ES2271503T3 - Autentificacion entre una terminal movil de red celular y un punto de acceso de la red de corto alcance. - Google Patents
Autentificacion entre una terminal movil de red celular y un punto de acceso de la red de corto alcance. Download PDFInfo
- Publication number
- ES2271503T3 ES2271503T3 ES03292926T ES03292926T ES2271503T3 ES 2271503 T3 ES2271503 T3 ES 2271503T3 ES 03292926 T ES03292926 T ES 03292926T ES 03292926 T ES03292926 T ES 03292926T ES 2271503 T3 ES2271503 T3 ES 2271503T3
- Authority
- ES
- Spain
- Prior art keywords
- mobile terminal
- access point
- address
- access
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 230000001413 cellular effect Effects 0.000 title claims abstract description 31
- VJYFKVYYMZPMAB-UHFFFAOYSA-N ethoprophos Chemical compound CCCSP(=O)(OCC)SCCC VJYFKVYYMZPMAB-UHFFFAOYSA-N 0.000 title 1
- 238000000034 method Methods 0.000 claims abstract description 23
- 238000012790 confirmation Methods 0.000 claims abstract description 21
- 102100035261 FYN-binding protein 1 Human genes 0.000 claims description 40
- 108091011190 FYN-binding protein 1 Proteins 0.000 claims description 40
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000011664 signaling Effects 0.000 description 3
- 230000000295 complement effect Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- CSRZQMIRAZTJOY-UHFFFAOYSA-N trimethylsilyl iodide Substances C[Si](C)(C)I CSRZQMIRAZTJOY-UHFFFAOYSA-N 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 230000003313 weakening effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/73—Access point logical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Procedimiento de autentificación entre una red inalámbrica de corto alcance (RFP) que tiene puntos de acceso y una terminal móvil (TM) en una red de radiocomunicaciones celular (RC), caracterizado porque comprende las etapas siguientes: - transmisión (E2) de una demanda (RQ) que incluye una dirección (ADTM) de la terminal móvil y una dirección (ADAP) de un punto de acceso (AP) situado en la zona de cobertura de la terminal móvil (TM) relativa a la red de corto alcance, desde la terminal móvil a un medio de gestión (PFG) por medio de la red celular (RC), - determinación (E3) de un código secreto (CS) por el medio de gestión, - desde el medio de gestión (PFG), transmisión (E4, E5) de un mensaje de confirmación (MC) que incluye el código secreto y la dirección del punto de acceso extraída de la demanda a la terminal móvil por medio de la red celular y de un mensaje de solicitud de conexión (MDC) que incluye el código secreto y la dirección de la terminal móvil extraída de la demanda al punto de acceso (AP), - solicitud (E6) de conexión de la terminal móvil al punto de acceso designado por la dirección (ADAP) extraída del mensaje de confirmación (MC) a fin de que la terminal móvil (TM) y el punto de acceso (AP) determinen una clave de sesión (KS) en función de la dirección (ADAP) del punto de acceso, de la dirección (ADTM) de la terminal móvil y del código secreto (CS) extraído del mensaje de confirmación (MC) y del mensaje de solicitud de conexión (MDC), y - autentificación (E7 ¿ E10) de la terminal móvil (TM) por el punto de acceso (AP) en función de la clave de sesión (KS).
Description
Autentificación entre una terminal móvil de red
celular y un punto de acceso de la red de corto alcance.
La presente invención concierne de manera
general al establecimiento de una conexión entre un punto de acceso
de una red inalámbrica de corto alcance, del tipo Bluetooth o
Wi-Fi, y una terminal móvil de una red celular del
tipo GSM equipada con un módulo emisor-receptor para
comunicar con un punto de acceso de la red de corto alcance. La
misma concierne más particularmente a la generación de una clave de
enlace en la autentificación de la terminal móvil y del punto de
acceso de manera de aparearlos.
En materia de seguridad de un enlace de radio
específicamente Bluetooth, por ejemplo un usuario que desea
establecer un enlace Bluetooth entre un ordenador personal portátil
y una terminal móvil celular introduce un código de identificación
PIN a modo de clave secreta en los teclados del ordenador y de la
terminal móvil. El ordenador y la terminal móvil establecen cada
uno una clave de enlace en función de números aleatorios
intercambiados entre ellos, de la clave secreta, y de las
direcciones Bluetooth del ordenador y de la terminal móvil. Si por
ejemplo el ordenador personal es considerado como el autentificador
del enlace, el mismo genera un número aleatorio (prueba) que
comunica por la interfase radio Bluetooth con la terminal móvil. La
terminal calcula una respuesta que depende del número aleatorio
recibido, de la clave de enlace y de la dirección Bluetooth de la
terminal móvil a fin de que el ordenador compare la respuesta de la
terminal con aquella que el mismo ha calculado, lo que autentifica
la terminal móvil cuando hay identidad de las respuestas
comparadas.
El apareamiento del ordenador y de la terminal
necesita una clave secreta (código PIN) para compartir la clave de
enlace. La clave secreta debe ser suficientemente larga y ausente de
diccionarios para que la clave secreta no sea expuesta a ataques
cuyo objetivo es encontrar la misma para deducir la clave de enlace
y otra clave de cifrado. Tales ataques ponen nuevamente en causa la
autentificación y la integridad de los datos intercambiados.
Para prevenir esos ataques, la clave secreta
debe ser relativamente larga, lo que provoca una introducción
laboriosa y sujeta a errores, específicamente en la terminal móvil
cuya interfase hombre-máquina es limitada.
La solicitud de patente US 2002/031228 A1
divulga un dispositivo de acceso por ejemplo para abrir una puerta
de habitación de hotel. El dispositivo de acceso puede estar
conectado por medio de un enlace Bluetooth a una terminal móvil de
una red de telecomunicaciones celular. La terminal móvil requiere
una conexión con un servidor asociado al hotel por medio de la red
celular o un enlace Bluetooth. El servidor transmite entonces una
clave a la terminal móvil. Después de una conexión al dispositivo de
acceso, la terminal móvil envía la clave al dispositivo de acceso
que compara la clave recibida con una clave memorizada en el
dispositivo de acceso a fin de validarla y proporcionar el acceso a
la habitación. No está prevista ninguna autentificación de la
terminal móvil por el dispositivo de acceso.
El artículo de Uri Blumenthal y otros, "A
Scheme for Authentification and Dynamic Key Exchange in Wireless
Networks", Bell Labs Technical Journal 7(2), P.
37-48, 2002, describe una combinación de
autentificaciones para una terminal móvil que depende de una red
"doméstica" de corto alcance donde un servidor de autenticación
contiene una clave secreta igualmente memorizada previamente en la
terminal móvil, cuando está en enlace con un punto de acceso unido
a un servidor de autentificación de otra red de corto alcance
llamada red "extranjera". El servidor de la red doméstica
autentifica a la vez la terminal móvil y el servidor de la red
extranjera sobre la base de un primer "autentificador" que es
calculado por la terminal móvil en función de la clave secreta, de
números aleatorios proporcionados por el servidor de la red
extranjera y la terminal y de un identificador de la terminal. El
primer autentificador es transmitido al servidor de la red doméstica
a través del punto de acceso y el servidor de la red extranjera. El
servidor de la red doméstica recalcula el primer autentificador en
función específicamente de la clave secreta memorizada encontrada en
correspondencia con el identificador de la terminal transmitida por
el servidor de la red extranjera.
Si la terminal es autentificada a continuación
de una igualdad de los primeros autentificadores transmitidos y
recalculados independientes de cualquier clave de sesión, el
servidor de la red doméstica genera un segundo
"autentificador" en función de la clave secreta, de los números
aleatorios y del identificador de la terminal y calcula una clave
de sesión en función de la clave secreta, de un tercer número
aleatorio y del segundo autentificador. El segundo autentificador
es transmitido a la terminal a través del servidor de la red
extranjera y del punto de acceso para que la terminal recalcule el
segundo autentificador y autentique el servidor de la red doméstica
cuando los segundos autentificadores transmitidos y recalculados son
iguales. Después de esta segunda autentificación independiente de
la clave de sesión, la terminal genera la clave de sesión.
Todos los parámetros precedentes son
transmitidos a través del enlace terminal móvil - punto de acceso -
servidor de la red extranjera - servidor de la red doméstica, sin
ningún enlace a través de la red doméstica entre la terminal móvil
y el servidor de la red doméstica, lo que impone memorizar
previamente la clave secreta en la terminal móvil y el servidor de
la red doméstica para respetar una seguridad de las
autentificaciones, debilitando las autentificaciones por la
utilización de la misma clave secreta para generar la clave de
sesión de cada sesión entre la terminal móvil y un punto de
acceso.
La solicitud de patente WO 02/07135 A1 concierne
a la activación de un borne interactivo unido a una red de
telecomunicación desde una terminal móvil en una red de
radiotelefonía. La terminal móvil señala su presencia en las
cercanías del borne, específicamente por transmisión de un mensaje
que comprende el identificador de terminal y un identificador de
zona de localización de la red de radiotelefonía a un medio de
gestión que invita al usuario de la terminal a aproximarse al borne
más próximo sobre el cual el usuario es autentificado por medio de
un código secreto leído en una tarjeta de memoria, o de una huella
biométrica del usuario, transmitida por el borne a un servidor. La
solicitud de patente WO 02/07135 A1 no sugiere ninguna
autentificación mutua de la terminal móvil y el borne a través de
la red de radiotelefonía.
La invención tiene como objetivo asegurar el
establecimiento de una conexión entre una terminal móvil celular y
un punto de acceso de una red inalámbrica de corto alcance sin
necesitar la introducción de una clave secreta (código PIN),
asegurando completamente la utilización de tal clave que puede ser
muy larga y renovada en cada sesión entre la terminal móvil y un
punto de acceso.
Para alcanzar este objetivo, un procedimiento de
autentificación que precede una sesión entre una red inalámbrica de
corto alcance que tiene puntos de acceso y una terminal móvil en una
red de radiocomunicaciones celular, está caracterizado porque
comprende las etapas siguientes:
- transmisión de una demanda que incluye una
dirección de la terminal móvil y una dirección de un punto de
acceso situado en la zona de cobertura de la terminal móvil relativa
a la red de corto alcance, desde la terminal móvil a un medio de
gestión por medio de la red celular,
- determinación de un código secreto por el
medio de gestión,
- desde el medio de gestión, transmisión de un
mensaje de confirmación que incluye el código secreto y la
dirección del punto de acceso extraída de la demanda a la terminal
móvil por medio de la red celular y de un mensaje de solicitud de
conexión que incluye el código secreto y la dirección de la terminal
móvil extraída de la demanda al punto de acceso,
- solicitud de conexión de la terminal móvil al
punto de acceso designado por la dirección extraída del mensaje de
confirmación a fin de que la terminal móvil y el punto de acceso
determinen una clave de sesión en función de la dirección del punto
de acceso, de la dirección de la terminal móvil y del código secreto
extraído del mensaje de confirmación y del mensaje de solicitud de
conexión, y
- autentificación de la terminal móvil por el
punto de acceso en función de la clave de sesión.
La autentificación puede comprender una
solicitud de determinación desde el punto de acceso de una respuesta
en función de la clave de sesión a la terminal móvil que transmite
la respuesta al punto de acceso, por medio de la red de corto
alcance, y en el punto de acceso, una determinación de una respuesta
en función de la clave de sesión y una comparación de las
respuestas para autorizar la abertura de una sesión entre el punto
de acceso y la terminal móvil cuando al menos las respuestas
comparadas son idénticas.
De preferencia, la autentificación precedente de
la terminal móvil por el punto de acceso es completada por una
autentificación del punto de acceso por la terminal móvil en función
de la clave de sesión, cuando el punto de acceso ha autentificado
la terminal móvil. En ese caso, el procedimiento puede comprender a
continuación de una identidad de las respuestas comparadas en el
punto de acceso, una invitación trasmitida a la terminal móvil a
fin de que la terminal móvil autentifique el punto de acceso
solicitando al punto de acceso determinar una segunda respuesta en
función de la clave de sesión y transmitir la segunda respuesta a la
terminal móvil por medio de la red de corto alcance, determinando
una segunda respuesta en función de la clave de sesión y comparando
las segundas respuestas a fin de autorizar la abertura de la sesión
solamente después de una identidad de las segundas respuestas
comparadas en la terminal móvil.
En la práctica, es preferible que la terminal
móvil busque varios puntos de acceso en la zona de cobertura de la
terminal móvil a fin de introducir direcciones de los puntos de
acceso encontrados en la demanda. El medio de gestión selecciona
entonces la dirección de un punto de acceso óptimo entre las
direcciones de punto de acceso extraídas de la demanda según uno o
varios criterios predeterminados para introducir la dirección del
punto de acceso óptimo en el mensaje de confirmación transmitido a
la terminal móvil y el mensaje de solicitud de conexión transmitido
al punto de acceso óptimo.
Según una variante, el medio de gestión
determina la clave de sesión en lugar de las determinaciones de la
clave de sesión en la terminal móvil y el punto de acceso, e
introduce la clave de sesión determinada en lugar del código
secreto en el mensaje de confirmación y el mensaje de solicitud de
conexión a fin de que durante la autentificación las respuestas a
comparar sean determinadas específicamente en función de la clave de
sesión extraída de los mensajes precedentes.
La invención concierne igualmente a un sistema
de autentificación entre una red inalámbrica de corto alcance que
tiene puntos de acceso y una terminal móvil en una red de
radiocomunicaciones celular que está caracterizada según la
reivindicación 14.
En una variante, el medio de gestión puede
determinar el mismo la clave de sesión y introducirla en lugar del
código secreto en el mensaje de confirmación y el mensaje de
solicitud de conexión.
Otras características y ventajas de la presente
invención aparecerán más claramente con la lectura de la descripción
que sigue de varias realizaciones preferidas de la invención, a
título de ejemplos no limitativos, con referencia a los dibujos
anexos correspondientes en los cuales:
- la figura 1 es un diagrama en bloque
esquemático de un sistema de telecomunicaciones que comprende una
terminal móvil en una red de radiocomunicaciones celular y al menos
un punto de acceso en una red inalámbrica de corto alcance para
llevar a cabo el procedimiento de autentificación según la
invención; y
- la figura 2 muestra etapas principales de un
algoritmo del procedimiento de autentificación entre la terminal
móvil y el punto de acceso según la invención.
El sistema de telecomunicaciones mostrado en la
figura 1 para llevar a cabo el procedimiento de autentificación
según la invención comprende esencialmente una terminal celular
móvil TM en una red de radiocomunicaciones celular RC, uno o varios
puntos de acceso AP unidos por una red de distribución RD en una red
inalámbrica de corto alcance RFP que da acceso a una red de
paquetes de alto flujo RP, tal como Internet, y una plataforma de
gestión PFG propia de la invención. A modo de ejemplo, la red
celular RC es una red GSM y la red inalámbrica de corto alcance RFP
es una red Bluetooth.
La terminal móvil TM comprende dos interfases
radio respectivamente con la red celular RC y la red de corto
alcance RFP.
Los puntos de acceso AP y en una variante las
terminales móviles comprenden cada uno un generador
pseudo-aleatorio y generan cada uno un algoritmo de
autentificación AA para producir respuestas RP1, RP2 cada una en
función de un número aleatorio, de un código secreto y de la
dirección de terminal móvil o de punto de acceso en la red de corto
alcance RFP. Un algoritmo de clave de sesión AS es igualmente
implementado en los puntos de acceso y la terminal móvil.
La red celular RC, tal como una red GSM, es
representada esquemáticamente en la figura 1 por medios principales
a los cuales la terminal móvil TM está conectada temporalmente tal
como una estación de base BTS, un controlador de estación de base
BSC, un conmutador del servicio móvil MSC asociado a un registrador
de localización de los visitantes VLR, y un registrador de
localización nominal HLR.
La plataforma de gestión PFG está unida al
registrador de localización nominal HLR, tanto directamente como un
centro de autentificación (no representado) unido al registrador
HLR, o como servidor a través de una red intermedia tal como la
Internet RP. La plataforma PFG puede estar igualmente unida a un
centro de mensajes cortos SMSC (Short Mesage Service Center) cuando
demandas RQ le son transmitidas bajo la forma de mensajes cortos
por terminales móviles, y/o puede estar unida a un centro de mensaje
de señalización USSD (Unstructured Supplementary Service Data)
cuando demandas RQ le son transmitidas bajo la forma de mensajes
USSD por terminales móviles. Los mensajes USSD son transmitidos en
el curso de verdaderas sesiones establecidas y más rápidamente que
los mensajes cortos. El centro de mensajes cortos y el centro de
mensajes de señalización serán designados a continuación
indiferentemente por "centro de mensajes CM". La plataforma PFG
contiene específicamente un generador
pseudo-aleatorio para generar códigos secretos CS a
la solicitud de las terminales móviles, tal como la terminal TM.
Los códigos secretos presentan según la invención, una gran longitud
típicamente de al menos dieciséis octetos, o sea una longitud
superior a 128 bits.
La plataforma PFG contiene, según variantes de
la invención, una base de datos que lista las direcciones ADAP de
los puntos de acceso AP de varias redes inalámbricas de corto
alcance, en asociación con las localizaciones geográficas de los
puntos de acceso AP con relación a zonas de localización
determinadas ZL en la red celular RC. Se recuerda que una zona de
localización en una red celular recubre varias células
respectivamente asociadas a estaciones de base BTS y que un
conmutador MSC administra una o varias zonas de localización.
Como se verá a continuación, la plataforma PFG
constituye un medio de gestión intermedio entre una terminal móvil
TM y un punto de acceso AP a fin de trasmitirles un código secreto
CS para proceder a su autentificación. Según variantes descritas
más adelante, la plataforma PFG sirve igualmente para seleccionar un
punto de acceso óptimo en respuesta a una demanda RQ de una
terminal móvil.
En la figura 1 está representada solamente una
red inalámbrica de corto alcance; se comprenderá que la terminal
móvil TM puede comunicar con cualquier red inalámbrica de corto
alcance particularmente en un lugar público, tal como una estación,
una galería de mercadería, una estación aérea, un hotel, etc. Un
punto de acceso radio AP es por ejemplo un borne dotado de una
interfase radio Bluetooth para poder comunicar en un radio de
algunas decenas de metros con terminales móviles TM, y una
interfase de línea para comunicar por una parte con otras puntos de
acceso AP a través de la red de distribución RD, si existe, de la
red inalámbrica de corto alcance, y por otra parte para ofrecer
comunicaciones de paquetes de alto flujo a las terminales móviles
gracias a un enlace de la red de distribución RD con la Internet
RP. En ciertas configuraciones de la red inalámbrica de corto
alcance, la red de distribución RD es una red intranet que está
unida directamente por líneas xDSL a la Internet RP, o bien la red
de distribución RD está confundida con la Internet RP y cada punto
de acceso AP está unido directamente a la Internet RP a través de
líneas xDSL.
Como se muestra en la figura 2, el procedimiento
de autentificación según una realización preferida de la invención
comprende esencialmente etapas E1 a E17. Inicialmente, la terminal
móvil TM ha sido puesta en marcha y reconocida por la red celular
RC en una zona cubierta radio-eléctricamente por
ésta. La terminal TM en estado de vigilancia es así localizada en
una zona de localización ZL de la red RC y una identidad temporal
TMSI le ha sido atribuida por el registrador VLR conectado a esta
zona de localización, como es conocido.
En la etapa E1, el usuario de la terminal TM que
penetra en la zona de cobertura de la red inalámbrica de corto
alcance RFP con los puntos de acceso AP decide seleccionar un menú
Bluetooth sobre su terminal TM, y particularmente un
sub-menú de búsqueda (inquiry mode) de puntos de
acceso AP. Los puntos de acceso AP bajo la forma de bornes pueden
ser buscados, es decir escrutan cada uno periódicamente la presencia
de una terminal móvil para detectar una interrogación (inquiry)
transmitida por las terminales móviles. Por esa vía, la terminal
móvil TM recibe las direcciones ADAP de los puntos de acceso
situados en la zona de cobertura de la terminal móvil TM relativa a
la red de corto alcance RFP. La terminal TM escoge entre las
respuestas a su búsqueda que la misma recibe, las direcciones de
las entidades de la red de corto alcance RFP que corresponden a las
clases de dispositivos asociados a los puntos de acceso, a fin de
descartar cualquier dirección que provenga de un dispositivo
cualquiera equipado con un módulo de
emisión-recepción compatible con la red RFP, tal
como una terminal telefónica móvil, un asistente numérico personal
PDA, un ordenador portátil, etc.
En la etapa E2, las direcciones ADAP de los
puntos de acceso disponibles y encontrados durante la búsqueda
precedente son memorizados en la terminal TM e introducidos en una
demanda RQ a transmitir a la plataforma de gestión PFG a través de
la red fija de la red celular RC. La demanda RQ comprende la
dirección ADTM de la terminal TM pre-memorizada en
la misma a fin de que la plataforma PFG pueda comunicarla a los
puntos de acceso seleccionados posteriormente. La demanda RQ
comprende como dirección de destinatario un identificador IDPFG de
la plataforma PFG que ha sido pre-memorizado en la
terminal móvil TM. La demanda RQ puede estar bajo la forma de un
mensaje corto o de un mensaje de señalización USSD y la plataforma
PFG está entonces unida al centro de mensajes correspondientes
CM.
Una vez que la demanda RQ ha sido emitida
automáticamente por la terminal TM y recibida por la plataforma
PFG, la plataforma examina la lista de las direcciones de punto de
acceso ADAP extraída de la demanda RQ a fin de seleccionar el punto
de acceso óptimo en función de uno o varios criterios
predeterminados en la etapa E3. La selección del punto de acceso
óptimo es precedida por una verificación del perfil del usuario de
la terminal móvil TM identificado por un identificador permanente
IMSI a fin de autorizarlo a acceder a un punto de acceso de la red
inalámbrica de corto alcance RFP.
Según una primera variante, un criterio
predeterminado es relativo a una comparación de niveles de potencia
de señales de referencia emitidas por los puntos de acceso
encontrados por la terminal móvil TM, recibidos por la terminal TM.
En esta variante, la terminal TM incluye igualmente, en asociación
con cada dirección ADAP de punto de acceso disponible y encontrado
en la demanda transmitida RQ, un nivel de potencia NP recibido en
la terminal. La terminal transmite entonces la demanda RQ con pares
ADAP, NP a la plataforma de gestión PFG que compara los niveles de
potencia recibidos NP a fin de determinar el mayor nivel de potencia
recibido y seleccionar el punto de acceso AP asociado al nivel más
alto de potencia recibido, como punto de acceso óptimo, para
establecer una conexión con la terminal TM.
Según una variante cualquiera poco similar a la
precedente, el punto de acceso óptimo que tiene el mayor nivel de
potencia recibido por la terminal móvil es buscado y seleccionado en
la etapa E1 entre puntos de acceso disponibles y encontrados en la
zona de cobertura de la terminal móvil TM, por la terminal móvil TM
propiamente en lugar de la plataforma PFG. La demanda RQ solo
contiene la dirección ADAP del punto de acceso óptimo AP en lugar
de la lista de los pares ADAP, NP.
Según una segunda variante, un criterio
predeterminado es relativo a una comparación de cargas de tráfico
de los puntos de acceso AP disponibles y encontrados por la terminal
móvil TM a fin de que la plataforma de gestión PFG seleccione el
punto de acceso que tiene la carga más pequeña de tráfico como punto
de acceso óptimo. Las cargas de tráfico de los puntos de acceso AP
de la red de corto alcance RFP son recibidas por la red de
distribución RD que las comunica periódicamente, por medio de
Internet RP o una línea especializada, con la plataforma PFG para
una actualización de la base de datos relativos a los puntos de
acceso.
Según una variante complementaria a combinar con
la primera o segunda variante precedente, la plataforma PFG
interroga al registrador de localización nominal HLR de la red
celular RC a fin de leer el identificador IDZL de la zona de
localización donde se encuentra la terminal TM en la red celular,
antes de la selección de la dirección de punto de acceso óptimo. En
función del indicador de zona de localización IDZL, la plataforma
PFG elimina las direcciones ADAP de la lista incluida en la demanda
RQ, que designan puntos de acceso disponibles y encontrados AP que
están situados en el exterior de la zona de localización incluyendo
la terminal móvil TM y definidos en la red celular. Esta variante
complementaria evita que una terminal móvil se substituya en el
punto de acceso declarándose con una dirección de un punto de acceso
muy alejado de la terminal móvil, a fin de comunicar con la misma.
Luego el punto de acceso óptimo es seleccionado por la plataforma
PFG o tomando simplemente la dirección del primer punto de acceso
de la lista extraída de la demanda RQ, o combinando esta variante
con la variante de los niveles de potencia o de cargas de tráfico de
los puntos de acceso a fin de seleccionar el punto de acceso que
presenta el mayor nivel de potencia o la carga de tráfico más
pequeña entre aquellas situadas en la zona de localización.
En la etapa E3, igualmente el generador
pseudo-aleatorio en la plataforma de gestión PFG
determina un código secreto CS que tiene una gran longitud, al
menos igual a 128 bits.
La plataforma PFG prepara entonces seguidamente
dos mensajes.
En la etapa E4, un mensaje de confirmación MC
que contiene la dirección ADAP del punto de acceso óptimo y el
código secreto producido CS es establecido por la plataforma PFG
para transmitirlo a la terminal móvil TM a través de la red celular
RC. El mensaje MC es del mismo tipo que la demanda RQ, es decir un
mensaje corto SM o un mensaje USSD, y transita a través del centro
de mensajes correspondiente CM. El código secreto CS extraído del
mensaje MC es memorizado en asociación con la dirección de punto de
acceso óptimo ADAP en la terminal móvil TM. La terminal TM posee en
la etapa E4 el código secreto CS, como si, según la técnica
anterior, el usuario hubiera introducido el código PIN en el
teclado de la terminal.
De manera paralela a la etapa E4, la plataforma
PFG establece un mensaje de solicitud de conexión MDC que incluye
la dirección ADTM de la terminal móvil TM, la dirección ADAP del
punto de acceso óptimo y el código secreto generado CS con destino
al punto de acceso óptimo AP en la red inalámbrica de corto alcance,
en la etapa E5. El mensaje de solicitud de conexión MDC está bajo
la forma de un paquete IP (Internet Protocol) que transita a través
de la Internet RP hacia la red de distribución RD de la red
inalámbrica de corto alcance RFP. El código secreto CS extraído del
mensaje MDC es memorizado en asociación con la dirección ADTM en el
punto de acceso óptimo AP.
En respuesta a la dirección ADAP del punto de
acceso óptimo AP extraído del mensaje de confirmación MC recibido
por la terminal móvil TM, la misma tiende a conectarse al punto de
acceso óptimo AP así identificado invitando al punto de acceso
óptimo a autentificarla. En la etapa E6, la terminal móvil TM emite
una primera trama T1 que contiene la dirección de la terminal ADTM,
la dirección ADAP del punto de acceso óptimo y un indicador de
solicitud de conexión y de determinación de la clave de sesión
DC.
El punto de acceso óptimo en modo de búsqueda
periódica reconoce que la trama T1 le está destinada. La terminal
móvil y el punto de acceso determinan entonces cada uno una clave de
sesión común KS aplicando al algoritmo de clave de sesión AS la
dirección de la terminal móvil ADTM, la dirección ADAP del punto de
acceso, el código secreto CS y uno o varios números aleatorios RAND
intercambiados entre ellos a través de la red de corto alcance RFP.
El código secreto CS utilizado en la terminal móvil es así extraído
en el mensaje de confirmación MC, mientras que el código secreto CS
utilizado en el punto de acceso AP es aquel extraído del mensaje de
solicitud de conexión MDC. La terminal móvil TM y el punto de
acceso óptimo AP son así apareados. La clave de sesión KS es
memorizada en la terminal y el punto de acceso, y es utilizada,
específicamente para la autentificación y un cifrado de datos,
solamente hasta la desconexión del punto de acceso AP y de la
terminal móvil TM.
La autentificación de la terminal móvil TM es
seguidamente desencadenada por el punto de acceso óptimo emitiendo
en respuesta a la primera trama T1, una trama T2 que incluye la
dirección de punto de acceso óptimo ADAP, la dirección ADTM de la
terminal TM, un número aleatorio RAP generado por el generador
pseudo-aleatorio en el punto de acceso y un
indicador de solicitud de respuesta DRP hacia la terminal móvil TM,
en la etapa E7.
El procedimiento pasa seguidamente a las etapas
E8, E9 y E10 relativas a una autentificación propiamente dicho de
la terminal móvil TM por el punto de acceso óptimo AP. Con la
recepción de la trama T2 con el indicador de solicitud de
respuesta, en la etapa E8 la terminal móvil TM aplica el número
aleatorio RAP extraído de la trama T2, la clave de sesión KS
determinada en la etapa E6 y su dirección ADTM al algoritmo de
autentificación AA que produce una respuesta RP1. Igualmente en la
etapa E8, el punto de acceso óptimo AP ejecuta una aplicación
análoga: RP1 = AA (RAP, KS, ADTM), pero en la cual la clave de
sesión es aquella que el mismo ha determinado en la etapa E6 y
asociada a la dirección ADTM. Luego la terminal móvil emite, en la
etapa E9, una trama T3 que incluye, además de las direcciones ADTM
y ADAP, la respuesta RP1 = AA (RAP, KS, ADTM) que ha sido
determinada en la terminal móvil. La trama T3 es reconocida por el
punto de acceso óptimo AP que en la etapa E10 compara la repuesta
RP1 determinada en el punto de acceso óptimo con la respuesta RP1
extraída de la trama recibida T3. Si las respuestas RP1 comparadas
son idénticas, el punto de acceso óptimo AP autoriza la abertura de
una sesión a través del mismo desde la terminal móvil TM hacia la
red de distribución RD y la Internet RP, en la etapa E16.
La clave de sesión KS para esta sesión abierta
será utilizada para determinar la clave de sesión de una sesión
siguiente entre la terminal móvil TM y el punto de acceso AP si la
clave de sesión KS no ha sido mientras tanto borrada con la
expiración de una duración a contar desde la memorización de la
clave KS, predeterminada por el operador que administra el punto de
acceso.
Según una variante más completa relativa a una
autentificación mutua, cuando el punto de acceso óptimo AP ha
autentificado la terminal móvil TM en la etapa E10, el punto de
acceso óptimo AP emite en la etapa E11 una trama T4 que contiene
las direcciones ADAP y ADTM y un indicador IA para invitar a la
terminal TM a autentificarla.
En respuesta a la trama precedente T4, la
terminal móvil TM desencadena la autentificación del punto de acceso
óptimo emitiendo una trama T5 destinada al punto de acceso óptimo
de dirección ADAP. La trama T5 incluye un número aleatorio RTM
generado por el generador pseudo-aleatorio en la
terminal móvil y un indicador de solicitud de respuesta DRP, en la
etapa E12. A continuación de la trama T5, en la etapa E13 el punto
de acceso AP aplica el número aleatorio RTM extraído de la trama
T5, la clave de sesión KS determinada en la etapa E6 y su dirección
ADAP al algoritmo de autentificación AA que produce una segunda
respuesta RP2. Igualmente en la etapa E13, la terminal móvil TM
ejecuta una aplicación: RP2 = AA (RTM, KS, ADAP), pero en la cual la
clave de sesión es aquella que ha determinado en la etapa E6 y
asociada a la dirección ADAP. Luego el punto de acceso óptimo AP
emite una trama T6 que incluye, además las direcciones ADAP y ADTM,
la respuesta RP2 = AA (RTM, KS, ADAP) que ha sido determinada en el
punto de acceso óptimo. La trama T6 es reconocida por la terminal
móvil TM quien en la etapa E15 compara la respuesta RP2 determinada
en la terminal móvil con la respuesta RP2 extraída de la trama
recibida T6. Si las respuestas RP2 comparadas son idénticas, la
terminal TM confirma por la emisión de otra trama la abertura de la
sesión solicitada en el punto de acceso óptimo AP en la etapa
E16.
En una variante, la clave de sesión KS no es
determinada separadamente por la terminal móvil TM y el punto de
acceso óptimo AP en la etapa E6 sino que es determinada previamente
por la plataforma de gestión PFG, en la etapa E3. La plataforma
genera de una manera aleatoria una clave de sesión KS del mismo
tamaño que aquella según la realización descrita
precedentemente.
Sin embargo, a fin de asegurar una coherencia,
la plataforma puede contener el algoritmo de clave de sesión AS. Al
final de la etapa E3, la plataforma ha seleccionado el punto de
acceso óptimo y ha asociado la dirección ADAP del punto de acceso
óptimo a la dirección ADTM de la terminal móvil extraída de la
demanda RQ, lo que le permite determinar la clave de sesión
aplicando las direcciones ADAP y ADTM, el código secreto CS y uno o
varios números aleatorios RAND al algoritmo AS, o sea:
KS = AS (ADAP, ADTM, CS, RAND).
En las etapas E4 y E5, la plataforma de gestión
PFG introduce la clave de sesión determinada KS en el lugar del
código secreto CS en el mensaje de confirmación MC transmitido a la
terminal móvil y en el mensaje de solicitud de conexión MDC
transmitido al punto de acceso óptimo para que el punto de acceso
óptimo y la terminal móvil utilicen la clave de sesión KS para la
autentificación E6 a E10 o E6 a E15 y después la sesión abierta en
la etapa E16, la etapa E6 no comprendiendo la determinación de clave
de sesión KS.
Como es indicado en la etapa E17, si la
autentificación de la terminal móvil por el punto de acceso óptimo
ha fracasado, es decir si las respuestas RP1 comparadas en la etapa
E10 son diferentes, o si la autentificación mutua ha fracasado, es
decir si las respuestas RP2 comparadas en la etapa E15 son
diferentes, una tentativa de solicitud de abertura de sesión es
reiterada procediendo a la ejecución de las etapas E6 a E10 según la
realización de autentificación de la terminal por el punto de
acceso óptimo, o de las etapas E6 a E15 según la variante de
autentificación mutua.
En la práctica, las etapas de solicitud de
conexión, de determinación de respuestas y de comparación de
respuestas E6 a E10 o E6 a E15 pueden ser reiteradas a lo máximo N
veces mientras que las respuestas comparadas RP1 o RP2 son
diferentes, N siendo un número predeterminado de iteraciones por
ejemplo igual a 3.
Si después de N iteraciones de solicitud de
conexión en la etapa E17, la autentificación ha fracasado, es decir
las respuestas comparadas son todavía diferentes, el procedimiento
puede regresar automáticamente a la etapa E2 a fin de ejecutar las
etapas siguientes E3 a E17 relativamente en la dirección ADAP de
otro punto de acceso seleccionado según los criterios
predeterminados, por ejemplo entre la lista incluida en la demanda
RQ, como se indicó en una etapa intermedia E18. La selección de este
otro punto de acceso en la lista excluye naturalmente el último
punto de acceso óptimo que ha sido precedentemente seleccionado y
para el cual N tentativas de conexión han fracasado. El otro punto
de acceso óptimo seleccionado está situado en la zona de cobertura
de la terminal móvil TM relativa a la red de corto alcance RFP y
puede ser el punto de acceso que presenta el mayor nivel de
potencia recibida o la carga más pequeña de tráfico en la lista
restante, o aquel que sucede al último punto de acceso óptimo
seleccionado en la lista.
Aunque la invención haya sido descrita para una
red celular de tipo GSM y una red inalámbrica de corto alcance del
tipo Bluetooth, la invención es igualmente aplicable en el contexto
de una red de radiocomunicaciones para móviles del tipo UMTS o más
generalmente del tipo de tercera generación, y a otras redes
inalámbricas de corto alcance por ejemplo del tipo según la norma
IEEE 802.11b y según las otras normas siguientes a aquella, es
decir para redes igualmente llamadas redes Wi-Fi
(Wireless Fidelity).
Claims (15)
1. Procedimiento de autentificación entre una
red inalámbrica de corto alcance (RFP) que tiene puntos de acceso y
una terminal móvil (TM) en una red de radiocomunicaciones celular
(RC), caracterizado porque comprende las etapas
siguientes:
- transmisión (E2) de una demanda (RQ) que
incluye una dirección (ADTM) de la terminal móvil y una dirección
(ADAP) de un punto de acceso (AP) situado en la zona de cobertura de
la terminal móvil (TM) relativa a la red de corto alcance, desde la
terminal móvil a un medio de gestión (PFG) por medio de la red
celular (RC),
- determinación (E3) de un código secreto (CS)
por el medio de gestión,
- desde el medio de gestión (PFG), transmisión
(E4, E5) de un mensaje de confirmación (MC) que incluye el código
secreto y la dirección del punto de acceso extraída de la demanda a
la terminal móvil por medio de la red celular y de un mensaje de
solicitud de conexión (MDC) que incluye el código secreto y la
dirección de la terminal móvil extraída de la demanda al punto de
acceso (AP),
- solicitud (E6) de conexión de la terminal
móvil al punto de acceso designado por la dirección (ADAP) extraída
del mensaje de confirmación (MC) a fin de que la terminal móvil (TM)
y el punto de acceso (AP) determinen una clave de sesión (KS) en
función de la dirección (ADAP) del punto de acceso, de la dirección
(ADTM) de la terminal móvil y del código secreto (CS) extraído del
mensaje de confirmación (MC) y del mensaje de solicitud de conexión
(MDC), y
- autentificación (E7-E10) de la
terminal móvil (TM) por el punto de acceso (AP) en función de la
clave de sesión (KS).
2. Procedimiento conforme a la reivindicación 1,
según el cual la autentificación de la terminal móvil por el punto
de acceso comprende una solicitud (E7) de determinación (E8) desde
el punto de acceso de una respuesta (RP1) en función de la clave de
sesión (KS) a la terminal móvil que transmite (E9) la respuesta al
punto de acceso, por medio de la red de corto alcance, y en el
punto de acceso (AP), una determinación (E8) de una respuesta (RP1)
en función de la clave de sesión (KS) y una comparación (E10) de las
respuestas para autorizar (E16) la abertura de una sesión entre el
punto de acceso y la terminal móvil cuando al menos las respuestas
comparadas son idénticas.
3. Procedimiento conforme a la reivindicación 1
o 2, que comprende una autentificación (E11-E15) del
punto de acceso (AP) por la terminal móvil (TM) en función de la
clave de sesión (KS), cuando el punto de acceso ha autentificado la
terminal móvil.
4. Procedimiento conforme a la reivindicación 3,
según el cual la autentificación del punto de acceso por la
terminal móvil comprende una invitación (E11) del punto de acceso
trasmitida a la terminal móvil (TM) a fin de que la terminal móvil
autentifique el punto de acceso solicitando (E12) al punto de acceso
determinar (E13) una segunda respuesta (RP2) en función de la clave
de sesión (KS) y transmitir (E14) la segunda respuesta a la
terminal móvil por medio de la red de corto alcance (RFP),
determinando (E13) una segunda respuesta (RP2) en función de la
clave de sesión (KS), y comparando (E15) las segundas respuestas
(RP2) a fin de autorizar la abertura de la sesión solamente después
de una identidad de las segundas respuestas comparadas en la
terminal móvil.
5. Procedimiento conforme a una cualquiera de
las reivindicaciones 1 a 4, que comprende a lo máximo un número
predeterminado de iteraciones (E17) de las etapas de solicitud de
conexión y de autentificación (E6-E10;
E6-E15) cuando la autentificación ha fracasado.
6. Procedimiento conforme a la reivindicación 5,
que comprende una iteración (E18) de las etapas
(E2-E17) enunciadas en la reivindicación 1
relativamente a otro punto de acceso (AP) en la zona de cobertura de
la terminal móvil (TM) cuando la autentificación ha fracasado (E17)
un número predeterminado de veces.
7. Procedimiento conforme a una cualquiera de
las reivindicaciones 1 a 6, que comprende en la terminal móvil (TM)
una búsqueda (E1) de un punto de acceso óptimo (AP) que tiene el
mayor nivel de potencia recibida por la terminal móvil entre puntos
de acceso en la zona de cobertura de la terminal móvil a fin de que
la terminal móvil (TM) introduzca la dirección (ADAP) del punto de
acceso óptimo en la demanda (RQ).
8. Procedimiento conforme a una cualquiera de
las reivindicaciones 1 a 6, que comprende en la terminal móvil (TM)
una búsqueda (E1) de puntos de acceso en la zona de cobertura de la
terminal móvil a fin de introducir direcciones (ADAP) de los puntos
de acceso encontrados en la demanda (RQ), y en el medio de gestión
(PFG) una selección (E3) de la dirección (ADAP) de un punto de
acceso óptimo (AP) entre las direcciones de punto de acceso
extraídas de la demanda (RQ) según un criterio predeterminado para
introducir la dirección del punto de acceso óptimo en el mensaje de
confirmación (MC) transmitido a la terminal móvil y el mensaje de
solicitud de conexión (MDC) transmitido al punto de acceso óptimo
(AP).
9. Procedimiento conforme a la reivindicación 8,
según el cual el criterio predeterminado es relativo a una
comparación de niveles de potencia (NP) de los puntos de acceso
encontrados (AP) recibidos por la terminal móvil (TM) y
transmitidos en asociación con las direcciones (ADAP) de los puntos
de acceso encontrados en la demanda (RQ) a fin de que el medio de
gestión (PFG) determine el punto de acceso que tiene el mayor nivel
de potencia recibida como punto de acceso óptimo.
10. Procedimiento conforme a la reivindicación 8
o 9, según el cual el criterio predeterminado es relativo a una
comparación de cargas de tráfico de los puntos de acceso (AP)
encontrados (E1) por la terminal móvil (TM) a fin de que el medio
de gestión (PFG) seleccione el punto de acceso que tiene la carga
más pequeña como punto de acceso óptimo.
11. Procedimiento conforme a una cualquiera de
las reivindicaciones 8 a 10, según el cual el criterio
predeterminado es relativo además a una eliminación de las
direcciones (ADAP) de los puntos de acceso encontrados (AP) que
están situados en el exterior de una zona de localización que
incluye la terminal móvil (TM) y definida en la red celular (RC),
antes de la selección de la dirección del punto de acceso
óptimo.
12. Procedimiento conforme a una cualquiera de
las reivindicaciones 1 a 11, caracterizado porque el código
secreto (CS) determinado por el medio de gestión (PFG) es generado
de manera pseudo-aleatoria y tiene una longitud
superior a 16 octetos.
13. Procedimiento conforme a una cualquiera de
las reivindicaciones 1 a 12, que comprende en el medio de gestión
(PFG) una determinación (E3) de la clave de sesión (KS) en el lugar
de las determinaciones (E6) de la clave de sesión en la terminal
móvil (TM) y el punto de acceso (AP), y una introducción (E4, E5) de
la clave de sesión determinada (KS) en el lugar del código secreto
en el mensaje de confirmación (MC) y el mensaje de solicitud de
conexión (MDC).
14. Sistema de autentificación entre una red
inalámbrica de corto alcance (RFP) que tiene puntos de acceso y una
terminal móvil (TM) en una red de radiocomunicaciones celular (RC),
caracterizado porque comprende:
un medio de gestión (PFG) para determinar un
código secreto (CS) en respuesta a una demanda (RQ) que incluye la
dirección (ADTM) de la terminal móvil y la dirección (ADAP) de un
punto de acceso (AP) situado en la zona de cobertura de la terminal
móvil (TM) relativa a la red de corto alcance y que es transmitida
desde la terminal móvil por medio de red celular (RC), y para
transmitir un mensaje de confirmación (MC) que incluye el código
secreto y la dirección del punto de acceso extraída de la demanda
(RQ) a la terminal móvil (TM) por medio de la red celular (RC) y un
mensaje de solicitud de conexión (MDC) que incluye el código secreto
y la dirección (ADTM) de la terminal móvil extraída de la demanda
en el punto de acceso (AP),
la terminal móvil para solicitar una conexión al
punto de acceso (AP) designado por la dirección (ADAP) extraída del
mensaje de confirmación (MC) y para determinar una clave de sesión
(KS) en función de la dirección (ADAP) del punto de acceso, de la
dirección (ADTM) de la terminal móvil y del código secreto (CS)
extraído del mensaje de confirmación (MC), y
el punto de acceso (AP) para determinar la clave
de sesión (KS) en función de la dirección (ADAP) del punto de
acceso, de la dirección (ADTM) de la terminal móvil y del código
secreto (CS) extraído del mensaje de solicitud de conexión (MDC) y
para autentificar la terminal móvil en función de la clave de sesión
(KS).
15. Sistema conforme a la reivindicación 14,
caracterizado porque el medio de gestión determina él mismo
la clave de sesión y la introduce en lugar del código secreto en el
mensaje de confirmación (MC) y el mensaje de solicitud de conexión
(MDC).
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP03292926A EP1536592B1 (fr) | 2003-11-26 | 2003-11-26 | Authentification entre un terminal mobile de réseau cellulaire et un point d'accès de réseau de faible portée |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2271503T3 true ES2271503T3 (es) | 2007-04-16 |
Family
ID=34443087
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES03292926T Expired - Lifetime ES2271503T3 (es) | 2003-11-26 | 2003-11-26 | Autentificacion entre una terminal movil de red celular y un punto de acceso de la red de corto alcance. |
Country Status (5)
Country | Link |
---|---|
US (1) | US7590246B2 (es) |
EP (1) | EP1536592B1 (es) |
AT (1) | ATE336125T1 (es) |
DE (1) | DE60307482T2 (es) |
ES (1) | ES2271503T3 (es) |
Families Citing this family (62)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7366901B2 (en) * | 2003-08-01 | 2008-04-29 | Ixi Mobile (R&D), Ltd. | Device, system, method and computer readable medium for identifying and authenticating a cellular device using a short-range radio address |
KR20060087271A (ko) * | 2005-01-28 | 2006-08-02 | 엘지전자 주식회사 | 이동통신 가입자 인증의 보안 전송 방법 |
KR100843072B1 (ko) * | 2005-02-03 | 2008-07-03 | 삼성전자주식회사 | 무선 네트워크 시스템 및 이를 이용한 통신 방법 |
US7844295B1 (en) * | 2005-05-17 | 2010-11-30 | Sprint Spectrum L.P. | Using a wireless intercom to talk-around a cellular wireless network |
US7657489B2 (en) | 2006-01-18 | 2010-02-02 | Mocapay, Inc. | Systems and method for secure wireless payment transactions |
US20070201540A1 (en) * | 2006-02-14 | 2007-08-30 | Berkman William H | Hybrid power line wireless communication network |
US7554942B2 (en) * | 2006-04-03 | 2009-06-30 | Telefonaktiebolaget L M Ericsson (Publ) | Geographical restriction of services in a packet data telecommunications network |
KR20080002127A (ko) * | 2006-06-30 | 2008-01-04 | 삼성전자주식회사 | 블루투스 모듈을 이용한 긴급 메시지 전송이 가능한이동통신 단말기 및 그 방법 |
CN101193024B (zh) * | 2006-11-24 | 2010-08-11 | 鸿富锦精密工业(深圳)有限公司 | 网络接入设备、移动通信设备、密钥设置方法及移动通信系统 |
JP4894550B2 (ja) * | 2007-02-19 | 2012-03-14 | 富士通株式会社 | コンテンツ配信システム、サーバ装置、およびコンテンツ配信方法 |
FR2913550A1 (fr) * | 2007-03-07 | 2008-09-12 | Inside Contactless Sa | Procede de chargement securise de donnees d'acces a un service dans un chipset nfc |
US8353052B2 (en) * | 2007-09-03 | 2013-01-08 | Sony Mobile Communications Ab | Providing services to a guest device in a personal network |
US8543831B2 (en) * | 2007-11-14 | 2013-09-24 | Qimonda Ag | System and method for establishing data connections between electronic devices |
CN103096313B (zh) | 2007-12-11 | 2015-11-18 | 爱立信电话股份有限公司 | 生成蜂窝无线电系统中的无线电基站密钥的方法和设备 |
FR2931326A1 (fr) * | 2008-05-16 | 2009-11-20 | St Microelectronics Rousset | Verification d'integrite d'une cle de chiffrement |
US8090616B2 (en) | 2008-09-08 | 2012-01-03 | Proctor Jr James Arthur | Visual identification information used as confirmation in a wireless communication |
US8099472B2 (en) | 2008-10-21 | 2012-01-17 | Lookout, Inc. | System and method for a mobile cross-platform software system |
US8533844B2 (en) | 2008-10-21 | 2013-09-10 | Lookout, Inc. | System and method for security data collection and analysis |
US9781148B2 (en) | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
US8060936B2 (en) | 2008-10-21 | 2011-11-15 | Lookout, Inc. | Security status and information display system |
US8051480B2 (en) | 2008-10-21 | 2011-11-01 | Lookout, Inc. | System and method for monitoring and analyzing multiple interfaces and multiple protocols |
US9235704B2 (en) | 2008-10-21 | 2016-01-12 | Lookout, Inc. | System and method for a scanning API |
US8347386B2 (en) | 2008-10-21 | 2013-01-01 | Lookout, Inc. | System and method for server-coupled malware prevention |
US8108933B2 (en) | 2008-10-21 | 2012-01-31 | Lookout, Inc. | System and method for attack and malware prevention |
US9043919B2 (en) | 2008-10-21 | 2015-05-26 | Lookout, Inc. | Crawling multiple markets and correlating |
US8984628B2 (en) * | 2008-10-21 | 2015-03-17 | Lookout, Inc. | System and method for adverse mobile application identification |
US9367680B2 (en) * | 2008-10-21 | 2016-06-14 | Lookout, Inc. | System and method for mobile communication device application advisement |
US8087067B2 (en) | 2008-10-21 | 2011-12-27 | Lookout, Inc. | Secure mobile platform system |
WO2010054843A1 (en) * | 2008-11-14 | 2010-05-20 | Nec Europe Ltd. | Method and system for accessing private and/or commercially owned wireless access points |
US8538815B2 (en) * | 2009-02-17 | 2013-09-17 | Lookout, Inc. | System and method for mobile device replacement |
US8855601B2 (en) | 2009-02-17 | 2014-10-07 | Lookout, Inc. | System and method for remotely-initiated audio communication |
US8467768B2 (en) | 2009-02-17 | 2013-06-18 | Lookout, Inc. | System and method for remotely securing or recovering a mobile device |
US9042876B2 (en) | 2009-02-17 | 2015-05-26 | Lookout, Inc. | System and method for uploading location information based on device movement |
US9955352B2 (en) | 2009-02-17 | 2018-04-24 | Lookout, Inc. | Methods and systems for addressing mobile communications devices that are lost or stolen but not yet reported as such |
US8923519B2 (en) * | 2009-05-29 | 2014-12-30 | Alcatel Lucent | Method of efficient secure function evaluation using resettable tamper-resistant hardware tokens |
US8397301B2 (en) * | 2009-11-18 | 2013-03-12 | Lookout, Inc. | System and method for identifying and assessing vulnerabilities on a mobile communication device |
US8738765B2 (en) | 2011-06-14 | 2014-05-27 | Lookout, Inc. | Mobile device DNS optimization |
US8788881B2 (en) | 2011-08-17 | 2014-07-22 | Lookout, Inc. | System and method for mobile device push communications |
US20130171967A1 (en) * | 2012-01-04 | 2013-07-04 | Ayman S. Ashour | Providing Secure Execution of Mobile Device Workflows |
US9215590B2 (en) | 2012-04-20 | 2015-12-15 | Bank Of America Corporation | Authentication using vehicle data pairing |
US9407443B2 (en) | 2012-06-05 | 2016-08-02 | Lookout, Inc. | Component analysis of software applications on computing devices |
US9589129B2 (en) | 2012-06-05 | 2017-03-07 | Lookout, Inc. | Determining source of side-loaded software |
US11360851B2 (en) * | 2012-08-31 | 2022-06-14 | Pure Storage, Inc. | Duplicating authentication information between connections |
US10158391B2 (en) * | 2012-10-15 | 2018-12-18 | Qualcomm Incorporated | Wireless area network enabled mobile device accessory |
US8655307B1 (en) | 2012-10-26 | 2014-02-18 | Lookout, Inc. | System and method for developing, updating, and using user device behavioral context models to modify user, device, and application state, settings and behavior for enhanced user security |
US9208215B2 (en) | 2012-12-27 | 2015-12-08 | Lookout, Inc. | User classification based on data gathered from a computing device |
US9374369B2 (en) | 2012-12-28 | 2016-06-21 | Lookout, Inc. | Multi-factor authentication and comprehensive login system for client-server networks |
US8855599B2 (en) | 2012-12-31 | 2014-10-07 | Lookout, Inc. | Method and apparatus for auxiliary communications with mobile communications device |
US9386136B2 (en) * | 2013-01-07 | 2016-07-05 | Cloudcar, Inc. | Automatic device initialization and pairing |
US9424409B2 (en) | 2013-01-10 | 2016-08-23 | Lookout, Inc. | Method and system for protecting privacy and enhancing security on an electronic device |
US9642008B2 (en) | 2013-10-25 | 2017-05-02 | Lookout, Inc. | System and method for creating and assigning a policy for a mobile communications device based on personal data |
US9973534B2 (en) | 2013-11-04 | 2018-05-15 | Lookout, Inc. | Methods and systems for secure network connections |
US10122747B2 (en) | 2013-12-06 | 2018-11-06 | Lookout, Inc. | Response generation after distributed monitoring and evaluation of multiple devices |
US9753796B2 (en) | 2013-12-06 | 2017-09-05 | Lookout, Inc. | Distributed monitoring, evaluation, and response for multiple devices |
US9407522B2 (en) * | 2014-01-31 | 2016-08-02 | Aruba Networks, Inc. | Initiating data collection based on WiFi network connectivity metrics |
US10154017B2 (en) | 2015-04-30 | 2018-12-11 | Mcafee, Llc | Device pairing in a local network |
CA2982463C (en) | 2015-05-01 | 2019-03-05 | Lookout, Inc. | Determining source of side-loaded software |
US10440053B2 (en) | 2016-05-31 | 2019-10-08 | Lookout, Inc. | Methods and systems for detecting and preventing network connection compromise |
WO2018152543A2 (en) * | 2017-02-17 | 2018-08-23 | Ajotek LLC | Access point key based service system |
US10218697B2 (en) | 2017-06-09 | 2019-02-26 | Lookout, Inc. | Use of device risk evaluation to manage access to services |
CN108430092A (zh) * | 2018-01-30 | 2018-08-21 | 上海连尚网络科技有限公司 | 获取、提供无线接入点接入信息的方法、设备以及介质 |
CN111465034B (zh) * | 2019-01-22 | 2022-04-12 | 华为技术有限公司 | 网络配置的方法和通信装置 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2742959B1 (fr) * | 1995-12-21 | 1998-01-16 | Alcatel Mobile Comm France | Procede de securisation de l'utilisation d'un terminal d'un systeme de radiocommunication cellulaire, terminal et carte utilisateur correspondants |
DE59813196D1 (de) * | 1997-03-04 | 2005-12-22 | Atx Europe Gmbh | Verfahren zur einbringung eines diensteschlüssels in ein endgerät und vorrichtungen zur durchführung des verfahrens |
GB2364202A (en) * | 2000-06-27 | 2002-01-16 | Nokia Mobile Phones Ltd | Mobile phone for opening locks |
FR2811843B1 (fr) * | 2000-07-13 | 2002-12-06 | France Telecom | Activation d'une borne multimedia interactive |
EP1178445A1 (en) * | 2000-07-31 | 2002-02-06 | Alcatel | Method for performing short-range wireless transactions between an hybrid wireless terminal and a service terminal |
JP2002247047A (ja) * | 2000-12-14 | 2002-08-30 | Furukawa Electric Co Ltd:The | セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置 |
FR2825869B1 (fr) * | 2001-06-08 | 2003-10-03 | France Telecom | Procede d'authentification entre un objet de telecommunication portable et une borne d'acces public |
US20030084287A1 (en) * | 2001-10-25 | 2003-05-01 | Wang Huayan A. | System and method for upper layer roaming authentication |
US7406319B2 (en) * | 2001-11-19 | 2008-07-29 | At&T Corp. | WLAN having load balancing by access point admission/termination |
EP1330073B1 (en) * | 2002-01-18 | 2006-03-15 | Nokia Corporation | Method and apparatus for access control of a wireless terminal device in a communications network |
BRPI0313412B1 (pt) * | 2002-08-14 | 2017-03-21 | Thomson Licensing Sa | gerenciamento de chave de sessão para lan pública sem fio suportando múltiplos operadores virtuais |
KR100480258B1 (ko) * | 2002-10-15 | 2005-04-07 | 삼성전자주식회사 | 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법 |
US7248856B2 (en) * | 2004-03-15 | 2007-07-24 | Symbol Technologies, Inc. | System and method for client-server-based wireless intrusion detection |
-
2003
- 2003-11-26 ES ES03292926T patent/ES2271503T3/es not_active Expired - Lifetime
- 2003-11-26 EP EP03292926A patent/EP1536592B1/fr not_active Expired - Lifetime
- 2003-11-26 DE DE60307482T patent/DE60307482T2/de not_active Expired - Lifetime
- 2003-11-26 AT AT03292926T patent/ATE336125T1/de not_active IP Right Cessation
-
2004
- 2004-11-26 US US10/996,614 patent/US7590246B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
DE60307482D1 (de) | 2006-09-21 |
EP1536592B1 (fr) | 2006-08-09 |
US20050130627A1 (en) | 2005-06-16 |
US7590246B2 (en) | 2009-09-15 |
ATE336125T1 (de) | 2006-09-15 |
EP1536592A1 (fr) | 2005-06-01 |
DE60307482T2 (de) | 2007-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2271503T3 (es) | Autentificacion entre una terminal movil de red celular y un punto de acceso de la red de corto alcance. | |
US20210266750A1 (en) | User authentication based on ss7 call forwarding detection | |
JP5255060B2 (ja) | 安全な無線通信 | |
CN101032142B (zh) | 通过接入网单一登录访问服务网络的装置和方法 | |
JP4369513B2 (ja) | 免許不要移動体接続信号通知のための改善された加入者認証 | |
KR101038229B1 (ko) | 통신 시스템에서의 인증 실행 | |
RU2428809C2 (ru) | Поддержка вызовов без uicc | |
CN104852896B (zh) | 一种Wi‑Fi无线节点入网方法及系统 | |
TWI234978B (en) | System, method and machine-readable storage medium for subscriber identity module (SIM) based pre-authentication across wireless LAN | |
US20070178885A1 (en) | Two-phase SIM authentication | |
KR102456280B1 (ko) | 원격 통신 네트워크의 단말 내에서 모바일 장비와 협력하는 보안 엘리먼트를 인증하기 위한 방법 | |
CN104581875B (zh) | 微型基站接入方法和系统 | |
Kim et al. | Improving mobile authentication with new AAA protocols | |
WO2007102702A2 (en) | Fast re-authentication method in umts | |
CN101378582A (zh) | 用户识别模块、鉴权中心、鉴权方法及系统 | |
CN101926188A (zh) | 对通信终端的安全策略分发 | |
CN106921965A (zh) | 一种wlan网络中实现eap认证的方法 | |
Patel | Weaknesses of North American wireless authentication protocol | |
CN101616407A (zh) | 预认证的方法和认证系统 | |
WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
CN111246464B (zh) | 身份鉴别方法、装置和系统、计算机可读存储介质 | |
WO2007114710A2 (en) | A method and device for sim based authentification in ip networks | |
CN102014385A (zh) | 移动终端的认证方法及移动终端 | |
Durresi et al. | Secure spatial authentication for mobile stations in hybrid 3G-WLAN serving networks | |
KR20070032878A (ko) | 1x EV-DO 패킷망에서 단말기의 복제를 방지하는 방법및 시스템 |