ES2281998B2 - Seguridad en redes de comunicaciones. - Google Patents
Seguridad en redes de comunicaciones. Download PDFInfo
- Publication number
- ES2281998B2 ES2281998B2 ES200450015A ES200450015A ES2281998B2 ES 2281998 B2 ES2281998 B2 ES 2281998B2 ES 200450015 A ES200450015 A ES 200450015A ES 200450015 A ES200450015 A ES 200450015A ES 2281998 B2 ES2281998 B2 ES 2281998B2
- Authority
- ES
- Spain
- Prior art keywords
- network
- security
- database
- elements
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Método de facilitación del interfuncionamiento de elementos de red 4, 5, 6 de una o más redes de comunicaciones 1, 2, 3, alguno de dichos elementos 4, 5, 6, proporciona un mecanismo de seguridad dado y otros de ellos no. El método comprende, en cada elemento de red 4, 5 que proporciona el mecanismo de seguridad, mantenimiento de una base de datos 9 que enumera pares de elementos de red y una indicación de si o no el par de elementos de red proporcionan el mecanismo de seguridad. Tras la iniciación de la señalización de una comunicación a partir de un par de elementos de red 4, 5 que proporcionan el mecanismo de seguridad a otro par de elementos de seguridad, inspección de la base de datos 9 por el elemento de red de iniciación para determinar si o no el par de elementos de red proporcionan el mecanismo de seguridad y, por consiguiente, dirigen la comunicación. La base de datos 9 almacenada en elementos de red es actualizada dinámicamente sobre la base de la información de señalización recibida desde el par de elementos. El método asegura que el mecanismo de seguridad para seguridad de comunicaciones entre elementos es utilizado cuando el mecanismo está disponible.
Description
Seguridad en redes de comunicaciones.
La presente invención se refiere a seguridad en
redes de comunicaciones y, en particular, aunque no necesariamente,
a un mecanismo para asegurar el transporte seguro de los mensajes
de señalización entre elementos de la red y entre redes públicas
móviles terrestres.
El Instituto Europeo de Normalización de
Telecomunicaciones (ETSI) está actualmente en el proceso de
normalizar un nuevo conjunto de protocolos para sistemas de
telecomunicaciones móviles. El conjunto de protocolos es conocido
colectivamente como Sistema Universal de Telecomunicaciones Móviles
(UMTS). La arquitectura de una red UMTS se basa en una red de
núcleo UMTS y una Red Terrestre de Acceso de Radio UMTS (UTRAN).
Dentro y entre las redes de núcleo, será necesario transferir
información de señalización entre los elementos de la red tales
como Centros de Conmutación Móvil (MSCs) y Registros de Localización
de Residentes y de Visitantes (HLRs/VLRs). La propia de red de
señalización puede ser una red SS7 o posiblemente una red IP. El
protocolo utilizado para transportar los mensajes de señalización
es el protocolo de la Parte de Aplicación Móvil (MAP), que es
utilizado actualmente en las redes GSM de segunda generación. MAP
será mejorado para proporcionar características adicionales.
La introducción del UMTS será un proceso
gradual. Las redes UMTS deben interconectarse, por lo tanto, con
redes existentes durante el futuro previsible. Se prevé también que
dentro de una red dada puedan existir elementos de la red que
ejecuten el protocolo MAP mejorado y otros elementos que no lo
hagan. De nuevo, puede ser posible la interconexión entre estos
diferentes elementos.
Una de las mejoras que se realizan para la MAP
es la introducción de seguridad mejorada para el tráfico de
señalización. Un protocolo denominado
MAPSEC ejecuta esta seguridad y transmite los mensajes MAP. MPASEC utiliza cierto mecanismo de cifrado y de autenticación adecuado. El uso de
MPASEC en una comunicación intermodal es especificado por una Base de Datos de Medidas de Seguridad (SPD) de uno o más elementos de la red de comunicaciones. La SPD especifica que MPASEC deberá aplicarse a todas las comunicaciones de señalización hacia una red particular. De acuerdo con las propuestas actuales, una comunicación protegida MAPSEC comienza con el envío de un mensaje MAPSEC (que contiene un mensaje MAP) a partir del elemento de la red de inicio (que se supone que tiene capacidad para MAPSEC) hasta un elemento asociado de la red. En el caso de que el elemento asociado de la red tenga capacidad para MAPSEC, este elemento de red retornará un mensaje de respuesta MAPSEC. Esto se ilustra en la figura 1. En el caso de que el elemento asociado de la red no tenga capacidad para MAPSEC, el elemento de la red retomará un mensaje al elemento de la red de inicio en el sentido de que no soporta el MAPSEC (éste puede ser un mensaje MAP que indica que el mensaje MAPSEC no fue reconocido). El elemento de la red de inicio dirigirá entonces un mensaje MPA no protegido hasta el elemento asociado de la red que responderá con un mensaje de respuesta MAP. Este intercambio de mensajes se ilustra en la figura 2.
MAPSEC ejecuta esta seguridad y transmite los mensajes MAP. MPASEC utiliza cierto mecanismo de cifrado y de autenticación adecuado. El uso de
MPASEC en una comunicación intermodal es especificado por una Base de Datos de Medidas de Seguridad (SPD) de uno o más elementos de la red de comunicaciones. La SPD especifica que MPASEC deberá aplicarse a todas las comunicaciones de señalización hacia una red particular. De acuerdo con las propuestas actuales, una comunicación protegida MAPSEC comienza con el envío de un mensaje MAPSEC (que contiene un mensaje MAP) a partir del elemento de la red de inicio (que se supone que tiene capacidad para MAPSEC) hasta un elemento asociado de la red. En el caso de que el elemento asociado de la red tenga capacidad para MAPSEC, este elemento de red retornará un mensaje de respuesta MAPSEC. Esto se ilustra en la figura 1. En el caso de que el elemento asociado de la red no tenga capacidad para MAPSEC, el elemento de la red retomará un mensaje al elemento de la red de inicio en el sentido de que no soporta el MAPSEC (éste puede ser un mensaje MAP que indica que el mensaje MAPSEC no fue reconocido). El elemento de la red de inicio dirigirá entonces un mensaje MPA no protegido hasta el elemento asociado de la red que responderá con un mensaje de respuesta MAP. Este intercambio de mensajes se ilustra en la figura 2.
El intercambio de mensajes ilustrado en la
figura 2 añadirá retrasos de dos ciclos al proceso.
Particularmente, durante las etapas previas de la introducción de
UMTS, cuando la mayoría de los elementos de la red no tienen
capacidad MAPSEC, esto representará una carga extra significativa
sobre las redes de señalización y retrasará muchas operaciones de
la red (por ejemplo, establecimiento de llamada). Se apreciará que
este problema no es único para las redes públicas móviles terrestres
(PLMNs) (o para el protocolo MAP), y pueden surgir en otros tipos
de redes donde los nodos diferentes tienen diferentes medidas de
seguridad.
Un objeto de la presente invención es solucionar
o al menos aliviar los problemas indicados en el párrafo previo.
Éstos y otros objetos pueden alcanzarse introduciendo una base de
datos que identifica las capacidades de seguridad de los elementos
de la red. Si un elemento de red que tiene las capacidades de
seguridad necesarias tiene acceso a esta base de datos, entonces,
pueden aliviarse los problemas de retraso y de señalización
adicional.
De acuerdo con un primer aspecto de la presente
invención, está previsto un método para facilitar la interconexión
de elementos de la red de una o más redes de comunicaciones,
algunos de cuyos elementos soportan un mecanismo de seguridad dado
y otros no, comprendiendo el método:
en cada elemento de red que soporta el mecanismo
de seguridad, mantener una base de datos que tiene una lista de los
elementos asociados de la red y una indicación de si los elementos
asociados de la red soportan o no el mecanismo de seguridad;
después de la iniciación de la comunicación de
señalización desde un elemento asociado de la red que soporta el
mecanismo de seguridad hasta otro elemento asociado de la red,
inspeccionar la base de datos del elemento de la red de inicio para
determinar si el elemento asociado de la red soporta o no el
mecanismo de seguridad, y llevar a cabo, por consiguiente, la
comunicación; y
actualizar dinámicamente las bases de datos
memorizadas en los elementos de la red basados en la información de
señalización recibida desde los elementos asociados de la red,
por lo que se asegura el uso del mecanismo de
seguridad para asegurar las comunicaciones entre los elementos
cuando el mecanismo está disponible.
Las formas de realización de la presente
invención reducen la necesidad de transferencias de señalización
adicionales en el caso de que un elemento asociado de la red no
soporte el mecanismo de seguridad. Puede ser necesario solamente
incurrir en la señalización adicional la primera vez que están en
comunicación los dos elementos de la red. La base de datos puede
actualizarse con el resultado de la primera comunicación (es decir,
para indicar si el elemento asociado de la red ejecuta o no el
mecanismo de seguridad).
Las formas de realización de la presente
invención hacen que no sea necesaria una configuración de la base
de datos del mecanismo de seguridad asociado (aunque esto puede
realizarse todavía en algunas circunstancias). Típicamente, el
ajuste por defecto para cada elemento asociado de la red es que
ejecuta el mecanismo de seguridad. La base de datos está
actualizada dinámicamente a medida que se producen las
comunicaciones con los elementos asociados de la red.
La presente invención es aplicable, en
particular, a las redes móviles públicas terrestres. Las redes
pueden comprender tanto redes UMTS como GSM que son requeridas para
operar entre sí. Preferentemente, dicho mecanismo de seguridad es el
protocolo
MAPSEC que asegurar la transmisión de mensajes MAP entre los elementos de la red. Alternativamente, la o cada red de comunicación puede ser una red IP y el mecanismo de seguridad puede ser IPSec.
MAPSEC que asegurar la transmisión de mensajes MAP entre los elementos de la red. Alternativamente, la o cada red de comunicación puede ser una red IP y el mecanismo de seguridad puede ser IPSec.
Preferentemente, la etapa de actualizar
dinámicamente una base de datos memorizada en un elemento de red
que ejecute el mecanismo comprende introducir un nuevo elemento de
red en la base de datos después de la primera comunicación entre el
elemento de la red y un elemento asociado de la red, junto con dicha
indicación de si el elemento asociado de la red soporta o no el
mecanismo de seguridad.
Preferentemente, un elemento asociado de la red
puede añadirse a una base de datos inmediatamente antes del inicio
de una comunicación entre el elemento de la red que mantiene la
base de datos y el elemento asociado de la red.
Preferentemente, la etapa de actualizar
dinámicamente una base de datos memorizada en un elemento de la red
que ejecute el mecanismo comprende retirar una entrada desde la
base de datos, donde la entrada indica que el elemento asociado de
la red no soporta el mecanismo de seguridad, después de que ha
transcurrido cierto tiempo predefinido, desde que el elemento de
red se comunicó por última vez con el elemento asociado de la red
correspondiente a la entrada.
Preferentemente, la etapa de actualizar
dinámicamente una base de datos memorizada en un elemento de la red
que ejecuta el mecanismo comprende reaccionar a un mensaje recibido
en un elemento de red de inicio que ejecuta el mecanismo de
seguridad, cuyo mensaje indica que el elemento asociado de la red se
ha conmutado desde la no ejecución del mecanismo de seguridad hasta
su ejecución, actualizando la entrada en la base de datos
correspondiente al elemento asociado de la red para identificar el
nuevo estado del mecanismo de seguridad.
Preferentemente, la etapa de actualizar
dinámicamente una base de datos memorizada en un elemento de red
que ejecuta el mecanismo es ejecutada de manera que no puede
reducirse automáticamente la seguridad aplicada a las
comunicaciones con un elemento asociado de la red.
La base de datos mantenida por un elemento de la
red puede iniciarse o actualizarse utilizando los datos recibidos
en el elemento de la red a partir de un servidor de la red dentro
del cual se localiza el elemento de red. El servidor puede
intercambiar los datos del mecanismo de seguridad del elemento de
red con otros servidores asociados de otras redes. Este intercambio
puede llevarse a cabo como parte de un procedimiento para la
negociación de las asociaciones de seguridad (por ejemplo, claves
de cifrado, etc.) entre servidores de diferentes redes, cuyas
asociaciones de seguridad son utilizadas posteriormente por
elementos asociados de la red que ejecutan el mecanismo de
seguridad para asegurar las comunicaciones.
De acuerdo con un segundo aspecto de la presente
invención, está previsto un elemento de red para uso en una red de
comunicaciones, soportando el elemento de red un mecanismo de
seguridad y estando dispuesto en uso para intercambiar información
de señalización de la red con elementos asociados de la red de la
misma y de otras redes, comprendiendo el elemento de red:
una memoria que almacena una base de datos que
hace un listado de elementos asociados de la red y una indicación
de si los elementos asociados de la red soportan o no el mecanismo
de seguridad;
medios para inspeccionar la base de datos,
después del inicio de una comunicación de señalización con un
elemento asociado de la red, para determinar si el elemento
asociado de la red soporta o no el mecanismo de seguridad, y para
llevar a cabo, por consiguiente, la comunicación; y
medios para actualizar dinámicamente la base de
datos sobre la base de la señalización de la información recibida
desde los elementos asociados de la
red,
red,
por lo que se asegura el uso del mecanismo de
seguridad para asegurar las comunicaciones entre los elementos
cuando el mecanismo está disponible.
De acuerdo con un tercer aspecto de la presente
invención, está previsto un método para facilitar la interconexión
de elementos de la red de una o más redes de comunicaciones,
algunos de cuyos elementos de la red soportan un mecanismo de
seguridad dado y otros no, comprendiendo el método:
poner a la disposición de cada elemento de red
que soporta el mecanismo de seguridad, una base de datos que hace
una lista de los elementos asociados de la red y una indicación de
si los elementos asociados de la red soportan o no el mecanismo de
seguridad;
después del inicio de una comunicación de
señalización de un elemento asociado de la red que soporta el
mecanismo de seguridad hasta otro elemento asociado de la red,
inspeccionar la base de datos disponible para el elemento de red de
inicio para determinar si el elemento asociado de la red soporta o
no el mecanismo de seguridad, y llevar a cabo, por consiguiente, la
comunicación; y
actualizar las bases de datos para tener en
cuenta los cambios en las capacidades de seguridad de los elementos
de la red, al mismo tiempo que se previene la reducción automática
de las capacidades de seguridad registradas para los elementos de
la red,
por lo que se asegura el uso del mecanismo de
seguridad para asegurar las comunicaciones entre los elementos
cuando el mecanismo está disponible.
La figura 1 ilustra la señalización
intercambiada entre dos elementos de la red de señalización de una
red móvil, donde ambos soportan el MAPSEC.
La figura 2 ilustra la señalización
intercambiada entre dos elementos de la red de señalización de una
red móvil, donde solamente uno de los cuales soporta el MAPSEC.
La figura 3 ilustra esquemáticamente una red de
telecomunicaciones móviles; y
La figura 4 es un diagrama de flujo que ilustra
un mecanismo para accionar un mecanismo de seguridad en y entre las
redes móviles.
Las propuestas actuales para la manipulación de
MAPSEC y la interconexión de elementos de la redes, algunos de los
cuales soportan el MAPSEC, y algunos de los no cuales no lo hacen,
se han descrito anteriormente con referencia a las figuras 1 y 2.
Un nuevo mecanismo se describirá ahora con referencia a la figura 3,
que ilustra esquemáticamente un número de redes móviles públicas
terrestres conectadas (PLMNs). De éstas, dos son redes UMTS de
tercera generación (o 3G) 1, 2, y una es una red GSM de segunda
generación 3. Un Centro de Conmutación Móvil (MSC) 4, 5, 6 se
muestra dentro de cada una de las redes. Un Registro de Localización
de Residentes (HLR) 7 y un Registro de Localización de Visitantes
(VLR) 8 se muestran también dentro de una de las redes UMTS 1. Los
elementos de la red (NEs) se comunican entre sí a través de una red
de señalización SS7, siendo identificado cada uno únicamente dentro
de la red SS7 por un código de puntos SS7 o título global. Las
funciones particulares realizadas por los NEs no se describirán de
forma detallada aquí. En su lugar, debería hacerse referencia a las
normas ETSI relevantes.
Es de relevancia aquí la necesidad de varios NEs
para intercambiar mensajes de señalización entre sí. Para este fin,
cada uno de los NEs ejecuta el protocolo de la Parte de Aplicación
Móvil (MAP). Además, los NEs de las redes UMTS 1, 2 ejecutan
adicionalmente el MAPSEC, que es utilizado para asegurar los
intercambios MAP entre los NEs asociados. Una base de datos 9 está
asociada con cada NE que tiene capacidad para MAPSEC (solamente uno
de ellos es ilustrado en la figura 3). Esta base de datos está
formada y mantenida del siguiente modo.
Cada una de las redes UMTS comprende un servidor
central 10, 11 referido aquí como KAC. Los KAC son responsables de
la negociación de las asociaciones de seguridad MAPSEC entre las
redes. Una asociación de seguridad (o SA) puede definir, por
ejemplo, las claves de cifrado que deben utilizarse para cifrar
mensajes enviados entre las redes. Los KACs 10, 11 intercambian
también datos que identifican cuáles de los NEs para los que son
responsables soportar el MAPSEC, y para cuáles no. Cada KAC 10, 11
distribuye tanto la información SA como los datos de capacidad
MAPSEC a cada uno de los NEs de la misma red. La información SA es
introducida en una Base de Datos de Medidas de Seguridad (SPD) del
NE de recepción. Los datos de capacidad MAPSEC son introducidos en
la base de datos 9, donde los NEs asociados son identificados o
bien por códigos de puntos o títulos globales.
En el caso de que un NE de la red 1 desee
intercambiar los mensajes MAP con un NE asociado, el NE es dirigido
por la SPD para determinar la entrada relevante en la base de datos
9. Si la entrada para el NE asociado indica que el NE asociado tiene
capacidad para MAPSEC (por ejemplo, el NE es un nodo de la red UMTS
2), se intercambiarán los mensajes MAPSEC. De otro modo, si la
entrada indica que el NE asociado no tiene capacidad para MAPSEC
(por ejemplo, el NE asociado pertenece a la red GSM 3), se
intercambian los mensajes MAP. Si no existe entrada en la base de
datos 9, o existe una entrada pero la capacidad para MAPSEC se
identifica como desconocida, (indicando que los NEs no han sido
comunicados previamente y no se obtuvieron los datos relevantes por
el KAC), la SPD indica que el MAPSEC debería utilizarse por
defecto. La señalización ilustrada o bien en la Figura 1 o la Figura
2, se intercambiará entonces con el NE asociado. La base de datos 9
es actualizada de acuerdo con el resultado (el NE asociado tiene o
no capacidad para MAPSEC).
Una característica importante del mecanismo de
seguridad descrito aquí es que no permite que sea reducida la
seguridad asignada a un NE asociado (diferente por la intervención
directa del operador). Por lo tanto, por ejemplo, si un NE dado, que
tiene capacidad para MAPSEC, tiene en su base de datos 9 una
entrada que indica que un NE asociado dado tiene capacidad para
MAPSEC, el NE no cambiará este estado en su base de datos si una
comunicación posterior provoca que sea retornada una respuesta,
indicando que el NE asociado no tiene capacidad para
MAPSEC. Esto tendería a sugerir que está teniendo lugar un ataque sobre el sistema. El NE de inicio ignorará y descartará, bajo estas circunstancias, el mensaje retornado. Si esto no fuera así, sería muy fácil para un atacador evitar el protocolo MPASEC, enviando simplemente una respuesta falsa para una solicitud
MAPSEC. Otra característica importante del mecanismo es que es capaz de hacer frente a los cambios en las capacidades MPASEC de NEs, y más particularmente, anticipa las mejoras en las capacidades (de no apto para MAPSEC a apto para MAPSEC) de los NEs, al mismo tiempo que se protege contra las degradaciones inesperadas.
MAPSEC. Esto tendería a sugerir que está teniendo lugar un ataque sobre el sistema. El NE de inicio ignorará y descartará, bajo estas circunstancias, el mensaje retornado. Si esto no fuera así, sería muy fácil para un atacador evitar el protocolo MPASEC, enviando simplemente una respuesta falsa para una solicitud
MAPSEC. Otra característica importante del mecanismo es que es capaz de hacer frente a los cambios en las capacidades MPASEC de NEs, y más particularmente, anticipa las mejoras en las capacidades (de no apto para MAPSEC a apto para MAPSEC) de los NEs, al mismo tiempo que se protege contra las degradaciones inesperadas.
Con el fin de mantener la seguridad en el nivel
máximo, un NE con capacidad para MAPSEC rechazará una entrada en su
base de datos 9 que indica que un NE asociado no tiene capacidad
para MAPSEC, después de que ha transcurrido cierto tiempo
predefinido desde que están en comunicación los dos NEs. Cuando se
inicia posteriormente una comunicación, puesto que se desconoce la
capacidad del NE asociado para MAPSEC, el SPD del NE de inicio
definirá qué mecanismo por defecto debería utilizarse, es decir,
MAPSEC. De nuevo, se seguirá la señalización o bien de la Figura 1
ó 2.
De acuerdo a la figura 3, las bases de datos son
memorizadas en nodos de servidores centralizados de redes de
comunicaciones respectivas y son actualizadas sobre la base de los
datos intercambiados entre los nodos del servidor y, además, cuando
las bases de datos son actualizadas, a su vez, son distribuidas por
los nodos de servidores hasta los elementos de la red de las mismas
redes de comunicaciones.
Se apreciará por un técnico en la materia que
pueden realizarse varias modificaciones a la forma de realización
descrita anteriormente, sin separarse del alcance de la presente
invención. Por ejemplo, puede aplicarse el procedimiento de
mantenimiento de seguridad a los NEs de una Red Privada Virtual
(VPN) utilizando IPSec (e IKE) para asegurar el tráfico entre dos
elementos. Por lo tanto, por ejemplo, el procedimiento podría
ejecutarse de manera que un nodo implicado en una comunicación
renunciará a reducir la seguridad de una conexión a otro nodo, del
3DES (una cifra más fuerte) al DES (una cifra específica). En otra
modificación, en los nodos capaces de ejecutar MAPSEC, la
información sobre si se ha utilizado o no el MAPSEC para una
comunicación dada puede comunicarse a la aplicación (por ejemplo,
MAP), que se desplaza sobre la parte superior del protocolo de
seguridad. Esto podría utilizarse para rechazar acciones peligrosas
potenciales si no se ha utilizado el nivel satisfactorio de
seguridad.
Claims (14)
1. Un método para facilitar la interconexión de
los elementos de red de una o más redes de comunicaciones, algunos
de cuyos elementos de la red soportan un mecanismo de seguridad
MAPSEC o similar y otros no, comprendiendo el método:
en cada elemento de red que soporta el mecanismo
de seguridad, mantener una base de datos que comprende una lista de
los elementos de la red asociados y una indicación de si los
elementos de la red asociados soportan o no el mecanismo de
seguridad;
después del inicio de una comunicación de
señalización desde un elemento asociado de la red que soporta el
mecanismo de seguridad a otro elemento asociado de la red,
inspeccionar la base de datos del elemento de red de inicio para
determinar si el elemento asociado de la red soporta o no el
mecanismo de seguridad, y llevar a cabo, por consiguiente, la
comunicación;
actualizar dinámicamente las bases de datos
memorizadas en los elementos de la red basándose en la primera
comunicación en la que un elemento asociado indica si ejecuta o no
un mecanismo de seguridad o similar.
2. Un método de acuerdo con la reivindicación 1,
donde la o cada red de comunicación es una red móvil pública
terrestre.
3. Un método de acuerdo con la reivindicación 2,
donde dicho mecanismo de seguridad es el protocolo MAPSEC para
asegurar la transmisión de los mensajes MAP entre los elementos de
la red.
4. Un método de acuerdo con la reivindicación 1,
donde la o cada red es una red IP, y el mecanismo de seguridad es
IPSec.
5. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes, donde la etapa de actualizar
dinámicamente la base de datos memorizada en un elemento de la red,
se realiza después de la primera comunicación entre el elemento de
la red y un elemento asociado de la red, comprende introducir un
nuevo elemento de la red dentro de la base de datos junto con la
indicación de si el elemento asociado de la red soporta o no el
mecanismo de seguridad.
6. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes, en el que la etapa de actualizar
dinámicamente comprende añadir un elemento asociado de la red a una
base de datos, inmediatamente antes del inicio de una comunicación
entre el elemento de la red que mantiene la base de datos y el
elemento asociado de la red.
7. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes, donde la etapa de actualizar
dinámicamente una base de datos memorizada en un elemento de la red
que ejecuta el mecanismo comprende retirar una entrada de la base
de datos, donde la entrada indica que el elemento asociado de la
red no soporta el mecanismo de seguridad, después de que ha
transcurrido cierto tiempo predefinido desde que el elemento de la
red se ha comunicado por última vez con el elemento asociado de la
red correspondiente a la entrada.
8. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes, donde la etapa de actualizar
dinámicamente la base de datos memorizada en un elemento de la red
que ejecuta el mecanismo de seguridad actualiza la entrada en la
base de datos correspondiente a un elemento asociado de la red que
reacciona a un mensaje recibido desde el referido elemento asociado,
indicando que ejecuta el mecanismo de seguridad; la base de datos
conmuta el registro de no-ejecución del mecanismo
de seguridad a ejecución para identificar el nuevo estado del
mecanismo de seguridad relativo al elemento asociado.
9. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes, donde la etapa de actualizar
dinámicamente una base de datos memorizada en un elemento de la red
que ejecuta el mecanismo es ejecutada de manera que la
actualización de la base de datos es rechazada en caso de que una
comunicación posterior provoque un mensaje de respuesta, indicando
que el elemento de red asociado no tiene capacidad para MAPSEC.
10. Un método de acuerdo con una cualquiera de
las reivindicaciones precedentes, donde la base de datos mantenida
por un elemento de la red es inicializada o actualizada utilizando
los datos recibidos en el elemento de la red desde un servidor de
la red dentro del cual se localiza el elemento de la red,
intercambiando dicho servidor los datos del mecanismo de seguridad
del elemento de la red con servidores asociados de otras redes.
11. Un método de acuerdo con la reivindicación
10, donde dicho intercambio se lleva a cabo como parte de un
procedimiento para la negociación de asociaciones de seguridad
entre los servidores de diferentes redes, cuyas asociaciones de
seguridad son utilizadas posteriormente por los elementos asociados
de la red que ejecutan el mecanismo de seguridad para asegurar las
comunicaciones.
12. Un elemento de la red para uso en una red de
comunicaciones, soportando el elemento de la red un mecanismo de
seguridad MAPSEC o similar que permite intercambiar la información
de señalización de la red con los elementos asociados de red de las
mismas redes y de otras redes, comprendiendo el elemento de la
red:
una memoria que almacena una base de datos que
tiene una lista de los elementos asociados de la red y una
indicación de si los elementos asociados de la red soportan o no el
mecanismo de seguridad;
medios para inspeccionar la base de datos,
después del inicio de una comunicación de señalización con un
elemento asociado de la red, para determinar si el mecanismo de
seguridad soporta o no el elemento asociado de la red, y para llevar
a cabo, por consiguiente, la comunicación; y
medios para actualizar dinámicamente la base de
datos sobre la base de la información de señalización recibida de
los elementos asociados de la red.
13. Un método para facilitar la interconexión de
elementos de la red de una o más redes de comunicaciones, algunos
de cuyos elementos de la red soportan un mecanismo de seguridad
MAPSEC o similar y otros no, comprendiendo el método:
poner a la disposición de cada elemento de la
red que soporta el mecanismo de seguridad, una base de datos que
tiene una lista de los elementos asociados de la red y una
indicación de si los elementos asociados de la red soportan o no el
mecanismo de seguridad;
después del inicio de una comunicación de
señalización desde un elemento asociado de la red que soporta el
mecanismo de seguridad hasta otro elemento asociado de la red,
inspeccionar la base de datos disponible para el elemento de la red
de inicio para determinar si el elemento asociado de la red soporta
el mecanismo de seguridad, y llevar a cabo, por consiguiente, la
comunicación; y
actualizar dinámicamente las bases de datos
memorizadas en los elementos de la red basándose en la primera
comunicación en la que un elemento de la red indica si ejecuta o no
un mecanismo de seguridad o similar, previniendo la degradación de
la base de datos en caso de que la comunicación posterior provoque
un mensaje de respuesta, indicando que el elemento de red asociado
no tiene capacidad para MAPSEC.
14. Un método de acuerdo con la reivindicación
13, donde las bases de datos son memorizadas y actualizadas en los
elementos de la red respectivos siendo actualizadas dinámicamente
las bases de datos sobre la base de la información de señalización
recibida desde los elementos asociados de la red.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0124891A GB2370732B (en) | 2001-10-17 | 2001-10-17 | Security in communications networks |
| GB0124891 | 2001-10-17 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| ES2281998A1 ES2281998A1 (es) | 2007-10-01 |
| ES2281998B2 true ES2281998B2 (es) | 2008-05-01 |
Family
ID=9923994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES200450015A Expired - Fee Related ES2281998B2 (es) | 2001-10-17 | 2002-09-20 | Seguridad en redes de comunicaciones. |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7343497B2 (es) |
| ES (1) | ES2281998B2 (es) |
| FI (1) | FI20040518A (es) |
| GB (1) | GB2370732B (es) |
| WO (1) | WO2003034688A1 (es) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE536691T1 (de) * | 2003-10-20 | 2011-12-15 | Ericsson Telefon Ab L M | Netzwerk und knoten zur bereitstellung einer sicheren übertragung von nachrichten des mobilanwendungsteils |
| US20070150840A1 (en) * | 2005-12-22 | 2007-06-28 | Andrew Olcott | Browsing stored information |
| US8601590B2 (en) * | 2006-04-27 | 2013-12-03 | Panasonic Corporation | Content distribution system |
| CN101102185B (zh) | 2006-07-06 | 2012-03-21 | 朗迅科技公司 | Ims会话的媒体安全 |
| US8000725B2 (en) * | 2007-03-30 | 2011-08-16 | Andrew, Llc | Method and apparatus for transparent invocation and transport of encrypted position location data |
| GB2454204A (en) * | 2007-10-31 | 2009-05-06 | Nec Corp | Core network selecting security algorithms for use between a base station and a user device |
| EP2797335A1 (en) | 2013-04-26 | 2014-10-29 | Nagravision S.A. | Method to watermark a compressed content encrypted by at least one content key |
| EP2797334A1 (en) * | 2013-04-26 | 2014-10-29 | Nagravision S.A. | Method and device to embed watermark in uncompressed video data |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| NO173418C (no) * | 1991-04-29 | 1993-12-08 | Alcatel Stk As | Kommunikasjonsnett |
| US5276735A (en) * | 1992-04-17 | 1994-01-04 | Secure Computing Corporation | Data enclave and trusted path system |
| US5727145A (en) * | 1996-06-26 | 1998-03-10 | Sun Microsystems, Inc. | Mechanism for locating objects in a secure fashion |
| US6088451A (en) * | 1996-06-28 | 2000-07-11 | Mci Communications Corporation | Security system and method for network element access |
| US6061796A (en) * | 1997-08-26 | 2000-05-09 | V-One Corporation | Multi-access virtual private network |
| US6304973B1 (en) * | 1998-08-06 | 2001-10-16 | Cryptek Secure Communications, Llc | Multi-level security network system |
| US6487665B1 (en) * | 1998-11-30 | 2002-11-26 | Microsoft Corporation | Object security boundaries |
| WO2000077619A2 (en) * | 1999-06-14 | 2000-12-21 | Sun Microsystems, Inc. | Dynamic lookup service in a distributed system |
| US7113600B1 (en) * | 1999-11-12 | 2006-09-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Base transceiver station automatic encryption handling |
| GB2365720B (en) * | 2000-07-17 | 2004-04-14 | Motorola Inc | A communication system and method therefor |
| US7181012B2 (en) * | 2000-09-11 | 2007-02-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Secured map messages for telecommunications networks |
| US7107464B2 (en) * | 2001-07-10 | 2006-09-12 | Telecom Italia S.P.A. | Virtual private network mechanism incorporating security association processor |
| US20030061480A1 (en) * | 2001-09-14 | 2003-03-27 | Franck Le | Method of authenticating IP paging requests as security mechanism, device and system therefor |
-
2001
- 2001-10-17 GB GB0124891A patent/GB2370732B/en not_active Expired - Fee Related
-
2002
- 2002-09-20 ES ES200450015A patent/ES2281998B2/es not_active Expired - Fee Related
- 2002-09-20 WO PCT/SE2002/001721 patent/WO2003034688A1/en active IP Right Grant
- 2002-10-17 US US10/271,531 patent/US7343497B2/en active Active
-
2004
- 2004-04-08 FI FI20040518A patent/FI20040518A/fi not_active Application Discontinuation
Also Published As
| Publication number | Publication date |
|---|---|
| ES2281998A1 (es) | 2007-10-01 |
| GB2370732B (en) | 2003-12-10 |
| WO2003034688A1 (en) | 2003-04-24 |
| FI20040518A (fi) | 2004-04-08 |
| US7343497B2 (en) | 2008-03-11 |
| US20030074553A1 (en) | 2003-04-17 |
| GB2370732A (en) | 2002-07-03 |
| GB0124891D0 (en) | 2001-12-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2971007T3 (es) | Autenticación de equipos de usuario a través de equipos de usuario de retransmisión | |
| US20210297942A1 (en) | Service authorization for indirect communication in a communication system | |
| ES2392037T3 (es) | Pasarela de número de itinerancia IP | |
| US8243687B2 (en) | Secure and seamless WAN-LAN roaming | |
| JP2022536924A (ja) | クローズドアクセスグループ関連の手順をハンドリングするための方法及びシステム | |
| JP4475596B2 (ja) | 異種ipネットワークにおける認証のための装置および方法 | |
| ES2876202T3 (es) | Control de itinerancia | |
| ES2445647T3 (es) | Soporte de llamadas sin UICC | |
| JP2020506588A (ja) | 信頼できないネットワークを用いたインタワーキング機能 | |
| ES2490215T3 (es) | Método y dispositivo para el redireccionamiento de agentes locales | |
| ES2704250T3 (es) | Método y agente de gestión para correlación de notificaciones de evento | |
| JP2002520708A (ja) | テレコミュニケーションネットワークにおける認証 | |
| BRPI0616762A2 (pt) | sistema e método para distribuir parámetros de acesso a rede sem fio | |
| WO2019134704A1 (zh) | 一种更新密钥的方法及装置 | |
| PT1552646E (pt) | Método e aparelho de permissão de nova autenticação num sistema de comunicação celular | |
| US20230080067A1 (en) | Network Access Method, Apparatus, and System | |
| ES2281998B2 (es) | Seguridad en redes de comunicaciones. | |
| CN104982053A (zh) | 用于获得认证无线设备的永久身份的方法和网络节点 | |
| CN112136301A (zh) | 通信系统中用于安全性管理的错误处理框架 | |
| US11997477B2 (en) | Prevention of malicious attacks via user equipment deregistration process in communication system | |
| ES2974797T3 (es) | Técnicas para permitir una comunicación segura de datos entre una primera red y una segunda red que comprenden al menos en parte un entorno de comunicación diferente | |
| ES2616499T3 (es) | Aparatos y método para autenticación en redes de IP heterogéneas | |
| BR112021012205A2 (pt) | Método para conectar um elemento de segurança que coopera com um dispositivo a uma rede de uma primeira operadora de rede móvel graças a um imsi efêmero (e-imsi), e elemento de segurança | |
| Ham et al. | The Design and Implementation of 802.1 X Access Point Management System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| EC2A | Search report published |
Date of ref document: 20071001 Kind code of ref document: A1 |
|
| FG2A | Definitive protection |
Ref document number: 2281998B2 Country of ref document: ES |
|
| FD2A | Announcement of lapse in spain |
Effective date: 20211122 |