. Las expresiones nodo móvil, agente local y agente externo se explican en la publicación Petición De Comentarios 2002 de la forma siguiente:

Nodo Móvil (MT): Un anfitrión o encaminador que cambia su punto de conexión de una red o subred a otra. Un nodo móvil puede cambiar su ubicación sin cambiar su dirección IP; puede continuar comunicándose con otros nodos de Internet en cualquier ubicación usando su dirección IP (constante), considerando que esté disponible la conectividad enlace-capa con un punto de conexión.

Agente Local (HA): Un nodo móvil pertenece a una red de origen a la cual pertenezca un agente local del nodo móvil. El HA es un encaminador en la red de origen de un nodo móvil el cual tuneliza datagramas para entregarlos al nodo móvil cuando el mismo se encuentra lejos del origen, y mantiene información de ubicación actual para el nodo móvil.

Agente Externo: Un encaminador en una red que está siendo visitada por el nodo móvil el cual proporciona servicios de encaminamiento para el nodo móvil mientras está registrado. El agente externo destuneliza y entrega al nodo móvil datagramas que fueron tunelizados por el agente local del nodo móvil. Para datagramas enviados por un nodo móvil, el agente externo puede actuar como encaminador por defecto para nodos móviles registrados con él.

Agente de Movilidad: Bien un agente un agente local o bien un agente externo.

En la publicación RFC2002, se explica adicionalmente que a un nodo móvil se le proporciona una dirección IP de larga duración o dirección local en su red de origen. Esta dirección local se administra de la misma manera que una dirección IP "permanente" que se proporciona a un anfitrión fijo. Cuando se encuentra lejos de su red de origen, el agente local asocia una "dirección de auxilio" al nodo móvil y la misma indica el punto de conexión actual del nodo móvil. El nodo móvil puede usar su dirección local como la dirección fuente de los datagramas IP que envía.

Con frecuencia es deseable que un nodo móvil sea autenticado en la conexión con una red IP. Una forma de que una red IP reconozca un nodo móvil es mediante el uso de una clave secreta compartida conocida tanto por la red IP como por el nodo móvil. El secreto compartido debe ser usado como clave criptográfica. El secreto compartido puede ser conocido en primer lugar por la red IP y a continuación se puede almacenar en un nodo móvil si la gestión de la red IP obtiene un acceso seguro al nodo móvil. En aras de la seguridad, el secreto compartido no se debería enviar a través de una red susceptible de sufrir escuchas no autorizadas. Por esta razón, el nodo móvil se debería suministrar a la gestión de la red IP. En el futuro, es probable que haya muchas redes IP diferentes. Según la presente disposición, sería necesario que a un nodo móvil se le proporcionase una base de datos de claves secretas de manera que se dispusiera de una de ellas por cada una de las diferentes redes IP con las cuales se pudiera conectar.

El documento WO00/02406 da a conocer un método de autenticación destinado a una red de telecomunicaciones, especialmente a una red IP. Desde un terminal en la red, se transmite un primer mensaje que contiene un autenticador y una unidad de datos hacia la red, conteniendo la unidad de datos información referente a la forma según la cual se forma el autenticador. Para llevar a cabo la autenticación en la red, la unidad de datos contenida en el primer mensaje se usa para determinar un valor de comprobación, el cual se compara con dicho autenticador. Para conseguir que no resulte necesario que el terminal realice ningún intercambio complicado e intenso de mensajes cuando se conecta a la red y para seguir obteniendo las características de seguridad deseadas para el uso, dicha unidad de identificación se usa en el terminal el cual recibe como entrada un desafío a partir del cual se pueden determinar una respuesta y una clave, esencialmente de la misma manera que en el módulo de identidad de abonado de un sistema conocido de comunicaciones móviles, se genera un conjunto de bloques de autenticación en la red, conteniendo cada uno de ellos un desafío, una respuesta, y una clave, con lo cual la generación se realiza de la misma manera que en dicho sistema de comunicaciones móviles, se transmiten hacia el terminal por lo menos algunos de los desafíos que contienen los bloques de autenticación:

se selecciona uno de los desafíos para ser usado en el terminal, y, sobre la base de esta selección, se determinan una respuesta y una clave para el uso con la ayuda de la unidad de identificación del terminal, en dicho primer mensaje se notifica a la red, con la ayuda de dicha unidad de datos, qué clave correspondiente a qué desafío se seleccionó, y con la ayuda de la clave seleccionada se determinan el autenticador del primer mensaje y dicho valor de comprobación.

El documento WO00/02407 se refiere a la autenticación a realizar en una red de telecomunicaciones, especialmente en una red IP. Para permitir una autenticación sencilla y uniforme de usuarios de una red IP en un área geográficamente grande, el terminal (TE1) de la red IP usa un módulo de identidad de abonado (SIM) como el usado en un sistema de comunicaciones móviles (MN) independiente, con lo cual a partir del desafío proporcionado al módulo de identidad como entrada, se puede determinar una respuesta. La red IP incluye además un servidor de seguridad especial (SS), hacia el cual se transmite un mensaje sobre un usuario nuevo cuando un abonado se conecta a la red IP. Desde dicho sistema de comunicaciones móviles se va a buscar a la red IP la información de autenticación de abonado que contiene por lo menos un desafío y una respuesta y se lleva a cabo la autenticación basándose en la información de autenticación obtenida a partir del sistema de comunicaciones móviles mediante la transmisión de dicho desafío a través de la red IP hacia el terminal, generando una respuesta a partir del desafío en el módulo de identidad del terminal y comparando la respuesta con la respuesta recibida del sistema de comunicaciones móviles. También se puede usar una base de datos (DB) de este tipo en el sistema, en la que se almacena por adelantado información de autenticación específica del abonado, con lo cual no es necesario ir a buscar la información en cuestión desde el sistema de comunicaciones móviles cuando un abonado se conecta a la red.

Este documento da a conocer el envío de un conjunto de desafíos en el caso de que algunos de los desafíos entraran en conflicto con valores reservados del Índice de Parámetros de Seguridad (SPI), lo cual desperdicia el ancho de banda de transmisión de datos y constituye un riesgo potencial de seguridad ya que proporciona más datos para acceder de forma no autorizada al secreto de un sistema de comunicaciones móviles con el cual se forma la información de autenticación específica del abonado.

Tanto en el documento WO00/02406 como en el WO00/02407, es necesario que el terminal envíe la respuesta sin tener ninguna garantía de que los desafíos sean nuevos y de que hayan sido recibidos desde una red auténtica. Por esta razón, el terminal no puede determinar si los desafíos forman parte de un ataque de repetición.

Según un primer aspecto de la invención, se proporciona un método de autenticación para autenticar un nodo móvil para una red de transmisión de datos por paquetes, que comprende las siguientes etapas:

la red de transmisión de datos por paquetes recibe una identidad de nodo móvil y un código de protección desde el nodo móvil, correspondiéndose la identidad del nodo móvil con un secreto compartido específico de la identidad del nodo móvil y utilizable por una red de telecomunicaciones;

la red de transmisión de datos por paquetes obtiene información de autenticación utilizable por la red de telecomunicaciones, comprendiendo la información de autenticación un desafío y un secreto de sesión en correspondencia con la identidad del nodo móvil y obtenible usando el desafío y el secreto compartido;

se forma información criptográfica usando por lo menos el código de protección y el secreto de sesión;

se envía el desafío y la información criptográfica desde la red de transmisión de datos por paquetes hacia el nodo móvil;

la red de transmisión de datos por paquetes recibe una primera respuesta en correspondencia con el desafío y sobre la base del secreto compartido; y

se verifica la primera respuesta para autenticar el nodo móvil.

Preferentemente, el método comprende además:

la comprobación, en el nodo móvil, de la validez de la información criptográfica usando el desafío y el secreto compartido; y

la generación, en el nodo móvil, del secreto de sesión y de la primera respuesta correspondiente al desafío, sobre la base del secreto compartido.

Preferentemente, el método comprende además las siguientes etapas:

se proporciona al nodo móvil una identidad de abonado para la red de telecomunicaciones; y

el nodo móvil forma, a partir de la identidad de abonado, un Identificador de Acceso a la Red como identidad del nodo móvil.

Preferentemente, el método comprende además la etapa de reconocer la red de telecomunicaciones en la red de transmisión de datos por paquetes directamente a partir de la identidad del nodo móvil.

Preferentemente, el método comprende además la etapa de proporcionar a la red de transmisión de datos por paquetes una clave de sesión compartida sobre la base de por lo menos un secreto de sesión.

Preferentemente, el método comprende además la etapa de proporcionar un enlace de comunicaciones entre la red de transmisión de datos por paquetes y el nodo móvil para comunicar dicho desafío entre ellos, no siendo el enlace de comunicaciones un enlace de la red de telecomunicaciones.

Preferentemente, el método comprende además la etapa de usar un Módulo de Identidad de Abonado para proporcionar al nodo móvil una identidad de nodo móvil. Preferentemente, el Módulo de Identidad de Abonado se usa en la generación del secreto de sesión sobre la base de un secreto compartido específico para la identidad del nodo móvil.

Preferentemente, el método comprende además las siguientes etapas:

la red de telecomunicaciones obtiene una segunda respuesta; y

se usa la segunda respuesta en la comprobación de la primera respuesta.

Preferentemente, el método comprende además la etapa de enviar el desafío desde la red de telecomunicaciones al nodo móvil a través de la red de transmisión de datos por paquetes.

Preferentemente, el código de protección se basa en el tiempo.

Preferentemente, el desafío se basa en códigos RAND de por lo menos dos tripletas de autenticación de la red de telecomunicaciones.

Preferentemente, el desafío se forma criptográficamente usando por lo menos los n códigos RAND.

Preferentemente, el método comprende además la etapa de proporcionar a la red de transmisión de datos por paquetes una clave de sesión compartida sobre la base de n claves de sesión Kc correspondientes a n códigos RAND del desafío.

Preferentemente, el método comprende además la etapa de generar una clave de autenticación sobre la base del secreto compartido, el código de protección, y de un algoritmo conocido por el nodo móvil y por la red de transmisión de datos por paquetes. De esta manera, es posible autenticar comunicaciones entre el nodo móvil y la red de transmisión de datos por paquetes. Cuanto mayor es el número de claves de sesión Kc que se usa, más fuerte se hace una clave de sesión compartida K.

Preferentemente, la red de transmisión de datos por paquetes es una red IP. Con la mayor preferencia, la red de transmisión de datos por paquetes es una red IP móvil.

En una forma de realización alternativa, el método comprende además la etapa de generar una clave de sesión compartida para el Intercambio de Claves de Internet, en la que la clave de sesión compartida se basa en el por lo menos un secreto de sesión y el por lo menos un desafío.

En una forma de realización alternativa, la etapa de proporcionar al nodo móvil la identidad de nodo móvil y el secreto compartido específico de la identidad de nodo móvil comprende además las siguientes etapas:

se forma una conexión local entre el nodo móvil y una estación móvil, con lo cual la estación móvil dispone de una identidad de nodo móvil y del secreto compartido específico de la identidad del nodo móvil;

se forma una conexión local entre el nodo móvil y una estación móvil que dispone de la identidad del nodo móvil y del secreto compartido específico de la identidad del nodo móvil; y

se recupera la identidad del nodo móvil y el secreto compartido de la estación móvil hacia el nodo móvil.

Preferentemente, la etapa de proporcionar al nodo móvil la identidad de nodo móvil y el secreto compartido específico para la identidad del nodo móvil comprende además las siguientes subetapas:

se forma una conexión local entre el nodo móvil y un módulo de identidad de abonado que dispone de la identidad del nodo móvil y del secreto compartido específico para la identidad del nodo móvil; y

se recupera, a partir del módulo de identidad de abonado hacia el nodo móvil, la identidad del nodo móvil y un secreto de sesión específico de la identidad del nodo móvil.

De acuerdo con un segundo aspecto de la invención se proporciona un método de autenticación en un nodo móvil para autenticar el nodo móvil para una red de transmisión de datos por paquetes, que comprende las siguientes etapas:

se obtiene una identidad de nodo móvil y un secreto compartido específico de la identidad del nodo móvil y utilizable por una red de telecomunicaciones;

se obtiene un código de protección;

se envía la identidad del nodo móvil y el código de protección hacia la red de transmisión de datos por paquetes;

se recibe un desafío e información criptográfica desde la red de transmisión de datos por paquetes;

se comprueba la validez de la información criptográfica usando el desafío y el secreto compartido;

se genera un secreto de sesión y una primera respuesta en correspondencia con el desafío, sobre la base del secreto compartido; y

se envía la primera respuesta a la red de transmisión de datos por paquetes.

Según un tercer aspecto de la invención se proporciona un nodo móvil capaz de realizar una autenticación para una red de transmisión de datos por paquetes, que comprende:

medios para obtener una identidad de nodo móvil y un secreto compartido específico de la identidad del nodo móvil y utilizable por una red de telecomunicaciones;

medios para obtener un código de protección;

medios para enviar la identidad del nodo móvil y el código de protección hacia la red de transmisión de datos por paquetes;

medios para recibir un desafío e información criptográfica desde la red de transmisión de datos por paquetes;

medios para comprobar la validez de la información criptográfica usando el desafío y el secreto compartido;

medios para generar un secreto de sesión y una primera respuesta en correspondencia con el desafío, sobre la base del secreto compartido; y

medios para enviar la primera respuesta a la red de transmisión de datos por paquetes.

Según un cuarto aspecto de la invención, se proporciona una pasarela para actuar como interfaz entre una red de transmisión de datos por paquetes y una red de telecomunicaciones que dispone de un acceso a un servidor de autenticación, comprendiendo la pasarela:

una entrada para recibir una identidad de nodo móvil y un código de protección desde la red de transmisión de datos por paquetes;

una salida para proporcionar al servidor de autenticación la identidad del nodo móvil;

una entrada para recibir un desafío y un secreto de sesión en correspondencia con la identidad del nodo móvil desde el servidor de autenticación;

un primer procesador para formar información criptográfica usando por lo menos el código de protección y el secreto de sesión;

una salida para proporcionar a la red de transmisión de datos por paquetes el desafío y la información criptográfica para su posterior transmisión hacia un nodo móvil;

una entrada para recibir una primera respuesta correspondiente al desafío, sobre la base de un secreto compartido específico de la identidad de abonado y conocido por el nodo móvil y la red de telecomunicaciones, desde el nodo móvil a través de la red de transmisión de datos por paquetes; y

un segundo procesador para verificar la primera respuesta con vistas a autenticar el nodo móvil.

Según un quinto aspecto de la invención, se proporciona un sistema de comunicaciones que comprende:

una red de telecomunicaciones;

una red de transmisión de datos por paquetes;

un nodo móvil que comprende un primer procesador para formar un código de protección;

una pasarela para actuar como interfaz entre la red de transmisión de datos por paquetes con la red de telecomunicaciones;

un módulo de identidad de abonado accesible por parte del nodo móvil que comprende una identidad de abonado y un secreto compartido;

un servidor de autenticación para la red de telecomunicaciones que comprende el secreto compartido del cual se ha establecido una correspondencia con la identidad de abonado;

estando adaptado el servidor de autenticación para recibir la identidad de abonado y en respuesta devolver un desafío;

comprendiendo la pasarela un segundo procesador para formar información criptográfica sobre la base del código de protección;

estando adaptado el nodo móvil para recibir desde la pasarela el desafío y la información criptográfica; y estando adaptado para proporcionar al módulo de identidad de abonado el desafío con vistas a recibir en respuesta una primera respuesta sobre la base del desafío y el secreto compartido;

estando adaptado además el primer procesador para verificar la información criptográfica usando el código de protección con vistas a autenticar la pasarela para el nodo móvil; y

un tercer procesador accesible por la pasarela para verificar la primera respuesta con vistas a autenticar el nodo móvil.

Según un sexto aspecto, se proporciona un producto de programa de ordenador para controlar un nodo móvil con vistas a autenticar el nodo móvil para una red de transmisión de datos por paquetes, que comprende:

código ejecutable por ordenador para posibilitar que el nodo móvil obtenga una identidad de nodo móvil y un secreto compartido específico de la identidad de nodo móvil y utilizable por una red de telecomunicaciones;

código ejecutable por ordenador para posibilitar que el nodo móvil obtenga un código de protección;

código ejecutable por ordenador para posibilitar que el nodo móvil envíe la identidad de nodo móvil y el código de protección a la red de transmisión de datos por paquetes;

código ejecutable por ordenador para posibilitar que el nodo móvil reciba un desafío e información criptográfica desde la red de transmisión de datos por paquetes;

código ejecutable por ordenador para posibilitar que el nodo móvil compruebe la validez de la información criptográfica usando el desafío y el secreto compartido;

código ejecutable por ordenador para posibilitar que el nodo móvil genere un secreto de sesión y una primera respuesta en correspondencia con el desafío, sobre la base del secreto compartido; y

código ejecutable por ordenador para posibilitar que el nodo móvil envíe la primera respuesta a la red de transmisión de datos por paquetes.

Según un séptimo aspecto, se proporciona un producto de programa de ordenador para controlar una red de transmisión de datos por paquetes con vistas a autenticar un nodo móvil para la red de transmisión de datos por paquetes, que comprende:

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes reciba una identidad de nodo móvil y un código de protección de un nodo móvil, correspondiéndose la identidad del nodo móvil con un secreto compartido;

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes obtenga información de autenticación utilizable por la red de telecomunicaciones, comprendiendo la información de autenticación un desafío y un secreto de sesión en correspondencia con la identidad del nodo móvil y obtenible usando el desafío y el secreto compartido;

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes forme información criptográfica usando por lo menos el código de protección y el secreto de sesión;

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes envíe el desafío y la información criptográfica al nodo móvil;

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes reciba una primera respuesta en correspondencia con el desafío y sobre la base del secreto compartido desde el nodo móvil; y

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes verifique la primera respuesta usando el secreto de sesión.

En una forma de realización alternativa, el método comprende la etapa de autenticar el nodo móvil para la red de transmisión de datos por paquetes con un método de autenticación preliminar antes de autenticar el nodo móvil para la red de transmisión de datos por paquetes.

De forma ventajosa, mediante la utilización del secreto compartido entre la red de telecomunicaciones y el nodo móvil, se pueden usar módulos de identidad de abonado para obtener una autenticación mutua fuerte. Esto proporciona un procedimiento sencillo de autenticación fidedigna en el cual se pueden usar datos de autenticación existentes de la red de telecomunicaciones.

Las formas de realización de un aspecto se aplican también al resto de diversos aspectos de la invención. En aras de una mayor brevedad, las formas de realización no se han repetido en relación con cada aspecto de la invención. Un lector experto apreciará las ventajas de los diversos aspectos sobre la base de las ventajas del primer aspecto de la invención.

A continuación se describirá la invención, únicamente a título de ejemplo, haciendo referencia a los dibujos adjuntos, en los cuales:

la Figura 1 muestra un sistema que comprende una red IP que tiene una estación móvil conforme a la interconexión de redes IP según una forma de realización preferida de la invención;

la Figura 2 muestra un procedimiento de intercambio de claves de sesión compartidas del sistema de la Figura 1;

la Figura 3 muestra una extensión de autenticación según el sistema de la Figura 1;

la Figura 4 muestra el formato de una extensión de solicitud de clave de sesión compartida nueva del sistema de la Figura 1;

la Figura 5 muestra el formato de una extensión de respuesta de clave de sesión compartida nueva del sistema de la Figura 1;

la Figura 6 muestra una extensión de RESpuesta Firmada (SRES) del sistema de la Figura 1;

la Figura 7 muestra la arquitectura de un sistema de comunicaciones móviles según otra forma de realización de la invención;

la Figura 8 muestra bloques funcionales significativos del sistema de la figura 7;

la Figura 9 muestra los acontecimientos de señalización principales del sistema de la figura 7;

la Figura 10 muestra un diagrama de señalización detallado de una operación de autenticación del sistema de la figura 7;

las Figuras 11a y 11b constituyen conjuntamente un diagrama de flujo que muestra la funcionalidad de un Controlador de Acceso Público durante la autenticación del sistema de la figura 7;

las Figuras 12a a 12d constituyen conjuntamente un diagrama de flujo que muestra la funcionalidad de la Pasarela de autenticación y facturación del Sistema Global para Comunicaciones Móviles/Servicio General de Radiocomunicaciones por Paquetes durante la autenticación del sistema de la figura 7;

la Figura 13 muestra la señalización principal de una desconexión controlada del nodo móvil con respecto a la red del sistema de la figura 7;

la Figura 14 muestra un procedimiento de Intercambio de Claves de Internet cuando un nodo móvil es un iniciador de la negociación de Intercambio de Claves de Internet según todavía otra forma de realización de la invención;

la Figura 15 muestra modificaciones en el procedimiento de la Figura 14 cuando el Controlador de Acceso Público, en lugar del nodo móvil, es un iniciador de la negociación de Intercambio de Claves de Internet; y

la Figura 16 ilustra el procedimiento en un sistema de autenticación según una forma de realización de la invención.

A continuación se describirá una forma de realización preferida de la invención aplicada a una red de telecomunicaciones del Sistema Global para Comunicaciones Móviles (GSM). Para autenticar un nodo móvil para una red de transmisión de datos por paquetes, se utilizan tarjetas de Módulo de Identidad de Abonado (SIM) usadas normalmente para autenticar redes GSM de abonados GSM. Durante el proceso de autenticación, el SIM y la red de telecomunicaciones GSM se comunican a través de la red de transmisión de datos por paquetes en lugar de la red de telecomunicaciones GSM.

El tipo concreto de red de telecomunicaciones no tiene importancia. El GSM se usa como ejemplo, aunque el tipo de red podría ser también el Sistema de Telecomunicaciones Móviles Universales (UMTS) o el GSM con el Servicio General de Radiocomunicaciones por Paquetes (GPRS). En realidad, el GPRS se puede considerar como una ampliación del GSM en lugar de una red independiente en el sentido de que el GPRS funciona usando la red de acceso de radiocomunicaciones GSM y métodos de autenticación GSM.

La invención se describirá usando tres ejemplos. El ejemplo 1 se refiere a una implementación del IP móvil, en el que se utilizan extensiones existentes del IP móvil. El ejemplo 2 se refiere a un entorno de LAN inalámbrica con desplazamiento itinerante desde una subred a otra subred. El ejemplo 3 se refiere a la generación de claves IKE para nodos de Internet.

Ejemplo 1

IP móvil

En la forma de realización preferida de la invención, los nodos móviles se identifican por medio de una Identidad de Abonado Móvil Internacional (IMSI) en forma de una cadena de dígitos. La IMSI es por definición un identificador de suscripción exclusivo que consta de una identidad de abonado móvil nacional y de un código de país para el servicio móvil. Por ejemplo, en el GSM, la IMSI se representa por menos bytes que el número de dígitos en la IMSI.

La IMSI se transmite en mensajes IP móvil como un Identificador de Acceso a la Red (NAI). El NAI se presenta en forma de imsi@sonera.fi (por ejemplo, "1234567@sonera.fi")o imsi@gsm.org (por ejemplo, "1234567@gsm.org"). Por lo tanto, el NAI transporta una identidad (por ejemplo, en forma de texto o de un número identificador) de la red de telecomunicaciones móviles de la cual es abonado el nodo móvil y una identificación del dominio del nodo móvil. Esto permite reconocer la red de telecomunicaciones directamente a partir del NAI.

El último de estos dos ejemplos de NAI, el dominio gsm.org, es un ejemplo en un dominio de nivel superior que está adaptado para buscar el dominio adecuado en relación con el operador pertinente de la red de telecomunicaciones GSM.

La formación del NAI a partir de la IMSI permite la determinación, por parte de la red de transmisión de datos por paquetes del operador pertinente de la red de telecomunicaciones GSM, basándose solo en el NAI. Esto elimina la necesidad de mantener en la red de transmisión de datos por paquetes cualquier base de datos local que establezca una correspondencia conjunta de diferentes operadores de la red de telecomunicaciones y sus abonados.

En general, la identificación de nodos móviles con identificadores NAI es conocida para una persona con conocimientos habituales en el IP móvil. Una extensión NAI se puede incluir en una Solicitud de Registro o una Respuesta de Registro, describiéndose ambas posteriormente.

A continuación se explicará el funcionamiento de la tarjeta SIM en la red de telecomunicaciones GSM. En el GSM, se dispone de algoritmos de autenticación conocidos a los cuales se hace referencia como A3 y A8. Estos algoritmos se ejecutan en el SIM y en la red de telecomunicaciones GSM. Estos algoritmos y un secreto compartido GSM K_{i} son conocidos por el SIM y el operador de la red de telecomunicaciones GSM, el cual típicamente los almacena en un HLR (Registro de Posiciones Base) de un Centro de Conmutación de servicios Móviles (MSC).

En la autenticación, el operador de la red de telecomunicaciones GSM genera un desafío RAND que es un código aleatorio de 128 bits, el cual se va a usar como desafío, una clave de sesión GSM correspondiente de 64 bits Kc y una respuesta firmada SRES de 32 bits para verificar la respuesta al desafío. La clave de sesión GSM de sesión de 64 bits Kc es generada por el algoritmo A8 como A8(K_{i}, RAND) y la SRES de 32 de bits de largo es generada por el A3(K_{i}, RAND). A la combinación RAND, SRES y Kc se le hace referencia en general como tripleta GSM. El operador de la red de telecomunicaciones GSM envía el RAND a su abonado (teléfono GSM), el RAND es recibido por el abonado y el abonado lo traslada al SIM, el cual reproduce SRES y Kc. A continuación, el SIM responde al desafío enviando la SRES. El operador recibe la SRES y puede confirmar la identidad del SIM. El operador de la red de telecomunicaciones GSM también puede verificar que el mismo comparte una Kc con el SIM. En este caso, a continuación la Kc se puede usar para cifrar tráfico de datos a través de un canal de radiocomunicaciones GSM. La ventaja de este mecanismo de desafío-respuesta es que nunca es necesario enviar la Kc a través del canal de radiocomunicaciones GSM y por lo tanto no se puede realizar una escucha no autorizada de la misma.

La Figura 1 muestra un sistema 10 de comunicaciones que comprende una red IP móvil MIP que tiene un nodo móvil MT conforme a la interconexión de redes IP según una forma de realización preferida de la invención. Típicamente, el nodo móvil MT es un ordenador portátil con un adaptador de red inalámbrica y software para la interconexión de redes. Puede haber una pluralidad de nodos móviles MT conectados a la MIP. El nodo móvil MT comprende un teclado KB, un Módulo de Identidad de Abonado SIM_B, un primer bloque de radiocomunicaciones RF1 (adaptador de LAN Inalámbrica PCMCIA A) para comunicarse con un punto de acceso de radiocomunicaciones a través de un canal de radiocomunicaciones WLAN, (opcionalmente) un segundo bloque de radiocomunicaciones RF2 (adaptador GSM PCMCIA A) para comunicarse con una red GSM GSM_B, una unidad de procesado principal MPU (por ejemplo, un microprocesador o un procesador de la señal digital) para controlar los bloques mencionados anteriormente y una memoria MEM1 que contiene un primer software SW1 para hacer funcionar la MPU.

La MIP comprende una pluralidad de Puntos de Acceso AP para proporcionar al MT una conexión inalámbrica, un Controlador de Acceso Público PAC para controlar los AP y un servidor Externo de Autenticación, Autorización y Contabilidad FAAA.

La red GSM GSM_B es una red GSM local del SIM_B. La GSM_B comprende un servidor Local de Autenticación, Autorización y Contabilidad HAAA, el cual tiene una base de datos de abonado que comprende datos de contabilidad y autorización de los abonados de la GSM_B. Estos datos incluyen la IMSI y el secreto compartido GSM K_{i} para cada abonado.

La MIP está conectada a la GSM_B por medio de una Pasarela de Autenticación GSM GAGW. La GAGW es un servidor y dispone de una memoria MEM2 para almacenar un segundo software SW2 y un procesador central CPU para controlar el funcionamiento del servidor mediante la ejecución del segundo software SW2. La GAGW acopla entre sí un servidor en la GSM_B y un servidor en la MIP. Estos servidores se designan como servidor AAA local HAAA (AAA hace referencia a Autenticación, Autorización y Contabilidad) y como servidor AAA externo FAAA. El PAC también puede funcionar como agente de movilidad MA. Si la MIP es la red de origen del MT, en ese caso el PAC es también un Agente Local HA del MT. En cualquier otro caso, el PAC pertenece a una red externa y se puede hacer referencia al PAC como Agente Externo FA. El HAAA está ubicado en la GSM_B y el FAAA está ubicado en la MIP. La comunicación entre los dos servidores AAA se produce por medio de un protocolo AAA adecuado. El protocolo AAA no se describe en el presente documento.

A continuación se describirá brevemente una visión general del proceso de autenticación. Para autenticar un nodo móvil en relación con una red de transmisión de datos por paquetes, se genera una clave de sesión compartida K tanto en el MT como en el servidor FAAA. La autenticación se lleva a cabo usando la GSM_B y su SIM, SIM_B. En este caso, el procedimiento de autenticación será similar al correspondiente descrito anteriormente en relación con una red GSM básica. La autenticación utiliza la K_{i} que está presente en el SIM_B y en el GSM_B. Al SIM_B se accede proporcionando al MT (por ejemplo, un ordenador portátil con un adaptador de red de área local inalámbrica) un lector de tarjeta SIM. Como alternativa, la MIP no accede directamente a la K_{i} de la GSM_B, sino que recibe un RAND en relación con el SIM_B. Este RAND se envía al MT y se verifica la RESP con respecto a la RESP que ha producido la red de telecomunicaciones. La autenticación se puede mejorar adicionalmente usando múltiples RAND para generar una clave de autenticación que sea más segura que únicamente una Kc.

La Figura 2 muestra un procedimiento de intercambio de claves de sesión compartidas del sistema de la Figura 1. A continuación, se resume brevemente el procedimiento y seguidamente el mismo se describe de forma más detallada.

1.

El MT envía al FAAA un Identificador de Acceso a la Red NAI y un código de protección MT_RAND (también conocido en la terminología IP Móvil como nonce) generado por el MT. El MT_RAND permanece invariable durante una sesión de autenticación y está destinado a dificultar los ataques de repetición. El MT_RAND es típicamente un número aleatorio o basado en el tiempo (una indicación de tiempo con cierta resolución).

2.

El FAAA envía al HAAA un mensaje de identificación inicial que contiene la IMSI o el NAI del MT, y el MT_RAND.

3.

El HAAA recupera n tripletas GSM, comprendiendo cada una de ellas un RAND, una Kc, y una SRES. A continuación, el HAAA calcula la K = H(n*Kc, MT_RAND) para el MT. En este caso, n es un entero mayor que o igual a 1, * representa el número de parámetros (n*Kc hace referencia a n Kc diferentes) y H () representa una función de troceo unidireccional. El HAAA calcula además un valor SIGNrand el cual se calcula a partir del MAC(K, n*RAND, MT_RAND), en el que MAC indica un código de autenticación de mensajes. SIGNrand es una suma de comprobación criptográfica para verificar que los n RAND se originan realmente a partir de una entidad que tiene acceso a la K_{i} (ya que K se obtiene a partir de la misma). La suma de comprobación también indica si los n RAND se generan de hecho durante la misma sesión de autenticación ya que el MT_RAND cambia de una sesión de autenticación a otra.

4.

El HAAA envía los n RAND, el SIGNrand y opcionalmente la IMSI al FAAA. No es necesario usar la propia IMSI si se ha enviado otro identificador de sesión con la IMSI en la etapa 1 de este procedimiento. En este caso, en lugar de la IMSI se usaría este identificador de sesión.

5.

El FAAA envía por lo menos un RAND y el SIGNrand al MT.

6.

Usando el i almacenado en el SIM_B, el MT calcula la K. Usando la K, los n RAND y el MT_RAND, a continuación el MT comprueba el SIGNrand. Si el SIGNrand es correcto, el MT genera copias de las n SRES (una por cada RAND). El MT calcula una suma de comprobación criptográfica SIGNsres = TROCEO2(K,n*SRES) para la K y las SRES.

7.

El MT envía el SIGNsres al FAAA. En el MT, el cálculo de la K es igual que el cálculo de la K en el HAAA.

8.

El FAAA envía la SIGNsres al HAAA.

9.

El HAAA verifica que la SIGNsres es válida comprobando que la ecuación SIGNsres = TROCEO2(K, n*SRES) se aplica con los valores que ha recibido el MT. El HAAA envía el resultado (si la SIGNsres es válida) al FAAA. Si la SIGNsres es válida, el HAAA envía también la K al FAAA.

10.

La autenticación se ha completado y el FAAA y el MT comparten la K.

El FAAA está conectado funcionalmente con varios HAAA y el FAAA selecciona el HAAA correcto sobre la base de la parte del dominio del NAI del usuario, por ejemplo "sonera.fi". El HAAA usa un protocolo HAAA-HAAA para enviar el mensaje de identificación inicial al HAAA correcto o a la infraestructura GSM tal como un Centro de Conmutación Móvil (MSC). Según una forma de realización alternativa, el FAAA está configurado para comunicarse con un único HAAA y siempre envía el mensaje en la etapa 1 hacia ese HAAA.

A continuación se describirá el procedimiento de la Figura 2. El mismo comienza con un mensaje Solicitud de Registro que contiene una extensión de Solicitud de Clave de Sesión Nueva. Esta extensión y las siguientes se explican posteriormente, haciendo referencia a las Figuras 3 a 6. La IMSI se puede transmitir en una extensión de Identificador de Acceso a la Red (NAI). La extensión de Solicitud de Clave de Sesión Nueva contiene un tiempo de vida máximo de la clave y un número aleatorio MT_RAND escogido por el MT. Cuando el MA recibe la Solicitud de Registro con la extensión de Solicitud de Clave de Sesión Nueva, envía el NAI (que contienen la IMSI) y el MT_RAND al HAAA. Si el MA es un agente local controlado por un operador de la red de telecomunicaciones GSM, típicamente el agente local dispone de un acceso directo a tripletas GSM. En una forma de realización de la invención, se recupera por adelantado un número de tripletas para acelerar el registro. Una vez que el HAAA ha obtenido n tripletas GSM para el MT a través de cualquier medio, el mismo calcula la K nueva y un autenticador SIGNrand, tal como se ha descrito anteriormente.

A continuación, el MA envía una Respuesta de Registro con una extensión de Respuesta de Clave de Sesión Nueva hacia el MT. La Respuesta de Registro contiene el MT_RAND y el SIGNrand, de manera que el MT puede verificar que los RAND están actualizados y que los mismos fueron generados por la infraestructura GSM. La Respuesta de Registro contiene también el tiempo de vida restante de la clave, el cual puede ser igual a, o menor que, el tiempo de vida de la clave propuesto por el MT.

Si el MT y el MA no comparten un contexto de seguridad, la autenticación de la primera Solicitud de Registro y la Respuesta de Registro no tendrá éxito. El código de respuesta en la Respuesta de Registro es "fallo de autenticación del nodo móvil" o "desadaptación de identificación". En el IP móvil, se usa una extensión de autenticación. La extensión de autenticación tiene un valor especial para un campo de índice de parámetros de seguridad (SPI), que significa "Intercambio de Claves de Sesión Nuevas". El SPI y la dirección IP del MT se usan como índice para gestionar procedimientos de autenticación en relación con diferentes nodos móviles. La extensión de autenticación dispone también de un campo para una autenticador, que es típicamente un código MAC. El autenticador puede estar vacío. De este modo, si el MA no soporta autenticación según la presente invención, el mismo simplemente responderá con el código de respuesta "Fallo de autenticación del nodo móvil". Si el MA es un agente extraño, el MT debería omitir la extensión de autenticación en su totalidad.

Después de recibir la Respuesta de Registro con la extensión de Respuesta de Clave de Sesión Nueva, el MT puede verificar la validez de SIGNrand. Si el SIGNrand es válido, el MT genera la clave K y la SIGNsres y crea un contexto de seguridad nuevo para el MA o, si el mismo ya existe, actualiza el contexto con la K nueva. Esta clave se usará como la clave de autenticación IP Móvil en los mensajes de registro sucesivos.

El MT incluye la SIGNsres en una extensión SRES en la siguiente solicitud de registro que envía al MA. El MA envía la SIGNsres al HAAA, el cual la verifica y envía una indicación al MA. Si la SIGNsres es válida, el HAAA también envía la K al MA. A continuación, el MA puede crear/actualizar el contexto de seguridad para el MT.

Si el MA es el FA, en ese caso la K se podría distribuir para todos los agentes externos en el dominio visitado.

Como puede que el MA necesite obtener la extensión SRES rápidamente, es conveniente que el MT envíe la Solicitud de Registro con la extensión SRES inmediatamente después de la recepción del RAND.

El contexto de seguridad creado por el mecanismo de intercambio de claves K descrito anteriormente tiene un SPI. En este caso, para el contexto de seguridad generado por el SIM se usa otro SPI bien conocido. Se reserva un valor para el SPI "contexto de seguridad generado por el SIM" y para el SPI "intercambio de claves de sesión nuevas".

Según la forma de realización preferida, el algoritmo por defecto en la autenticación IP Móvil es la clave MD5 en el modo prefijo+sufijo. En este modo, se calcula un resumen de autenticación para un mensaje ejecutando MD5 sobre el siguiente flujo continuo de bytes: una primera aparición de la K y los campos protegidos de la Solicitud de Registro y una segunda aparición de la K.

El resumen de la autenticación se transmite en una extensión de autenticación tal como se muestra en la Figura 3. La Figura 3 muestra un mapa de bits ilustrativo en forma de una tabla de bits, en la que cada fila tiene cuatro octetos. Existen tres tipos de extensiones de autenticación: una extensión de autenticación obligatoria Móvil-Local usada entre el MT y el agente local, una extensión de autenticación opcional Móvil-Externo usada entre el MT y el agente externo y una extensión de autenticación opcional Externo-Local usada entre el FA y el HA. Todas estas extensiones tienen el mismo formato. El SPI es un identificador opaco. Un autenticador (que verifica el destinatario del mensaje) de la extensión de autenticación establece una correspondencia del SPI y la dirección IP de la entidad par con un contexto de seguridad en la base de datos de asociación de seguridad de movilidad. El contexto de seguridad contiene una clave, el algoritmo y otros parámetros de seguridad. El campo del autenticador contiene el resumen del mensaje.

En la autenticación del IP Móvil según la forma de realización preferida, los contextos de seguridad (incluyendo la K) se generan usando el SIM_B. Como los RAND son generados por el GSM_B, por ejemplo, por el HAAA, en primer lugar es necesario que el MT envíe su IMSI al MA con el cual se está registrando. A continuación, el MA puede usar el protocolo FAAA-HAAA para obtener información de autenticación GSM para el MT (tal como se ha descrito anteriormente) y usar esta información para generar la K, con el MT. Después de haber generado la K, el MT puede registrarse con/a través del MA. La K se puede usar para varios registros sucesivos. No obstante, existe un tiempo de vida para esta K y antes de que el tiempo de vida expire, se puede generar una K nueva por medio de un procedimiento similar.

Los mensajes de intercambio de claves K entre el MT y el MA se transmiten como extensiones en la Solicitud de Registro y la Respuesta de Registro. Para llegar a un acuerdo sobre la K son necesarias tres extensiones nuevas para los mensajes de registro entre el MT y el MA. Estas extensiones son una extensión de Solicitud de Clave de Sesión Nueva, una extensión de Respuesta de Clave de Sesión Nueva y una extensión SRES.

Típicamente, el MT sabe que su HA soporta la autenticación según la presente invención. No obstante, puede que el MT no sepa qué método o métodos de autenticación soporta el FA. Para comprobar si el FA soporta el método de autenticación según la invención, el MT incluye la extensión de Solicitud de Clave de Sesión Nueva para el agente externo en la primera Respuesta de Registro y omite la extensión de autenticación de Móvil-Externo. La extensión de Solicitud de Clave de Sesión Nueva es opcional. Si el FA no la soporta, el FA debería ignorarla y eliminarla antes de reenviar la solicitud al HA. Cuando el MT recibe la Respuesta de Registro, el mismo implementa la siguiente lógica:

-

Si la Respuesta de Registro contiene una extensión de Respuesta de Clave de Sesión Nueva y el código de respuesta del FA es el código de error "fallo de autenticación del nodo móvil", el FA soporta la autenticación según la presente invención. Si la Respuesta de Clave de Sesión Nueva es válida, el MT crea un contexto de seguridad para el FA e incluye una extensión SRES para el FA en la siguiente Solicitud de Registro.

-

Si el FA no fijó el código de respuesta a un código de error y la Respuesta de Registro no contiene una extensión de Respuesta de Clave de Sesión Nueva y no se ha activado el código de respuesta del FA, el FA no soporta la autenticación sino que como alternativa permite registros sin autenticación Móvil-Externo. El MT puede llevar a cabo registros sucesivos con el FA sin que sea necesaria ninguna extensión de autenticación.

-

Si la Respuesta de Registro no contiene una extensión de Respuesta de Clave de Sesión Nueva y el código de respuesta del agente externo es el código de error "fallo de autenticación del nodo móvil", el FA no soporta la autenticación según la presente invención y por lo tanto requiere un tipo diferente de autenticación. En este caso, si el MT dispone únicamente de la funcionalidad de autenticación según la presente invención, el mismo no se puede registrar el con FA.

Cuando el FAAA recibe una Solicitud de Registro de un nodo móvil con el cual el FA no comparte un contexto de seguridad, el FA dispone de las siguientes opciones:

-

Si hay una extensión de autenticación no válida Móvil-Externo en la Solicitud de Registro, el FA responde con el código de error "fallo de autenticación del nodo móvil". Este es el comportamiento normalizado del IP Móvil.

-

Si la Solicitud de Registro no contiene una extensión de autenticación Móvil-Externo y si la política local no requiere ninguna autenticación Móvil-Externo, el FA reenvía la Solicitud de Registro al HA. El FA no incluye una extensión de Respuesta de Clave de Sesión Nueva en la Respuesta de Registro ni siquiera si hubiera una extensión de Solicitud de Clave de Sesión Nueva en la Solicitud de Registro. Este es el comportamiento normalizado del IP Móvil. Esta configuración podría resultar útil, por ejemplo, en zonas de acceso corporativo.

-

Si la política local en el FA requiere una autenticación Móvil-Externo, y no hay ninguna extensión de autenticación Móvil-Externo ni ninguna extensión de Solicitud de Clave de Sesión Nueva en la Solicitud de Registro, el FA responde con el código de error "fallo de autenticación del nodo móvil". Este es el comportamiento normalizado del IP Móvil.

-

Si la política local en el FA requiere una autenticación Móvil-Externo, y la Solicitud de Registro contiene una extensión de Solicitud de Clave de Sesión Nueva y ninguna extensión de autenticación Móvil-Externo, en ese caso el FA no reenvía la Solicitud de Registro al agente local sino que, en su lugar, responde con el código de error "fallo de autenticación del nodo móvil" e incluye una extensión de Respuesta de Clave de Sesión Nueva en la Respuesta de Registro. Si a continuación el MT envía otra Solicitud de Registro con una extensión SRES válida y una extensión de Autenticación valida Móvil-Externo, el FA reenvía la solicitud al HA.

Únicamente hay ciertos abonados GSM autorizados para registrarse a través de un MA específico. La autorización del usuario se puede realizar en cualquiera de las siguientes entidades:

-

la infraestructura GSM. La red de telecomunicaciones GSM (MSC/HLR) puede soportar la autenticación según la presente invención únicamente para ciertos abonados.

-

el HAAA. El HAAA se puede configurar con una lista de IMSI autorizadas. El HAAA puede disponer de una lista aparte para cada controlador de acceso con el cual está conectado. Esto permite que el HAAA decida qué abonados son usuarios autorizados de un cierto MA. Si el HA es controlado por el operador de la red de telecomunicaciones GSM, el HAAA puede almacenar convenientemente este tipo de información de autorización.

-

el FAAA. Si una empresa controla el FAAA, por ejemplo, para sus empleados, dicha empresa puede que desee controlar qué abonados GSM tienen autorización para registrarse en el FAAA. En este caso, es necesario que el MA mantenga una lista de abonados GSM autorizados. También es necesario que el MA vea la IMSI en texto claro. Si entre el MS y el HAAA se usa la criptografía de claves públicas para proteger la IMSI, puede que sea necesario que el HAAA envíe la IMSI en texto claro hacia el MA de manera que el MA pueda comprobar si el MT está autorizado a registrarse en el FAAA.

Las extensiones de intercambio de claves de sesión nueva son extensiones normales (no críticas), almacenadas preferentemente en una extensión de autenticación MT-AAA. Como alternativa, se pueden usar las extensiones de sesión específicas del proveedor. Si el receptor de la Solicitud de Registro no reconoce la extensión, dicha extensión se omite.

El intercambio de claves de sesión entre el MT y el FA no depende del intercambio de claves K entre el MT y el HA. De este modo, una Solicitud de Registro contiene una cualquiera de las siguientes:

-

Una extensión de Solicitud de Clave de Sesión Nueva para el FA,

-

una extensión de Solicitud de Clave de Sesión Nueva para el HA,

-

una extensión de Solicitud de Clave de Sesión Nueva tanto para el FA como para el HA,

-

una extensión SRES para el FA,

-

una extensión SRES para el HA,

-

una extensión SRES tanto para el FA como para el HA,

-

una extensión de Solicitud de Clave de Sesión Nueva para el FA y una extensión SRES para el HA, y

-

una extensión SRES para el FA y una Solicitud de Clave de Sesión Nueva para el HA.

Típicamente, la Respuesta de Registro contiene una cualquiera de las siguientes:

-

una extensión de Respuesta de Clave de Sesión Nueva del FA,

-

una extensión de Respuesta de Clave de Sesión Nueva del HA, y

-

una extensión de Respuesta de Clave de Sesión Nueva tanto del FA como del HA.

En la Figura 4 se muestra el formato de la Extensión de Solicitud de Clave de Sesión Nueva. El MT puede situar la Extensión de Solicitud de Clave de Sesión Nueva con un subtipo 1 (MT-FA) después de la extensión de autenticación de Móvil-Local y antes de la extensión de autenticación de Móvil-Externo (si estuviera presente). El FA debe retirar esta extensión de la solicitud antes de reenviar la solicitud al HA.

El MT puede situar la extensión de Solicitud de Clave de Sesión Nueva con un subtipo 2 (MT-HA) antes de la extensión de autenticación de Móvil-Local.

Tal como puede observarse a partir de la Figura 4, el formato de la Extensión de Solicitud de Clave de Sesión Nueva es el siguiente:

Tipo

Valor 134 (omisible)

Longitud

La longitud de esta extensión en bytes, sin incluir los campos de Tipo y Longitud. Para la extensión de Solicitud de Clave de Sesión Nueva, la longitud es 26 bytes.

Reservado

Reservado para un uso futuro. A fijar a 0.

Proveedor/Org-ID

El octeto de orden superior es el 0 y los 3 octetos de orden inferior son el Código de Empresa Privada de Gestión de la Red SMI de un proveedor de un servicio de interconexión de redes móviles, en el orden de los bytes de la red.

Tipo de proveedor

TIPO_PROVEEDOR_SOLICITUD_CLAVE_SESIÓN_NUEVA. Este valor indica que el tipo específico de esta extensión es una extensión de Solicitud de Clave de Sesión Nueva. La administración de los Tipos de Proveedores la realiza el Proveedor

Subtipo

1: MT-FA extensión de Solicitud de Clave de Sesión Nueva

\quad

2: MT-HA extensión de Solicitud de Clave de Sesión Nueva

Tiempo de Vida de la Clave

Tiempo de vida máximo de la clave en segundos, longitud de dos bytes.

MT_RAND

Un número aleatorio generado por el MT (16 bytes u 8 bytes).

\vskip1.000000\baselineskip

Este es un ejemplo sobre el uso de una extensión específica de proveedor. Como alternativa, se puede usar otro tipo de extensión especificada del IP móvil.

En la Figura 5 se muestra el formato de la Extensión de Respuesta de Clave de Sesión Nueva. El FA puede insertar la extensión de Respuesta de Clave de Sesión Nueva con el subtipo 1 (MT-FA) en una Respuesta de Registro después de la extensión de autenticación de Móvil-Local (si estuviera presente) y antes de la extensión de autenticación de Móvil-Externo (si estuviera presente). El HA puede insertar la Respuesta de Clave de Sesión Nueva con el subtipo 2 (MT-HA) en una Respuesta de Registro antes de la extensión de autenticación de Móvil-Local.

Tal como puede observarse a partir de la Figura 5, el formato de la Extensión de Respuesta de Clave de Sesión Nueva es el siguiente:

Tipo

Valor 134 (omisible)

Longitud

La longitud de esta extensión en bytes, sin incluir los campos de Tipo y Longitud. Para la extensión de Respuesta de Clave de Sesión Nueva, la longitud es 42 bytes más la longitud de n RAND.

Reservado

Reservado para un uso futuro. A fijar a 0.

Proveedor/Org-ID

Valor, por ejemplo, 94 (Nokia). El octeto de orden superior es el 0 y los 3 octetos de orden inferior son el Código de Empresa Privada de Gestión de la Red SMI del proveedor en el orden de los bytes de la red.

Tipo de proveedor

Este valor indica que el tipo específico de esta extensión es una extensión de Respuesta de Clave de Sesión Nueva. La administración de los Tipos de Proveedores la realiza el Proveedor

Subtipo

1: FA-MT extensión de Respuesta de Clave de Sesión Nueva

\quad

2: HA-MT extensión de Respuesta de Clave de Sesión Nueva

Tiempo de Vida de la Clave

Tiempo de vida restante de la clave en segundos

SIGNrand

El autenticador para n RAND, 16 bytes.

n*RAND

n RAND GSM (longitud n·16 bytes).

\vskip1.000000\baselineskip

En la Figura 6 se muestra el formato de la extensión SRES. El MT puede situar la extensión SRES con el subtipo 1 (MT-FA) en una Solicitud de Registro después de la extensión de autenticación de Móvil-Local y antes de la extensión de autenticación de Móvil-Externo (si estuviera presente). El FA debe eliminar esta extensión antes de reenviar la Solicitud de Registro al HA.

El MT puede situar la extensión SRES con el subtipo 2 (MT-HA) en una Solicitud de Registro antes de la extensión de autenticación de Móvil-Local.

\newpage

Tal como puede observarse a partir de la Figura 6, el formato de la Extensión SRES es el siguiente:

Tipo

134 (omisible)

Longitud

La longitud de esta extensión en bytes, sin incluir los campos de Tipo y Longitud. Para la extensión SRES Nueva, la longitud es 23 bytes.

Reservado

Reservado para un uso futuro. A fijar a 0.

Proveedor/Org-ID

El octeto de orden superior es el 0 y los 3 octetos de orden inferior son el Código de Empresa Privada de Gestión de la Red SMI del proveedor en el orden de los bytes de la red, según se define en los Números Asignados RFC [Números asignados].

Tipo de proveedor

Este valor indica que el tipo específico de esta extensión es una extensión SRES. La administración de los Tipos de Proveedores la realiza el Proveedor.

Subtipo

1: MT-FA extensión SRES

\quad

2: MT-HA extensión SRES

SIGNsres

La respuesta calculada por el MT, 16 bytes.

En otra forma de realización de la invención, los mensajes de intercambio de claves de sesión compartidas entre el MT y el FA se transmiten ampliando los mensajes de revelación del agente de manera que incluyan identidades IMSI y valores RAND.

Todavía en otra forma de realización alternativa, en la extensión de autenticación se usa un campo autenticador opaco. El comienzo de esta extensión se usa para enviar valores RAND, tiempos de vida de claves y otros parámetros de intercambio de claves de sesión compartidas. Los parámetros de intercambio de claves se incluyen en el cálculo del autenticador.

Si los parámetros se transmiten en una extensión aparte antes de la extensión de autenticación, los datos para el intercambio de claves resultan incluidos automáticamente en el cálculo de la extensión de autenticación. Además, el uso de extensiones aparte hace que el sistema resulte más sencillo de implementar. El autenticador es el resultado de la función MAC, por ejemplo, un SIGNrand calculado según la etapa 2.

En una forma de realización adicional, en lugar del uso de los SPI bien conocidos para los contextos de seguridad generados por el SIM, los SPI se comunican en los mensajes de intercambio de claves de sesión compartidas nuevas.

Ejemplo 2

LAN inalámbrica

La Figura 7 muestra una arquitectura de un sistema de comunicaciones móviles según otra forma de realización de la invención. El sistema comprende un nodo móvil MT que es un terminal de datos, dos redes de acceso IP Inalámbricas públicas (redes WISP) WISP1 y WISP2, Internet INET, una primera red de telecomunicaciones GSM GSM_A y una segunda red de telecomunicaciones GSM GSM_B conectada a un núcleo GSM NÚCLEOGSM.

Las redes de acceso IP inalámbricas públicas (WISP1, WISP2) ofrecen servicios IP inalámbricos de banda ancha para permitir que el MT se desplace de forma itinerante en puntos calientes públicos, tales como puntos calientes ubicados, por ejemplo, en hoteles y aeropuertos. Cada WISP puede ser controlada bien por un operador de una red de telecomunicaciones GSM o bien por un ISP privado con un acuerdo de desplazamiento itinerante con un operador de la red de telecomunicaciones GSM. El acuerdo de desplazamiento itinerante es esencial para la autenticación SIM.

El MT funciona como un nodo móvil. El mismo se puede conectar a una WISP. El MT también se puede desplazar de forma itinerante de una red a otra usando una técnica conocida. En la WLAN, al desplazamiento itinerante desde un punto caliente WLAN a otro se le hace referencia como servicio de desplazamiento itinerante WLAN. Las redes WISP tienen acceso a Internet INET.

El MT dispone de una parte de equipo ME y SIM_B proporcionados para ser usados con la segunda red de telecomunicaciones GSM GSM_B. Puede que el MT no sea una estación móvil acorde con el GSM. En este caso, un usuario del MT puede acceder a la segunda red de telecomunicaciones GSM GSM_B proporcionando a una estación móvil GSM el SIM_B. De hecho, en este ejemplo, el MT es un ordenador portátil equipado con una tarjeta adaptadora WLAN (no mostrada) y un lector de tarjetas inteligentes (no mostrado) que puede usar el SIM_B. Como alternativa, el MT es un dispositivo que tiene una parte de estación móvil GSM para comunicarse con redes de telecomunicaciones GSM y una parte de terminal WLAN para comunicarse con redes WLAN.

Ambas redes de telecomunicaciones GSM GSM_A y GSM_B comprenden unos Centros de Conmutación Móvil MSC1 y MSC2 respectivos. El núcleo GSM acopla dichos centros MSC entre sí. Además, la primera red de telecomunicaciones GSM dispone de una Pasarela de Autenticación y Facturación GSM/GPRS (GAGW) que la acopla a Internet INET. La GAGW es la entidad del operador de la red de telecomunicaciones GSM que proporciona los servicios de autenticación GSM a las redes WISP y recoge información de tarificación.

La GSM_B se conecta al NÚCLEOGSM y además se puede conectar a través del NÚCLEOGSM y de la GAGW a la WISP1 (con la cual está conectado el MT) y al MT con fines de autenticación y facturación tal como se describirá de forma más detallada posteriormente.

Para las funciones de autenticación y facturación de la zona de acceso WLAN pública se puede usar una funcionalidad de gestión de movilidad de usuario basada en el SIM GSM/GPRS (autenticación y facturación del usuario). La autenticación basada en el SIM proporciona una verificación relativamente fidedigna de la identidad del abonado (autenticación) para la tarificación del uso. El núcleo GSM NÚCLEOGSM proporciona servicios de desplazamiento itinerante para una estación móvil GSM que se desplaza de forma itinerante entre redes de diversos operadores. De forma ventajosa, el servicio de desplazamiento itinerante se implementa usando tarjetas SIM existentes y la infraestructura GSM. Consecuentemente, el desplazamiento itinerante WISP no debería requerir ninguna clave de seguridad adicional del MT. Además, todos los usuarios GSM que obtuvieron el servicio de desplazamiento itinerante WLAN de su operador local requieren el MT, el SIM y el software necesario de desplazamiento itinerante para poder acceder a la red pública. Un operador local proporciona al MT en desplazamiento itinerante un SIM_B para autenticarse con él. La GSM_B es alternativamente una red de telecomunicaciones GSM que soporta el GPRS.

A continuación se describirá el funcionamiento del sistema de la Figura 7. El usuario tiene un acuerdo GSM con el operador de la GSM_B que es el operador de la red de origen del usuario. El operador de la red B ha firmado un acuerdo de desplazamiento itinerante con el operador A de la GSM_A. El operador de la red de telecomunicaciones GSM A dispone de acuerdos de socio con los operadores de WISP1 y WISP2, a los que se hace referencia, respectivamente, como operadores C y D. El usuario en desplazamiento itinerante con el SIM_B se puede desplazar de forma itinerante desde WISP1 a WISP2. Ambas redes WISP envían mensajes de solicitud de autenticación al operador de GSM_A. La funcionalidad de desplazamiento itinerante de la red núcleo GSM se usa para retransmitir los mensajes de autenticación al operador local del abonado (operador de GSM_B). La arquitectura permite que usuarios de cualquiera de las redes de telecomunicaciones GSM se desplacen de forma itinerante con sus MT entre redes WISP, aunque las redes WISP tienen conexión directa únicamente con la red GSM_A del operador A.

No es necesario que un usuario en desplazamiento itinerante disponga de una relación de cliente preestablecida con una WISP. Por el contrario, el usuario en desplazamiento itinerante se puede basar en su relación de cliente con su red de telecomunicaciones GSM de origen para proporcionar la autenticación y la facturación en la WLAN. El acceso WISP se tarifica en la factura GSM del usuario en desplazamiento itinerante a través de una pasarela de autenticación de los operadores de la red de telecomunicaciones GSM.

En este caso, estos servicios de desplazamiento itinerante se usan para permitir la autenticación y tarificación de un MT usando un SIM para acceder tanto al núcleo GSM así como a redes de acceso IP públicas. El operador de la red de telecomunicaciones GSM factura al usuario tanto por los servicios de autenticación/desplazamiento itinerante como por el uso de redes de acceso IP públicas. A continuación, el operador de la red de telecomunicaciones GSM realiza un reembolso por el uso de las redes de acceso IP públicas para sus operadores.

En una forma de realización alternativa de la invención, el operador de la red de telecomunicaciones GSM puede proporcionar al abonado un SIM de desplazamiento itinerante WISP, el cual no permite el uso de los servicios de radiocomunicaciones GSM. Dicho SIM especializado se puede usar para autenticar y cargar una cantidad por servicios proporcionados por una WLAN.

Tal como es sabido a partir del GSM, la red GSM de origen almacena información del cliente, tal como códigos de autenticación e identidad de usuario. Típicamente, esta información se almacena en un Registro de Posiciones Base (HLR) GSM de un MSC. El operador de la red de telecomunicaciones GSM proporciona la interfaz de autenticación y tarificación basada en IP para uno o varios operadores WISP, con la posibilidad de proporcionarla también o solamente para soluciones de acceso corporativo.

La GAGW soporta el desplazamiento itinerante sin interrupciones entre varios operadores de la red de telecomunicaciones GSM. Las WISP envían toda la información de autenticación y facturación a la GAGW. La GAGW usa la señalización del núcleo GSM conocida a partir del GSM para transportar la información de autenticación y facturación hacia el operador correspondiente de la red de telecomunicaciones GSM de origen. La señalización de la información de facturación entre diferentes redes de telecomunicaciones GSM se puede disponer de una manera similar al desplazamiento itinerante convencional de un teléfono móvil en una red de telecomunicaciones GSM externa. En este caso, la red de telecomunicaciones GSM externa cobra a la red de telecomunicaciones GSM de origen por su servicio en la disposición de la llamada telefónica.

En el sistema de la Figura 7, el operador de origen almacena los registros de tarificación y envía la factura al usuario. La WISP genera un registro de facturación que describe los servicios facturados. La facturación se puede basar en cualquiera de los principios conocidos o en una combinación de los mismos, por ejemplo, en la tarifa plana, el tiempo de uso, el número de paquetes o el ancho de banda de acceso. La red GSM (GAGW) transmite hacia el sistema de facturación GSM existente los registros originados en la WISP.

El MT soporta la autenticación mediante el uso de una tarjeta SIM. En una forma de realización alternativa, el MT soporta uno o más mecanismo de autenticación diferentes, por ejemplo, autenticación de tarjeta inteligente para el acceso corporativo a la red. Un MT de este tipo contiene software de autenticación y la tarjeta inteligente aunque no es necesario que disponga de claves para el acceso público o cualquier otra asociación de seguridad.

La Figura 8 muestra bloques funcionales significativos del sistema de la Figura 7. La Figura 8 muestra solamente una única WISP aunque se entiende que puede haber presentes más de una WISP y más de una red de telecomunicaciones GSM. La Figura 8 muestra tres elementos funcionales importantes del sistema: el MT, un Controlador de Acceso Público PAC y la Pasarela de Autenticación y Facturación GPRS/GSM GAGW. La GAGW es una entidad especializada de la red de telecomunicaciones GSM que comunica mediante interfaz la red GSM/GPRS con una red IP (por ejemplo, Internet o una red IP de área extensa). La GAGW ofrece también las funciones necesarias de desplazamiento itinerante celular WLAN, en particular las correspondientes relacionadas con los servicios de autenticación y facturación.

El PAC es la entidad de red de la WISP que controla el acceso desde la red de acceso de radiocomunicaciones a los servicios de Internet. En este ejemplo, el PAC asigna una dirección IP al MT y autentica a dicho MT antes de que se establezca la conexión con Internet. El PAC retransmite los mensajes de autenticación entre el MT y la GAGW, recoge el registro de facturación y lo envía a la GAGW. El PAC también retransmite tráfico de datos de usuario entre el MT e Internet.

La autenticación SIM es un servicio complementario para el PAC y el PAC soporta adicionalmente otros mecanismos de autenticación tales como la autenticación basada en contraseñas.

A continuación se describirán las interfaces del sistema.

La interfaz MT-PAC es una interfaz basada en IP que está dotada de funcionalidad de autenticación. La autenticación está diseñada de manera que puede estar incorporada en un protocolo IP normalizado bien conocido o puede implementarse como una ampliación del protocolo existente. El MT y el PAC se identifican usando sus direcciones IP en esta interfaz.

La interfaz PAC-GAGW es una interfaz basada en IP que usa un protocolo de autenticación adecuado. Típicamente, una única GAGW soporta simultáneamente varios PAC. La GAGW identifica varios PAC mediante el uso de sus direcciones IP. En esta interfaz, la identificación del MT se basa en un código IMSI almacenado en el SIM_B.

La interfaz GAGW-HLR es específica de la implementación y del proveedor. La GAGW oculta la infraestructura celular a los PAC. Por esta razón, la interfaz PAC-GAGW es siempre la misma aunque la red celular subyacente puede ser de un tipo diferente (GSM, GPRS) o puede ser proporcionada por un proveedor diferente.

La Figura 9 muestra la etapas de señalización principales del sistema de las Figuras 7 y 8. El proceso de autenticación del MT para el PAC se activa típicamente cuando el MT intenta conectarse a la red de acceso público. En este caso, el MT adquiere una dirección IP a través de un servidor (no mostrado) de protocolo de configuración dinámica del anfitrión (DHCP). El protocolo DHCP y los servidores adecuados son bien conocidos en la técnica. La autenticación se debe completar antes de que se pueda acceder a la red más allá del PAC. El MT activa la autenticación mediante software de desplazamiento itinerante. En una forma de realización alternativa, la autenticación se activa automáticamente cuando el MT intenta acceder a la red usando la autenticación SIM y se está ejecutando la aplicación de desplazamiento itinerante.

A continuación se explica una visión general de la autenticación haciendo referencia a los mensajes usados durante el proceso de autenticación:

301.

El MT se comunica con el PAC para conectarse a la WISP1 y obtener una dirección IP de un servidor DHCP.

302.

El PAC envía información referente a los mecanismos de autenticación soportados, tales como autenticación SIM, Infraestructura de Clave Pública (PKI) o clave precompartida.

303.

El MT detecta que se soporta la autenticación SIM. El ME solicita la IMSI del SIM_B.

304.

El SIM_B responde a la solicitud 303 de la IMSI enviando la IMSI al ME.

305.

El MT forma un Identificador de Acceso a la Red que es la IMSI en un formato de Identificador de Acceso a la Red (NAI), tal como se explicó en el comienzo de la descripción del ejemplo 1. El MT establece una asociación de seguridad dinámica con el PAC, por ejemplo, usando Diffie-Hellman, y envía el NAI cifrado a través del canal seguro temporal. En una forma de realización alternativa, el NAI se envía como texto claro sin cifrado.

306.

El PAC descifra el NAI, y lo reenvía en un paquete de datos, nuevamente cifrado, hacia la GAGW a través de la interfaz segura PAC-GAGW. La dirección IP de la GAGW se configura estáticamente en al PAC. Se forma un canal seguro entre el PAC y la GAGW usando su secreto compartido dispuesto previamente.

307.

La GAGW verifica que el paquete de datos vino de un PAC válido, descifra el paquete, comprueba el NAI, extrae la IMSI y envía la IMSI con una solicitud de autenticación al MSC más cercano. A continuación, el MSC analiza la IMSI para averiguar el HLR local del abonado indicado por la IMSI. A continuación, el MSC reenvía la solicitud de autenticación al HLR local.

308.

El HLR local forma un conjunto de una o más tripletas de autenticación GSM (RAND, SRES, Kc) y envía el conjunto al MSC originador el cual reenvía el conjunto a la GAGW.

309.

La GAGW forma un paquete que contiene los RAND y una suma de comprobación criptográfica de los RAND, generada usando por lo menos las Kc. La GAGW preserva las SRES para su uso posterior en una etapa subsiguiente 314.

310.

El PAC descifra el paquete y retransmite los RAND y la suma de comprobación criptográfica al MT.

311.

El MT introduce los RAND en el SIM_B, el cual calcula los valores correspondientes de Kc y SRES.

312.

El MT comprueba que las Kc coinciden con la suma de comprobación criptográfica proporcionada por el PAC. Si las mismas coinciden, el MT sabe que el PAC dispone de una conexión con el HLR y por lo tanto se puede confiar en dicho PAC.

313.

El MT genera una suma de comprobación criptográfica para las SRES con claves Kc y envía la suma de comprobación al PAC.

314.

El PAC retransmite la suma de comprobación de la SRES a la GAGW. La GAGW comprueba si la suma de comprobación coincide con las SRES que recibió del MSC en la etapa 308. Si la misma coincide, la GAGW envía un mensaje de confirmación de recepción ACK al PAC. Si la misma no coincide, en ese caso la GAGW envía una confirmación de recepción negativa NACK al PAC.

315.

Si el PAC recibe un mensaje de confirmación de recepción positiva ACK que confirma una autenticación satisfactoria, el mismo completa la autenticación abriendo el acceso a Internet. Si el PAC recibe un mensaje de confirmación de recepción negativa NACK, el mismo deniega la abertura del acceso a Internet.

En una forma de realización alternativa, en las etapas anteriores, en lugar del NAI, se usa la IMSI.

Las siguientes tablas ofrecen una lista de los parámetros que se transportan entre los elementos del sistema:

TABLA 1 Parámetros principales transferidos entre el MT y la GAGW

Parámetro	Dirección a	Cifrado	Explicación
IMSI/NAI	GAGW	Sí	ID de usuario para el lado de la red celular
RAND	MT	No	Desafío de autenticación aleatorio
SRES	GAGW	Sí	Respuesta de autenticación al HLR
Troceo(K_MT)	MT	Sí	Suma de comprobación de autenticación para el MT
Troceo(K_GAGW)	GAGW	Sí	Suma de comprobación de autenticación para la GAGW

TABLA 2 Parámetros principales transferidos entre el MT y el PAC

Parámetro	Dirección a	¿Cifrado?	Explicación
IMSI/NAI	PAC	Sí	ID de usuario para el lado de la red celular
Fact_ind	MT		Información de los costes

TABLA 3 Parámetros principales transferidos entre el PAC y la GAGW

Parámetro	Dirección a	¿Cifrado?	Explicación
Fact_ind	PAC	No	Información de tarificación del acceso
Clase_usuario	PAC	Sí	Clase/perfil de usuario (comercial, consumidor,...)
K_RAN	PAC	Sí	Clave de cifrado de la interfaz aérea
CDR	GAGW	Sí	Registro de facturación del usuario (estructura por determinar)

De forma ventajosa, se usa un parámetro opcional clase_usuario para definir la calidad de servicio, por ejemplo, el ancho de banda máximo para un usuario específico.

La Figura 10 muestra un diagrama de señalización detallado de una autenticación del sistema de las Figuras 7 y 8. El diagrama presenta las siguientes etapas:

(Etapa 401) El MT envía una solicitud de inicio de autenticación originada en el MT SOL_INICIOAUT_PAC_MT que contiene el NAI que tiene la IMSI. Típicamente, la solicitud también contiene un código de protección MT_RAND (conocido también como nonce en el contexto del IP móvil).

(Etapa 402) El PAC recibe la SOL_INICIOAUT_PAC_MT del MT y solicita tripletas GSM enviando a la GAGW un mensaje SOL_INICIOAUT_GAGW_PAC, que contiene también el NAI y el MT_RAND.

(Etapa 403) La GAGW obtiene las tripletas GSM de la red de telecomunicaciones GSM de origen. Basta con una tripleta, aunque la red de telecomunicaciones GSM puede devolver una pluralidad de tripletas, en cuyo caso bien algunas de las tripletas se descartan o se almacenan para un uso posterior, o bien, de forma más ventajosa, todas ellas se usan para generar una clave más fuerte. La red de telecomunicaciones GSM de origen se reconoce usando el NAI.

(Etapa 404) La GAGW genera la K, usando un algoritmo de cifrado, de por lo menos la(s) clave(s) de sesión GSM Kc. De forma ventajosa, en el cifrado se usa también el MT_RAND. La GAGW cifra el(los) RAND GSM de las tripletas GSM, calcula una suma de comprobación criptográfica, o un Código de Autenticación de Mensaje MAC, basándose en el(los) RAND y la K, y prepara un mensaje de respuesta de inicio de autenticación RESP_INICIOAUT_PAC_GAGW. El cifrado entre la GAGW y el PAC se basa en su propio secreto compartido.

(Etapa 411) La GAGW envía al PAC un mensaje de respuesta de inicio de autenticación RESP_INICIOAUT_PA
C_GAGW que contiene los RAND, el MAC, el MT_RAND, un código de información de facturación y un MAC de información de facturación calculado para el código de información de facturación. Típicamente, el mensaje de respuesta de inicio de autenticación contiene adicionalmente un campo para un parámetro de tiempo límite de sesión con vistas a determinar el periodo de validez de la K nueva que se va a generar y un campo correspondiente al estado de la sesión.

(Etapa 412) El PAC reenvía al MT el mensaje de respuesta de inicio de autenticación RESP_INICIOAUT_PA
C_GAGW en forma de un mensaje RESP_INICIOAUT_MT_PAC.

(Etapa 413) El MT comprueba con el SIGNrand que los parámetros transportados por el RESP_INICIOAUT_PA
C_GAGW y por el RESP_INICIOAUT_MT_PAC se originan realmente en la red de telecomunicaciones GSM.

(Etapa 414) El MT gestiona la información de facturación que recibió de la GAGW. Típicamente, proporciona al usuario información referente al precio de servicio solicitado por el usuario. Habitualmente, este precio se basa en por lo menos uno de los siguientes aspectos: una tarifa plana, una facturación basada en el tiempo, el número de paquetes de datos enviados hacia o desde el MT, y la Calidad de Servicio QoS. A continuación, el MT pregunta al usuario si se debería obtener el servicio con el precio proporcionado. El MT recibe una respuesta del usuario.

(Etapa 415) El MT genera un MAC de las SRES para ser usado con vistas a responder a la GAGW.

(Etapa 416) A continuación el MT genera un secreto de acceso Kpac_MT usando por lo menos las Kc.

(Etapa 421) El MT genera y envía un mensaje SOL_RESPUESTAAUT_PAC_MT al PAC. El mensaje contiene en el campo de estado una respuesta del usuario que muestra si el usuario aceptó la facturación del servicio, el MAC de las SRES, un MAC del código de facturación, y el MT_RAND (como todos los mensajes enviados durante una sesión de autenticación).

(Etapa 422) El PAC genera un SOL_RESPUESTAAUT_GAGW_PAC que contiene los datos del mensaje SOL_
RESPUESTAAUT_PAC_MT y adicionalmente el NAI y la dirección IP del PAC.

(Etapa 423) La GAGW comprueba el MAC de las SRES para verificar que los datos enviados por el MT transportados por el SOL_RESPUESTAAUT_GAGW_PAC no han sido alterados.

(Etapa 424) Si la GAGW obtiene una respuesta positiva a la comprobación de la etapa anterior, genera la clave de acceso Kpac_MT de una forma similar a la correspondiente usada por el MT en la etapa 416 y a continuación prosigue hacia la etapa 431.

(Etapa 431) La GAGW envía al PAC un mensaje OK_RESP_RESPUESTAAUT_PAC_GAGW. El mensaje contiene el MT_RAND y códigos id_filtro, Kpac_MT y SIGNresult. El código id_filtro es opcional e indica la clase de usuario del abonado. El mismo se puede usar en la definición de una QoS, por ejemplo, una conexión de alta calidad para usuarios comerciales que realizan un mayor desembolso. El SIGNresult es un MAC de los datos en el mensaje para verificar definitivamente al MT que la respuesta de la GAGW no se ha modificado en su camino hacia el MT.

(Etapa 441) El PAC responde a la GAGW mediante un mensaje SOL_INICIOFACTURACIÓN_GAGW_PAC que solicita a la GAGW que dé inicio a la facturación. El mensaje contiene el NAI y una ID de sesión (el MT_RAND).

(Etapa 442) La GAGW comprueba la respuesta del MT para verificar que el MT ha permitido la facturación.

(Etapa 451) Si el MT ha permitido la facturación, la GAGW envía al PAC un mensaje RESP_OK_INICIOFACTU-
RACIÓN-PAC_GAGW para indicar el inicio de la facturación.

(Etapa 452) El PAC envía al MT un mensaje RESP_OK_RESPUESTAAUT_MT_PAC que contiene el SIGNresult.

(Etapa 453) El MT recibe el mensaje RESP_OK_RESPUESTAAUT_MT_PAC y comprueba el SIGNresult que contiene. Si el SIGNresult es correcto, el MT puede informar al usuario sobre el inicio de la facturación.

El MAC del código de facturación se calcula por lo menos usando las Kc de manera que el PAC no pueda interferir en el código de facturación.

En el mensaje RESP_OK_RESPUESTAAUT_MT_PAC, se notifica al MT sobre el plazo de la autenticación. El MT se vuelve a autenticar a sí mismo antes de la expiración del plazo de la autenticación. Si el mismo no se vuelve a autenticar, se libera la conexión del MT con el PAC y el MT se puede autenticar nuevamente a sí mismo.

De forma ventajosa, el MT recibe información de facturación y decide cómo gestionarla. De forma ventajosa, el usuario del MT puede definir una política de gestión de información de facturación. Esta política se puede usar para definir, por ejemplo, que al usuario no se le presente ninguna información de facturación en un caso de autenticación repetida o de autenticación normal. La gestión de la información de facturación no influye en el protocolo de mensajería entre las diferentes entidades (MT, PAC, GAGW, MSC y HLR).

Las Figuras 11a y 11b forman conjuntamente un diagrama de flujo que muestra la funcionalidad del PAC durante la autenticación. En esta figura, todos los bloques se refieren al PAC excepto los correspondientes que se han marcado como "MT" o "GAGW". El dibujo se describirá haciendo referencia a cada uno de los bloques por medio de su símbolo de referencia.

El funcionamiento comienza en el bloque 501. El MT solicita autenticación del PAC enviando un mensaje SOL_I-
NICIOAUT_PAC_MT que contiene el MT_RAND y el NAI hacia el PAC, activando de este modo el proceso de autenticación en el mismo (bloque 511). El PAC establece una correspondencia (bloque 512) de una dirección IP MT_IP para el MT. El PAC comprueba en primer lugar si ya dispone de una dirección IP de la cual se ha establecido una correspondencia para ese NAI. En caso afirmativo, recupera la correspondencia de un registro de base de datos (bloque 513). En cualquier otro caso, obtiene una dirección IP y la almacena con el NAI en una base de datos para su uso futuro.

Después de establecer la correspondencia (bloque 512) de la IMSI con una dirección IP, el PAC retransmite (bloque 514) el NAI a la GAGW (bloque 541) en un mensaje SOL_INICIOAUT_GAGW_PAC. La GAGW responde (bloque 542) por medio de un mensaje RESP_INICIOAUT_PAC_GAGW que contiene un número aleatorio RAND a usar como desafío. En el bloque 515, el PAC recibe el desafío y establece una correspondencia de un código ID de sesión ID_SESIÓN con la MT_IP. A continuación, el PAC actualiza el registro de la base de datos (bloque 516) almacenando la ID_SESIÓN con la MT_IP y la IMSI. A continuación, el PAC envía (bloque 517) el desafío RAND al MT en un mensaje RESP_INICIOAUT_MT_PAC. El MT recibe (bloque 502) el mensaje, genera y responde (bloque 503) con un mensaje SOL_RESPUSTAAUT_PAC_MT que contiene una suma de comprobación criptográfica SIGN_SRES correspondiente al desafío y el propio desafío. El PAC recibe la SIGN_SRES y la retransmite (bloque 518) a la GAGW la cual comprueba (bloque 543) si es correcta. La GAGW devuelve (bloque 544) al PAC un mensaje RESP_RESPUESTAAUT_PAC_GAGW para informar al PAC si la SIGN_SRES es correcta. Como alternativa, la GAGW puede calcular la SIGN_SRES correcta y devolverla al PAC de manera que el propio PAC verifique si la SIGN_SRES generada por el MT es correcta. En cualquiera de los casos, el PAC verifica (bloque 519) la respuesta de la GAGW y decide (bloque 520) las siguientes acciones basándose en la respuesta. Si la respuesta es positiva, se trata de una autenticación satisfactoria, y a continuación el PAC prosigue hacia el bloque 523 para iniciar la facturación. En cualquier otro caso, la ejecución prosigue hacia el bloque 521. Allí, se envía una NACK en forma de RESP_ERR_RESPUESTA_AUT_MT_PAC hacia el MT para indicar un error en la autenticación y se elimina la ID_SESIÓN (bloque 522) del registro en el cual estaba almacenada.

A continuación se explican las etapas relacionadas con la facturación. En el bloque 523, se envía un mensaje SOL_INICIOFACTURACIÓN_GAGW_PAC hacia la GAGW. El mensaje informa a la GAGW de la posibilidad de aplicar cobros en la cuenta del usuario del MT para ser añadidos en una factura GSM. La GAGW recibe (bloque 547) este mensaje y responde con un mensaje RESP_INICIOFACTURACIÓN_PAC_GAGW como confirmación. El PAC verifica (bloque 524) el mensaje, y en el caso de una denegación en lugar de la confirmación, el PAC vuelve al bloque 521. En cualquier otro caso, (bloque 526) se envía un mensaje de confirmación de recepción RESP_OK_INICIOAUT_MT_PAC hacia el MT para confirmar el inicio de la posible facturación y se da inicio a un temporizador.

En la siguiente fase, el PAC permanece en reposo y proporciona actualizaciones de facturación periódicas. Estas actualizaciones son activadas por acontecimientos cobrados, tales como la transmisión o recepción de paquetes de datos. El PAC puede combinar los cobros y, únicamente después de un cierto periodo de tiempo o después de alcanzar una cierta cantidad de activación de los cobros, realizar una actualización de facturación correspondiente a la suma global acumulada de esta manera. Cuando se factura un acontecimiento, el PAC envía un SOL_ACTUALIZACIÓNFACTU-
RACIÓN_GAGW_PAC para notificar a la GAGW la actualización de la facturación. La GAGW recibe (bloque 547) este mensaje y responde (bloque 548) por medio de un mensaje de recepción RESP_ACTUALIZACIÓNFACTURA-
CIÓN_PAC_GAGW. El PAC recibe (bloque 528) la recepción y comprueba (bloque 529) si es positiva. Si la recepción es negativa, el PAC evita (bloque 532) que el MT transfiera paquetes de datos hacia y desde la WISP, envía una detención de facturación a la GAGW, y envía (bloque 533) una solicitud de autenticación al MT con vistas a que el mismo se vuelva a autenticar. Por otro lado, si la recepción es positiva en el bloque 529, el PAC comprueba (bloque 530) el temporizador para detectar un tiempo límite de la sesión. Si se detecta un tiempo límite, el PAC continúa con el bloqueo (bloque 532) y prosigue tal como se ha descrito anteriormente. Si no se detecta ningún tiempo límite, el funcionamiento del PAC vuelve al bloque 527.

Las Figuras 12a a 12d constituyen conjuntamente un diagrama de flujo que muestra la funcionalidad de la Pasarela de Autenticación y facturación GSM/GPRS (GAGW) durante la autenticación en el sistema de la Figura 7. El diagrama de flujo mostrado en las Figuras 11a y 11b ilustraba la funcionalidad del PAC y en este caso se considera el mismo procedimiento desde el punto de vista de la GAGW. El procedimiento comienza en el bloque 601. El PAC envía a la GAGW el mensaje SOL_INICIOAUT_GAGW_PAC que contiene la IMSI y el nombre de dominio del MT (definido por el SIM_B). La GAGW comprueba (bloque 611) si el MT ya está autenticado. En caso afirmativo, a continuación se detiene (bloque 613) un temporizador (que se describirá posteriormente) de validez de autenticación y se usa (bloque 615) la información de usuario existente. En cualquier otro caso, se asigna una ID de usuario temporal al MT identificado por la IMSI y los datos de abonado (la IMSI y la ID de usuario correspondiente) se almacenan (bloque 619) en un registro de una base de datos.

A continuación, se inicia (bloque 621) la autenticación MT. La GAGW solicita (bloque 623) las tripletas GSM de la red de telecomunicaciones GSM de origen del abonado por medio de un mensaje SOL_DATOS_MSC_GAGW enviado al MSC más cercano 681. El MSC responde (bloque 682) por medio de un mensaje RESP_DATOS_GAGW_MSC que contiene una o más tripletas GSM y adicionalmente información referente a si el MSC permite o no la facturación por el uso del PAC por parte de ese usuario. La GAGW verifica (bloque 627) la respuesta. Si el usuario no está autorizado al servicio de facturación, o alternativamente, si se produce la expiración del temporizador de respuesta (bloque 625), la GAGW envía (bloque 629) un mensaje de error de autorización ERROR_RESP_INICIOAUT_PAC_GAGW al PAC (bloque 602). En cualquier otro caso, no se ha producido la expiración del temporizador y la verificación de la respuesta es positiva y el procedimiento continúa a partir del bloque 633. La GAGW recupera de la base de datos (bloque 635) el MT_RAND y por lo menos una tripleta GSM asociada al abonado que está siendo autenticado. A continuación, la GAGW calcula un SIGNrand usando una función de troceo y la Kc y el RAND de (cada una de) la(las) tripleta(s) GSM usada(s). Dicho número determinado de claves Kc se indica mediante n*Kc. En este caso, el asterisco no hace referencia a una multiplicación sino al número de diferentes parámetros Kc valorados. Asimismo, se aplica la misma interpretación al resto de la totalidad de apariciones del asterisco. Para la multiplicación, en lugar de un asterisco se usa un punto "·". Como el MSC proporciona típicamente de una a cuatro tripletas GSM diferentes en respuesta a una solicitud, para la autenticación se pueden usar una o más tripletas. Mediante el uso de dos o más tripletas en lugar de solamente una, se obtiene una seguridad mejorada ya que las claves son más largas y el periodo recurrente, en el cual se usa nuevamente la misma clave, aumenta. Esto permite además el aumento del plazo de validez de las claves de autenticación formadas.

En el bloque 637, la GAGW envía un desafío y el mismo es el SIGNrand en un mensaje RESP_INICIOAUT_PAC_
GAGW hacia el PAC (bloque 603). El PAC responde con un mensaje SOL_RESPUESTAAUT_GAGW_PAC para indicar si el usuario desea aceptar la facturación. La GAGW comprueba (bloque 641) el mensaje y si el mismo muestra que el usuario no acepta la facturación, la GAGW almacena (bloque 643) la respuesta con fines estadísticos (bloque 639) y envía un mensaje RESP_RESPUESTAAUT_PAC_GAGW al PAC para confirmarle al PAC que la autenticación se va a abortar. Los fines estadísticos incluyen recogida de información sobre cuántos de los usuarios han aceptado la facturación y cuántos no han aceptado la facturación. Esta información se puede usar para optimizar el precio de la conexión con vistas a maximizar los beneficios de los operadores WISP y los operadores de las redes de telecomunicaciones GSM.

Si el mensaje SOL_RESPUESTAAUT_GAGW_PAC indica que el usuario desea aceptar la facturación, la GAGW comprueba (bloque 645) las SIGNsres. Esta comprobación se lleva a cabo mediante el cálculo de la SIGNres usando la función de troceo conocida por el MT y usando los mismos datos de entrada (MT_RAND, Kc y RAND de cada una de las tripletas GSM usadas). Para la comprobación, la GAGW recupera (bloque 647) los datos de entrada de la base de datos. Como etapa a seguir (bloque 649), la GAGW comprueba si la SIGNsres era realmente correcta.

Si la SIGNsres era incorrecta, la GAGW envía (bloque 653) un mensaje de rechazo ERR_RESP_RESPUESTAA
UT_PAC_GAGW al PAC (bloque 606).

Si la SIGNsres era correcta, la GAGW concede el acceso del MT y genera (bloque 651) la Kpac_MT. A continuación, la GAGW envía (bloque 655) la aceptación del acceso por medio de un mensaje OK_RESP_RESPUESTAAU
T_PAC_GAGW al PAC (bloque 607). Además, la GAGW genera (bloque 657) un tique de autenticación específico del PAC y lo almacena (bloque 663). A continuación, la GAGW actualiza (bloque 659) la información de usuario en la base de datos y almacena (bloque 665) los datos de usuario que comprenden la Kpac_MT. Finalmente, la GAGW inicia (bloque 661) el temporizador de validez de autenticación (mencionado también en relación con el bloque 613) e inicia (bloque 667) un proceso de contabilidad. El temporizador de validez de la autenticación se implementa preferentemente almacenando en la base de datos el tiempo transcurrido de la autenticación. Esto permite el uso del hardware habitual (reloj) para una pluralidad de usuarios diferentes y una comprobación sencilla de la expiración de la autenticación mediante la comparación del momento presente con el tiempo transcurrido.

El acceso a la WISP por parte del MT se carga en la cuenta GSM del usuario. Cuando se autentica el MT para la WISP, el PAC comienza a recoger información de facturación. El PAC mantiene una base de datos del tiempo de conexión y la cantidad de datos enviados. Cuando el MT se desconecta, el PAC retransmite esta información a la GAGW. A continuación, la GAGW genera un tique de Registro Detallado de Llamadas (CDR) GSM y lo retransmite al sistema de facturación GSM conocido a partir del GSM.

La Figura 13 muestra las etapas principales de señalización de una desconexión controlada del MT con respecto a la red. El proceso de desconexión comienza con que el MT selecciona (bloque 711) su desconexión. El MT envía (bloque 713) un mensaje SOL_DESCONEXIÓN_PAC_MT al PAC. El PAC envía (bloque 721) un mensaje SOL_DETENCIÓNFACTURACIÓN_GAGW_PAC que solicita a la GAGW que detenga la facturación. La GAGW responde enviando (bloque 731) una RESP_DETENCIÓNFACTURACIÓN_GAGW_PAC al PAC. Finalmente, el PAC envía un mensaje RESP_DESCONEXIÓN_MT_PAC para confirmar al MT la desconexión satisfactoria.

En el ejemplo 2, la funcionalidad correspondiente a la entidad autenticadora que es responsable de autenticar un terminal está ubicada en un encaminador de la capa de red. Como alternativa, la funcionalidad está en un elemento de la capa de enlace, tal como un punto de acceso WLAN, en cuyo caso la interfaz entre el MT y el punto de acceso WLAN se basa en un protocolo de capa de enlace en lugar del IP.

Ejemplo 3

La arquitectura funcional de la presente invención se puede implementar usando varios protocolos adecuados. No obstante, en este ejemplo, en las comunicaciones entre el MT y el PAC se usa una versión mejorada de un protocolo de Intercambio de Claves de Internet (IKE, RFC 2409). El protocolo de Servicio de Usuario de Marcación de Autenticación Remota (RADIUS, RFC 2138, RFC 2139) se usa para las comunicaciones entre el PAC y la GAGW. Debería observarse también que la funcionalidad del PAC podría estar integrada, si fuera necesario, dentro de un servicio de punto de acceso. No obstante, mediante la separación de la funcionalidad del PAC con respecto al punto de acceso, los traspasos son más sencillos de implementar y por lo tanto la separación resulta adecuada para instalaciones que comprenden una pluralidad de puntos de acceso. La Figura 14 muestra la señalización principal entre el MT, el PAC y la GAGW cuando entre el MT y el PAC se usa el protocolo IKE mejorado al que se hace referencia como IKE+.

El HDR es un encabezamiento del Protocolo de Gestión de Claves y de Asociación de Seguridad de Internet (ISAKMP, RFC 2409) cuyo tipo de intercambio define las clases de carga útil. Cuando se escribe en forma de HDR* indica cifrado de carga útil. SA es una carga útil de negociación SA con una o más cargas útiles de Propuesta y Transformación. KE es la carga útil de Intercambio de Claves. IDmt es la carga útil de identidad para el MT.

A continuación se describirá detalladamente el protocolo IKE+.

El protocolo IKE+ usa mecanismos IKE con mejoras. Este modo de autenticación es una ampliación con respecto a los definidos en la RFC2409 y está relacionado con el sugerido por Litvin M., Shamir R., Zegman T., en la publicación "A Hybrid Authentication Mode for IKE", draft-ietf-ipsec-isakmp-hybrid-auth-03.txt, Diciembre de 1999. El protocolo está diseñado para la autenticación bidireccional entre el MT y el PAC, y usa la autenticación GSM en la fase 1. El intercambio no es simétrico, a diferencia de los correspondientes al RFC2409. En cambio, ambos negociadores IKE deben saber en qué lugar se ejecutan ya que se comunican con diferentes componentes: El MT usa su SIM_B incorporado para las funciones relacionadas con la autenticación, mientras que el PAC se basa en un servidor de autenticación (GAGW) en la red de telecomunicaciones GSM, en una cadena:

SIM_B < - - - > MT < - - - - - - - - - > PAC < - - - - > GAGW

La negociación IKE entre el MT y el PAC usa la sintaxis estándar de las cargas útiles ISAKMP. Otros mensajes no presentan la misma sintaxis, y dependen de la implementación.

Como este intercambio es bastante más complicado que los correspondientes definidos en el RFC2409, el mismo se define únicamente en el modo principal IKE. En el intercambio se usan los siguientes parámetros. Los mismos están contenidos en cargas útiles ISAKMP estándar, tal como se explica posteriormente.

IMSI

IMSI leída de la tarjeta SIM

MT_RAND

número aleatorio generado por el MT

RAND

número aleatorio proporcionado por la GAGW

SIGNrand

calculado por la GAGW como HMAC(Kc*n, RAND*n|MT_RAND|infofacturación), en la que HMAC es el algoritmo MD5 de la RFC1321 aplicado en el modo HMAC descrito en la RFC2104 y Kc es la clave de cifrado de la tarjeta SIM

SIGNsres

calculada por el MT y la GAGW como HMAC(Kc*n, SRES*n|IMSI|MT_RAND), en la que SRES es el autenticador de la tarjeta SIM

Kpac_MT

calculada por la GAGW y el MT como HMAC(Kc*n, RAND*n|IMSI|MT_RAND)

En este caso, la barra "|" se refiere a una concatenación de cadenas, en la que se concatenan entre sí dos conjuntos de dígitos, por ejemplo, 1234 | 567 = 1234567.

El intercambio, tal como se muestra posteriormente, es vulnerable a un ataque del tipo hombre-en-el-medio entre el MT y el PAC, debido a la asimetría de la autenticación. No obstante, si el intercambio se usa a través de un medio tal como una LAN inalámbrica, este tipo de ataque activo resulta complicado. El hecho de que la GAGW únicamente hable con controladores PAC que conoce a través de canales seguros reduceadicionalmente la probabilidad de éxito de un ataque de este tipo.

La seguridad del intercambio se puede mejorar con una técnica de clave pública, la cual no elimina la amenaza de un ataque del tipo hombre-en-el-medio, aunque protege la IMSI del usuario: El MT puede solicitar del PAC el certificado de la GAGW, y usar la clave pública del mismo para cifrar el valor IMSI entregado en la carga útil IDmt. A continuación, el valor de IMSI es conocido únicamente para el MT y la GAGW, y también se puede usar para autenticar el PAC para el MT, tal como se explica posteriormente.

Cuando se usa la carga útil ID para transportar la IMSI del MT, el campo de Tipo de ID en el encabezamiento genérico de carga útil ISAKMP se fija a ID_USUARIO_FQDN.

Los siguientes valores identifican las funciones que deberían asumir los pares IKE. Los valores se toman de la gama de uso privado definida en la RFC2409 para el atributo Método de Autenticación y se deberían usar entre partes con consentimiento mutuo.

Tipo	Valor	Explicación
GSMAutInitMT	65100	negociación IKE iniciada por el MT
GSMAutInitPAC	65101	negociación IKE iniciada por el PAC

La Figura 14 muestra cómo funciona el intercambio cuando el MT es el iniciador de la negociación IKE.

La excepción más significativa a las prácticas IKE normales, en las que únicamente los primeros dos mensajes afectan a la SA IKE negociada, es que el tiempo de vida final de la SA se fijará al valor de tiempo límite de la sesión seleccionado por la GAGW. Se considera que el tiempo límite inicial es suficientemente largo como para permitir la finalización de la negociación y la fijación del valor final.

La clave de acceso Kpac_MT entre el MT y el PAC se genera como SKEYID = prf(g^xy, CKY-I | CKY-R). Los valores para SKEYID_{a,d,e} se calculan según la forma habitual basándose en la SKEYID.

Si la GAGW puede reconocer la IMSI, calcula la SIGNrand. Para entregar el RAND y la SIGNrand al MT, el PAC usa, respectivamente, el MT_RAND y las cargas útiles de troceo (TROCEO(1)). Si existe la necesidad de enviar más de un RAND en un único mensaje, los mismos se pueden concatenar en la misma carga útil de MT_RAND, o se pueden enviar muchos MT_RAND. El receptor puede determinar sencillamente la opción del emisor, ya que el tamaño del RAND GSM no varía con frecuencia. Si la verificación de la IMSI falla, el PAC indica dicha situación al MT usando una carga útil de notificación con el tipo de notificación fijado a INFORMACIÓN-ID-NO-VÁLIDA. En la carga útil de notificación se pueden transmitir adicionalmente otros códigos de error, dependientes de la implementación.

La GAGW también distribuye información de facturación, la cual es reenviada por el PAC hacia el MT en una carga útil de notificación (NOTIFICACIÓN). El código de estado para la carga útil de notificación es INFO_FACTURA-
CIÓN, y usa el valor 32768 de la gama privada. A la persona que usa el MT se le debe consultar si aceptará la tarifa ofrecida. En caso afirmativo, o si se produce la expiración de un temporizador predefinido, el intercambio continúa con el mensaje siete. En cualquier otro caso, el MT envía un mensaje de notificación al PAC con el tipo de notificación ATRIBUTOS-NO-SOPORTADOS. El MT debería usar un temporizador relativamente efímero de manera que la máquina de protocolo en el PAC no se retarde de forma excesiva.

El MT calcula SIGNsres, y lo entrega en TROCEO(2) al PAC, el cual lo reenvía a la GAGW para la verificación. Si la verificación es satisfactoria, el mensaje de respuesta de la GAGW contiene una clave de acceso (Kpac_MT) entre el MT y el PAC para un uso posterior, y un valor de tiempo límite para la sesión del MT con la GAGW. El valor de tiempo límite seleccionado por la GAGW actualiza el correspondiente sobre el cual se ha llegado a un acuerdo previamente en la negociación IKE. Por esta razón, el PAC debe enviar una SA IKE actualizada al MT. El PAC no envía el valor Kpac_MT al MT, sino que en su lugar lo usa para cifrar el cuerpo de la carga útil SA actualizada. Esta situación se muestra como Kpac_MT. El valor SIGNresult de la GAGW se empaqueta en TROCEO(3) para el transporte IKE. Si la GAGW no puede verificar la identidad del MT, el PAC indica esta situación al MT usando una carga útil de notificación con el tipo de notificación fijado a FALLO-DE-AUTENTICACIÓN.

La Figura 15 muestra las pequeñas modificaciones realizadas en el procedimiento de la Figura 14 cuando el PAC es el iniciador. Se requiere un mensaje adicional para que el certificado comience a funcionar. El PAC podría incluir el certificado de la GAGW en el primer mensaje, aunque de esta manera el MT puede decidir si necesita el certificado. En la Figura 15 se omiten la GAGW, y las partes que no varían.

La Figura 16 ilustra el procedimiento en un sistema de autenticación según una forma de realización de la invención. La autenticación usa el Protocolo de Autenticación Extensible (EAP) conocido a partir de la RFC 2284, "PPP Extensible Authentication Protocol (EAP)"·, de L. Blunk y J. Vollbrecht, Marzo de 1998. La forma de realización de la Figura 16 también se puede combinar con cualquiera de las formas de realización descritas anteriormente.

El EAP es originariamente un marco de autenticación del Protocolo de Punto a Punto (PPP) el cual permite que un cliente PPP se autentique con su servidor AAA sin que sea necesario que el punto de acceso conozca los detalles del método de autenticación.

En esta forma de realización, el PAC reenvía paquetes EAP entre el MT y la GAGW, hasta que obtiene una indicación de éxito o fallo de la GAGW.

Usando el EAP, es necesario que los detalles del método de autenticación sean conocidos por el MT y el HAAA, aunque no por ningún autenticador intermedio tal como el PAC. De este modo, el protocolo EAP es de hecho un protocolo de cliente-servidor AAA en el que el autenticador es un relé que reenvía los paquetes EAP sin preocuparse de su contenido. El PAC está interesado únicamente en el resultado de la autenticación (éxito o fallo). Adicionalmente, se genera una clave de sesión como parte del proceso de autenticación, y esta clave se puede distribuir al
PAC.

La Figura 16 muestra los paquetes EAP que son transmitidos en una autenticación SIM satisfactoria. La autenticación EAP comienza típicamente con el PAC emitiendo para el MT una Solicitud EAP con el tipo 1 (Identidad). El MT responde con la Respuesta/Identidad EAP, que contiene la identidad del MT. En el entorno de desplazamiento itinerante, la identidad es el Identificador de Acceso a la Red (NAI).

Tras el paquete de Respuesta/Identidad EAP del MT, el terminal recibe solicitudes EAP del tipo GSMSIM provenientes del HAAA y envía las Respuestas EAP correspondientes. Los paquetes EAP del tipo GSMSIM también tienen un campo de Subtipo. La primera Solicitud EAP del tipo GSMSIM es del Subtipo Inicio. Este paquete contiene el número de versión de protocolo SIM GSM más pequeño y más grande soportado por el HAAA. La respuesta del MT (Respuesta /GSMSIM/Inicio EAP) contiene el número de versión del MT (el cual debe estar entre las versiones mínima y máxima de la Solicitud EAP), la propuesta del tiempo de vida de la clave del MT, y un número aleatorio MT_RAND, formado por el MT. Todos los paquetes sucesivos de Solicitud y Respuesta EAP contienen la misma versión que el paquete de Respuesta/GSMSIM/Inicio EAP del MT. Después de recibir la Respuesta/GSMSIM/Inicio EAP, el Servidor de autenticación obtiene n tripletas GSM de la red GSM y genera la clave de sesión compartida K.

La siguiente Solicitud EAP que envía el Servidor de Autenticación es del tipo GSMSIM y subtipo Desafío. Contiene los desafíos RAND, el tiempo de vida de la clave decidido por el HAAA, y un autenticador para el desafío y el tiempo de vida. Al recibir este mensaje, el MT ejecuta el algoritmo de autenticación GSM sobre la tarjeta SIM y calcula una copia del autenticador MAC_RAND. A continuación, el MT verifica que el MAC_RAND que ha calculado es igual al MAC_RAND recibido. Si los valores de los MAC_RAND no coinciden, en ese caso el MT cancela la autenticación SIM.

Si todo es correcto, el MT responde con la Respuesta/GSMSIM/Desafío EAP, que contiene la respuesta del MT MAC_SRES. El HAAA verifica que el MAC_SRES y envía el paquete de Éxito EAP, que indica que la autenticación fue satisfactoria. El HAAA incluye las claves de sesión obtenidas en el mensaje que envía al PAC.

Los paquetes EAP se pueden transportar entre el MT y el PAC por medio de un protocolo PPP en el caso de que el PAC sea un servidor de acceso telefónico. También se pueden usar otros protocolos. Por ejemplo, si el PAC es un Autenticador Entidad de Acceso al Puerto (PAE) en una Red de Área Local (LAN), en ese caso también se puede usar el protocolo de encapsulado EAP sobre LAN (EAPOL) propuesto por el proyecto IEEE P802.1X/D9, 29 de Noviembre de 2000.

Se han descrito implementaciones y formas de realización específicas de la invención. Es evidente para una persona con conocimientos habituales en la materia que la invención no se limita a los detalles de las formas de realización presentadas anteriormente, sino que se puede implementar en otras formas de realización usando medios equivalentes sin desviarse con respecto a las características de la invención. Por ejemplo, en una de las formas de realización, el MT es físicamente una unidad independiente con respecto a una estación móvil que tiene el SIM_B. En ese caso, el MT forma un enlace permanente o un enlace temporal con la estación móvil, por ejemplo, un enlace de radiofrecuencia de baja potencia tal como un enlace Bluetooth. En este caso, ni siquiera es necesario que la red de telecomunicaciones use módulos SIM separables para la autenticación. La funcionalidad SIM puede estar integrada en la estación móvil de forma inseparable, por ejemplo, la K_{i} o su equivalente se pueden almacenar en una memoria no volátil de la estación móvil. Naturalmente, el nodo móvil puede estar integrado con la estación móvil de manera que la funcionalidad de autenticación de la estación móvil sea accesible por una parte terminal con independencia de si la estación móvil está diseñada o no para usar un SIM. Todavía en otra de las formas de realización, la red de transmisión de datos por paquetes es una red de transmisión de datos por paquetes fija, por ejemplo, una LAN o una Red de Área Extensa. En otra de las formas de realización, la autenticación de la invención se usa para autenticar un nodo móvil para un servicio, por ejemplo, para un portal WWW o un servicio de banca por Internet. De este modo, el alcance de la invención queda limitado únicamente por las reivindicaciones de patente adjuntas.

Abreviaturas/Símbolos de referencia

AAA

Autenticación, Autorización y Contabilidad

FA

Agente Externo

FAAA

Servidor de Autenticación, Autorización y Contabilidad Externo

GAGW

Pasarela de Autenticación GSM

GSM

Sistema Global para comunicaciones Móviles

Tripleta GSM

RAND, Kc, y SRES

HA

Agente Local

HAAA

Servidor de Autenticación, Autorización y Contabilidad Local

HDR

Encabezamiento del Protocolo de Gestión de Claves y de Asociación de Seguridad de Internet (ISA KMP) cuyo tipo de intercambio define las clases de carga útil

HLR

Registro de Posiciones Base (un elemento de la red de telecomunicaciones GSM)

IMSI

Identidad de Abonado Móvil Internacional, usada en el GSM

IPsec

Protocolo Seguridad de Protocolo de Internet

ISAKMP

Protocolo de Gestión de Claves y de Asociación de Seguridad de Internet

Kc

Una clave de 64 bits de longitud producida por un SIM

K_{i}

Clave de autenticación de abonado, usada en el GSM y almacenada en la red de telecomunicaciones GSM (por ejemplo, en el HLR) y en el SIM

MD5

Resumen de Mensaje 5

MT

Nodo Móvil (cliente IP Móvil)

MSC

Centro de Conmutación Móvil (un elemento de la red de telecomunicaciones GSM)

MT

Nodo móvil

NAI

Identificador de Acceso a la Red, por ejemplo, usuario@nokia.com o imsi@gsm.org

RAND

Un número aleatorio de 128 bits usado como desafío en la autenticación GSM

MT_RAND

Una clave aleatoria para la protección contra ataques de respuesta, generada por el MT

SIM

Módulo de Identidad de Abonado

SPI

Índice de Parámetros de Seguridad

SRES

Respuesta Firmada, una respuesta de 32 bits en la autenticación GSM.

Claims (26)

1. Método de autenticación para autenticar un nodo móvil (MT) para una red de transmisión de datos por paquetes, que comprende las siguientes etapas:

la red de transmisión de datos por paquetes recibe una identidad de nodo móvil (IMSI) y un código de protección (MT_RAND) del nodo móvil, correspondiéndose la identidad del nodo móvil con un secreto compartido específico de la identidad del nodo móvil y utilizable por una red de telecomunicaciones;

la red de transmisión de datos por paquetes obtiene información de autenticación (Kc, SRES, RAND) utilizable por la red de telecomunicaciones, comprendiendo la información de autenticación un desafío (RAND) y un secreto de sesión (Kc, SRES) en correspondencia con la identidad del nodo móvil y obtenible usando el desafío y el secreto compartido (K_{i});

se forma información criptográfica (SIGNrand) usando por lo menos el código de protección (MT_RAND) y el secreto de sesión (Kc, SRES);

se envían el desafío (RAND) y la información criptográfica (SIGNrand) desde la red de transmisión de datos por paquetes hacia el nodo móvil (MT);

la red de transmisión de datos por paquetes recibe una primera respuesta (SIGNsres) en correspondencia con el desafío y sobre la base del secreto compartido; y

se verifica la primera respuesta (SIGNsres) para autenticar el nodo móvil.

2. Método según la reivindicación 1, que comprende además las siguientes etapas:

se proporciona al nodo móvil una identidad de abonado (IMSI) para la red de telecomunicaciones; y

el nodo móvil forma, a partir de la identidad de abonado, un Identificador de Acceso a la Red (NAI) como identidad de nodo móvil.

3. Método según la reivindicación 1 ó 2 que comprende además la etapa de reconocer la red de telecomunicaciones en la red de transmisión de datos por paquetes directamente a partir de la identidad del nodo móvil (IMSI).

4. Método según cualquiera de las reivindicaciones anteriores, que comprende además la etapa de obtener por parte de la red de transmisión de datos por paquetes una clave de sesión compartida (K, Kpac_MT) sobre la base del por lo menos un secreto de sesión (Kc, SRES).

5. Método según cualquiera de las reivindicaciones anteriores, que comprende además la etapa de proporcionar un enlace de comunicaciones entre la red de transmisión de datos por paquetes y el nodo móvil para comunicar el desafío entre ellos, no siendo el enlace de comunicaciones un enlace de la red de telecomunicaciones.

6. Método según cualquiera de las reivindicaciones anteriores, que comprende además las siguientes etapas:

se obtiene una segunda respuesta (SRES) a partir de la red de telecomunicaciones; y

se usa la segunda respuesta en la comprobación de la primera respuesta (SIGNsres).

7. Método según cualquiera de las reivindicaciones anteriores, que comprende además la etapa de retransmitir el desafío (RAND) desde la red de telecomunicaciones al nodo móvil (MT) por parte de la red de transmisión de datos por paquetes.

8. Método según cualquiera de las reivindicaciones anteriores, en el que el código de protección (MT_RAND) se basa en el tiempo.

9. Método según cualquiera de las reivindicaciones anteriores, en el que el desafío (RAND) se basa en códigos RAND de por lo menos dos tripletas de autenticación de la red de telecomunicaciones.

10. Método según cualquiera de las reivindicaciones anteriores, que comprende además la etapa de generar una clave de sesión compartida (K) para el Intercambio de Claves de Internet, en el que la clave de sesión compartida se basa en el por lo menos un secreto de sesión (Kc, SRES) y el por lo menos un desafío (RAND).

11. Método de autenticación en un nodo móvil para autenticar el nodo móvil (MT) para una red de transmisión de datos por paquetes, que comprende las siguientes etapas:

\vskip1.000000\baselineskip

se obtiene una identidad de nodo móvil (IMSI) y un secreto compartido (K_{i}) específico de la identidad del nodo móvil y utilizable por una red de telecomunicaciones;

se obtiene un código de protección (MT_RAND);

se envían la identidad del nodo móvil (IMSI) y el código de protección (MT_RAND) hacia la red de transmisión de datos por paquetes;

se recibe un desafío (RAND) e información criptográfica (SIGNrand) desde la red de transmisión de datos por paquetes;

se comprueba la validez de la información criptográfica (SIGNrand) usando el desafío (RAND) y el secreto compartido (K_{i});

se genera un secreto de sesión (Kc, SRES) y una primera respuesta (SIGNsres) en correspondencia con el desafío (RAND), sobre la base del secreto compartido (K_{i}); y

se envía la primera respuesta (SIGNsres) a la red de transmisión de datos por paquetes.

12. Método según la reivindicación 11, que comprende además la etapa de usar un Módulo de Identidad de Abonado (SIM_B) para la obtención de la identidad de nodo móvil (IMSI) y para la generación del secreto de sesión (Kc, SRES) sobre la base de un secreto compartido (K_{i}) específico para la identidad del nodo móvil.

13. Método según la reivindicación 12, en el que la etapa de obtener la identidad de nodo móvil (IMSI) y el secreto compartido (K_{i}) específico para la identidad del nodo móvil comprende además las siguientes subetapas:

se forma una conexión local entre el nodo móvil (MT) y un módulo de identidad de abonado (SIM_B); y

se recibe, desde el módulo de identidad de abonado en el nodo móvil, la identidad del nodo móvil (IMSI) y un secreto de sesión (Kc, SRES) específico de la identidad del nodo móvil.

14. Nodo móvil (MT) capaz de autenticarse para una red de transmisión de datos por paquetes, que comprende:

medios para obtener una identidad de nodo móvil (IMSI) y un secreto compartido (K_{i}) específico de la identidad del nodo móvil y utilizable por una red de telecomunicaciones;

medios (MPU) para obtener un código de protección (MT_RAND);

medios (RF1) para enviar la identidad del nodo móvil (IMSI) y el código de protección (MT_RAND) hacia la red de transmisión de datos por paquetes;

medios (RF1) para recibir un desafío (RAND) e información criptográfica (SIGNrand) desde la red de transmisión de datos por paquetes;

medios (MPU) para comprobar la validez de la información criptográfica (SIGNrand) usando el desafío (RAND) y el secreto compartido (K_{i});

medios (MPU) para generar un secreto de sesión (Kc, SRES) y una primera respuesta (SIGNsres) en correspondencia con el desafío (RAND), sobre la base del secreto compartido (K_{i}); y

medios (RF1) para enviar la primera respuesta (SIGNsres) a la red de transmisión de datos por paquetes.

15. Nodo móvil según la reivindicación 14, que comprende además medios (MPU) para comprobar la validez de la información criptográfica (SIGNrand) usando el desafío (RAND) y el secreto compartido (K_{i}); y medios (MPU) para generar el secreto de sesión (Kc) y la primera respuesta (SIGNsres) en correspondencia con el desafío (RAND), sobre la base del secreto compartido (K_{i}).

16. Nodo móvil según la reivindicación 14 ó 15, que comprende además:

medios para obtener una identidad de abonado (IMSI) para la red de telecomunicaciones; y

medios para formar, a partir de la identidad de abonado, un Identificador de Acceso a la Red (NAI) como identidad de nodo móvil.

17. Nodo móvil según cualquiera de las reivindicaciones 14 a 16, configurado para recibir el desafío de la red de transmisión de datos por paquetes a través de un enlace de comunicaciones que no es un enlace de la red de telecomunicaciones.

18. Nodo móvil según cualquiera de las reivindicaciones 14 a 17, que comprende además un Módulo de Identidad de Abonado (SIM_B) para proporcionar al nodo móvil (MT) una identidad de nodo móvil (IMSI) y para la generación del secreto de sesión (Kc, SRES) sobre la base de un secreto compartido (K_{i}) específico para la identidad del nodo móvil.

19. Nodo móvil según cualquiera de las reivindicaciones 14 a 18, configurado para recibir el desafío (RAND) desde la red de telecomunicaciones a través de la red de transmisión de datos por paquetes.

20. Nodo móvil según cualquiera de las reivindicaciones 14 a 19, en el que el código de protección (MT_RAND) se basa en el tiempo.

21. Nodo móvil según cualquiera de las reivindicaciones 14 a 20, en el que el desafío (RAND) se basa en códigos RAND de por lo menos dos tripletas de autenticación de la red de telecomunicaciones.

22. Nodo móvil según cualquiera de las reivindicaciones 14 a 21, que comprende medios (MPU) para generar una clave de sesión compartida (K) para el Intercambio de Claves de Internet, en el que la clave de sesión compartida se basa en el por lo menos un secreto de sesión (Kc, SRES) y el por lo menos un desafío (RAND).

23. Pasarela (GAGW) para actuar como interfaz entre una red de transmisión de datos por paquetes y una red de telecomunicaciones que dispone de un acceso a un servidor de autenticación (HAAA), comprendiendo la pasarela:

una entrada para recibir una identidad de nodo móvil (IMSI) y un código de protección (MT_RAND) desde la red de transmisión de datos por paquetes;

una salida para proporcionar al servidor de autenticación (HAAA) la identidad del nodo móvil (IMSI);

una entrada para recibir un desafío (RAND) y un secreto de sesión (Kc, SRES) en correspondencia con la identidad del nodo móvil desde el servidor de autenticación (HAAA);

un primer procesador (CPU) para formar información criptográfica (SIGNrand) usando por lo menos el código de protección (MT_RAND) y el secreto de sesión (Kc, SRES);

una salida para proporcionar a la red de transmisión de datos por paquetes el desafío (RAND) y la información criptográfica (SIGNrand) para su posterior transmisión hacia un nodo móvil;

una entrada para recibir una primera respuesta (SIGNsres) correspondiente al desafío, sobre la base de un secreto compartido (K_{i}) específico de la identidad de abonado (IMSI) y conocido por el nodo móvil y la red de telecomunicaciones, desde el nodo móvil a través de la red de transmisión de datos por paquetes; y

un segundo procesador para verificar la primera respuesta (SIGNsres) con vistas a autenticar el nodo móvil.

24. Sistema de comunicaciones, que comprende:

una red de telecomunicaciones;

una red de transmisión de datos por paquetes;

un nodo móvil (MT) que comprende un primer procesador para formar un código de protección (MT_RAND);

una pasarela (GAGW) para actuar como interfaz entre la red de transmisión de datos por paquetes con la red de telecomunicaciones;

un módulo de identidad de abonado (SIM_B) accesible por parte del nodo móvil (MT) que comprende una identidad de abonado (IMSI) y un secreto compartido (K_{i});

un servidor de autenticación (HAAA) para la red de telecomunicaciones que comprende el secreto compartido (K_{i}) del cual se ha establecido una correspondencia con la identidad de abonado (IMSI);

estando adaptado el servidor de autenticación (HAAA) para recibir la identidad de abonado (IMSI) y en respuesta devolver un desafío (RAND);

comprendiendo la pasarela (GAGW) un segundo procesador para formar información criptográfica (SIGNrand) sobre la base del código de protección (MT_RAND);

estando adaptado el nodo móvil (MT) para recibir desde la pasarela (GAGW) el desafío (RAND) y la información criptográfica (SIGNrand); y estando adaptado para proporcionar al módulo de identidad de abonado (SIM_B) el desafío (RAND) con vistas a recibir en respuesta una primera respuesta (SIGNsres) sobre la base del desafío (RAND) y el secreto compartido (K_{i});

estando adaptado además el primer procesador para verificar la información criptográfica (SIGNrand) usando el código de protección (MT_RAND) con vistas a autenticar la pasarela (GAGW) para el nodo móvil (MT); y

un tercer procesador (CPU) accesible por parte de la pasarela (GAGW) para verificar la primera respuesta (SIGNsres) con vistas a autenticar el nodo móvil (MT).

25. Producto de programa de ordenador para controlar un nodo móvil con vistas a autenticar el nodo móvil (MT) para una red de transmisión de datos por paquetes, que comprende:

código ejecutable por ordenador para posibilitar que el nodo móvil obtenga una identidad de nodo móvil (IMSI) y un secreto compartido (K_{i}) específico de la identidad de nodo móvil y utilizable por una red de telecomunicaciones;

código ejecutable por ordenador para posibilitar que el nodo móvil obtenga un código de protección (MT_RAND);

código ejecutable por ordenador para posibilitar que el nodo móvil envíe la identidad de nodo móvil (IMSI) y el código de protección (MT_RAND) a la red de transmisión de datos por paquetes;

código ejecutable por ordenador para posibilitar que el nodo móvil reciba un desafío (RAND) e información criptográfica (SIGNrand) desde la red de transmisión de datos por paquetes;

código ejecutable por ordenador para posibilitar que el nodo móvil compruebe la validez de la información criptográfica (SIGNrand) usando el desafío (RAND) y el secreto compartido (K_{i});

código ejecutable por ordenador para posibilitar que el nodo móvil genere un secreto de sesión (Kc, SRES) y una primera respuesta (SIGNsres) en correspondencia con el desafío (RAND), sobre la base del secreto compartido (K_{i}); y

código ejecutable por ordenador para posibilitar que el nodo móvil envíe la primera respuesta (SIGNsres) a la red de transmisión de datos por paquetes.

26. Producto de programa de ordenador para controlar una red de transmisión de datos por paquetes con vistas a autenticar un nodo móvil (MT), que comprende:

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes reciba una identidad de nodo móvil (IMSI) y un código de protección (MT_RAND) del nodo móvil a través de la red de transmisión de datos por paquetes, correspondiéndose la identidad del nodo móvil con un secreto compartido;

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes obtenga información de autenticación (Kc, SRES, RAND) utilizable por la red de telecomunicaciones, comprendiendo la información de autenticación un desafío (RAND) y un secreto de sesión (Kc, SRES) en correspondencia con la identidad del nodo móvil y obtenible usando el desafío y el secreto compartido (K_{i});

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes envíe un código de protección (MT_RAND) desde la red de transmisión de datos por paquetes al nodo móvil;

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes forme información criptográfica (SIGNrand) usando por lo menos el código de protección (MT_RAND) y el secreto de sesión (Kc, SRES);

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes envíe el desafío (RAND) y la información criptográfica (SIGNrand) desde la red de transmisión de datos por paquetes al nodo móvil (MT);

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes reciba una primera respuesta (SIGNsres) en correspondencia con el desafío y sobre la base del secreto compartido, por parte de la red de transmisión de datos por paquetes, desde el nodo móvil; y

código ejecutable por ordenador para posibilitar que la red de transmisión de datos por paquetes verifique la primera respuesta (SIGNsres) con vistas a autenticar el nodo móvil.