ES2289114T3 - Metodo, sistema y dispositivos para transferir informacion de contabilidad. - Google Patents

Metodo, sistema y dispositivos para transferir informacion de contabilidad. Download PDF

Info

Publication number
ES2289114T3
ES2289114T3 ES02740980T ES02740980T ES2289114T3 ES 2289114 T3 ES2289114 T3 ES 2289114T3 ES 02740980 T ES02740980 T ES 02740980T ES 02740980 T ES02740980 T ES 02740980T ES 2289114 T3 ES2289114 T3 ES 2289114T3
Authority
ES
Spain
Prior art keywords
eap
terminal
accounting
accounting information
authorization
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES02740980T
Other languages
English (en)
Inventor
Henry Haverinen
Nadarajah Asokan
Pekka Laitinen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Oyj
Original Assignee
Nokia Oyj
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Oyj filed Critical Nokia Oyj
Application granted granted Critical
Publication of ES2289114T3 publication Critical patent/ES2289114T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Meter Arrangements (AREA)

Abstract

Método para un sistema para transferir información de contabilidad, comprendiendo dicho método: evaluar datos relacionados con un servicio usado por al menos un terminal (16), proporcionar los datos evaluados como información de contabilidad hacia por lo menos un servidor de autorización de servicios (10) del Protocolo de Autenticación Extensible, EAP, enviar, por medio de una solicitud del Protocolo de Autenticación Extensible, solicitud EAP, una solicitud de autorización de servicio desde dicho por lo menos un servidor de autorización de servicios EAP hacia dicho por lo menos un terminal, firmar digitalmente información de contabilidad, en dicho por lo menos un terminal, incluir, en dicho por lo menos un terminal, la información de contabilidad firmada digitalmente en una respuesta del Protocolo de Autenticación Extensible, respuesta EAP, y enviar la información de contabilidad firmada digitalmente hacia un servidor de Autenticación, Autorización y Contabilidad, AAA (14).

Description

Método, sistema y dispositivos para transferir información de contabilidad.
Campo técnico de la invención
La presente invención se refiere a un método en un sistema y a un sistema para la transferencia de información de contabilidad. Además, la invención se refiere a un método en un terminal, a un terminal, a un servidor de autorización de servicios del Protocolo de Autenticación Extensible (EAP), a un método en un servidor de autorización de servicios EAP, a un programa de ordenador y a un subtipo de EAP.
Antecedentes de la invención
En las Redes de Área Local, un operador de un servicio puede estar interesado en proveerse de una información variada de contabilidad relacionada con los usuarios que utilizan la red para acceder a diferentes servicios. Entre los ejemplos de dicha información de contabilidad se pueden encontrar un valor que indique durante cuánto tiempo ha utilizado un usuario un servicio específico, un valor que indique la cantidad de datos recibidos desde y/o enviados hacia un servicio específico, información referente a cuándo utilizó el usuario el servicio, y/o el número de y/o el tipo de transacciones realizadas.
En la actualidad existen sistemas en los cuales los puntos de acceso de la red recogen información de contabilidad para cada usuario/terminal que se conecta a la red a través del punto de acceso. A continuación, los puntos de acceso envían la información a un servidor de Autenticación Autorización y Contabilidad (AAA) por medio de un protocolo AAA como el RADIUS ó DIAMETER.
No obstante, puede que exista una falta de confianza entre el proveedor de servicios, el cual gestiona los servicios utilizados por un usuario, y el operador de una red de origen, la cual factura al usuario por los servicios utilizados. De este modo, la información de contabilidad del proveedor de servicios debe ser verificada y autorizada antes de que la misma sea enviada hacia el servidor AAA del operador de la red de origen.
Sumario de la invención
Uno de los objetivos de la presente invención es proporcionar una entrega mejorada de la información de contabilidad.
Este objetivo se alcanza por medio de un método en un sistema para transferir información de contabilidad según la reivindicación 1, un sistema para transferir información de contabilidad según la reivindicación 11, un método en un terminal según la reivindicación 19, un terminal según la reivindicación 22, un método en un servidor de autorización de servicios del Protocolo de Autenticación Extensible (EAP) según la reivindicación 25, un servidor de autorización de servicios EAP según la reivindicación 31, un programa de ordenador según la reivindicación 35, un programa de ordenador según la reivindicación 36, un paquete de respuesta del Protocolo de Autenticación Extensible (respuesta EAP) según la reivindicación 37. En las reivindicaciones dependientes se dan a conocer formas de realización preferidas de la invención.
Más particularmente, según uno de los aspectos, un método en un sistema para transferir información de contabilidad comprende:
evaluar datos relacionados con un servicio usado por al menos un terminal,
proporcionar los datos evaluados como información de contabilidad hacia por lo menos un servidor de autorización de servicios del Protocolo de Autenticación Extensible (EAP),
enviar, por medio de una solicitud del Protocolo de Autenticación Extensible (solicitud EAP), una solicitud de autorización de servicio desde dicho por lo menos un servidor de autorización de servicios EAP hacia dicho por lo menos un terminal,
la firma digital de información de contabilidad, en dicho por lo menos un terminal,
incluir, en dicho por lo menos un terminal, la información de contabilidad firmada digitalmente en una respuesta del Protocolo de Autenticación Extensible (respuesta EAP), y
enviar la información de contabilidad firmada digitalmente hacia un servidor AAA.
\vskip1.000000\baselineskip
Según otro de los aspectos, un sistema para transferir información de contabilidad comprende:
un servidor de evaluación para evaluar datos relacionados con un servicio,
un servidor de autorización de servicios del Protocolo de Autenticación Extensible (EAP) que incluye un generador para generar autorizaciones de servicio para la solicitud del Protocolo de Autenticación Extensible (solicitud EAP), y unos medios de conexión a red,
un terminal que incluye un módulo de firma dispuesto para firmar digitalmente información de contabilidad verificada, un generador de respuestas del Protocolo de Autenticación Extensible (respuestas EAP) dispuesto para insertar en respuestas EAP una información de contabilidad verificada y firmada digitalmente, y unos medios de conexión a red, y
un servidor de Autenticación Autorización y Contabilidad dispuesto para gestionar información de contabilidad referente a por lo menos un terminal.
\vskip1.000000\baselineskip
Según todavía otro de los aspectos, un método en un terminal comprende:
recoger datos correspondientes a información de contabilidad pertinente para por lo menos un servicio utilizado actualmente en el terminal,
recibir una solicitud del Protocolo de Autenticación Extensible (solicitud EAP) que incluye información de contabilidad pertinente para dicho por lo menos un servicio utilizado actualmente en el terminal,
comparar dicha información de contabilidad recibida con los datos recogidos, y,
si los datos recogidos se corresponden con la información de contabilidad, dicho método comprende asimismo:
la firma digital de dicha información de contabilidad recibida, y
el envío de la información de contabilidad firmada digitalmente en una respuesta del Protocolo de Autenticación Extensible (respuesta EAP).
\vskip1.000000\baselineskip
Según un aspecto adicional, un terminal comprende:
un colector dispuesto para recoger datos correspondientes a información de contabilidad pertinente para por lo menos un servicio utilizado actualmente en el terminal WLAN,
un dispositivo de comparación dispuesto para comparar los datos recogidos con información de contabilidad recibida,
un módulo de firma dispuesto para firmar digitalmente información de contabilidad verificada,
un generador de respuestas del Protocolo de Autenticación Extensible (respuestas EAP) dispuesto para insertar información de contabilidad firmada digitalmente en respuestas EAP, y
unos medios de conexión a red.
\vskip1.000000\baselineskip
Según todavía otro de los aspectos, un método en un servidor de autorización de servicios del Protocolo de Autenticación Extensible (EAP), comprende:
recibir información de contabilidad relacionada con por lo menos un terminal,
insertar dicha información de contabilidad en una solicitud del Protocolo de Autenticación Extensible (solicitud EAP), y
enviar dicha solicitud EAP hacia dicho por lo menos un terminal.
\vskip1.000000\baselineskip
Según todavía otro de los aspectos, un servidor de autorización de servicios del Protocolo de Autenticación Extensible (EAP) comprende:
un receptor de información de contabilidad para recibir información de contabilidad referente a por lo menos un terminal,
un generador de solicitudes del Protocolo de Autenticación Extensible (solicitudes EAP) dispuesto para insertar en una solicitud EAP información de contabilidad de por lo menos un terminal, y
unos medios de conexión a red.
\vskip1.000000\baselineskip
Al conseguir que el terminal/usuario autorice la información de contabilidad mediante el uso del EAP para iniciar dicha autorización y para transportar información de contabilidad firmada de dicho terminal/usuario, se posibilita que el usuario o el terminal del usuario proporcione una autorización de la información de contabilidad sin necesidad de un esfuerzo adicional excesivo por parte de un operador de la red de acceso, un operador de servicio, o el usuario en relación con la modificación de sistemas existentes. En muchos casos puede que sea una ventaja el hecho de que ya exista el EAP, y por lo tanto no hay necesidad de implementar o desarrollar protocolos adicionales. Además, el servidor de autorización de servicios EAP establece contacto con el terminal durante el establecimiento de una conexión con la red de acceso, y por lo tanto no hay necesidad de usar protocolos de descubrimiento de servidores, descubrimientos de direcciones IP de clientes, u otros procedimientos similares. Además, el mensaje EAP que incluye la autorización del servicio puede atravesar cortafuegos personales y clientes de Redes Privadas Virtuales (VPN) en el terminal.
Al conseguir que resulte posible que el usuario/terminal autorice la información de contabilidad, se puede garantizar que la información de contabilidad es correcta, y se elimina la incertidumbre de la información de contabilidad enviada directamente desde un operador de la red de acceso, el cual puede ser o no digno de confianza. De este modo, un operador de la red de acceso, o cualquier otro servicio, no puede falsificar la información de contabilidad y por lo tanto el usuario no puede rechazar posteriormente dicha información de contabilidad. Además, esta situación también puede conseguir que un usuario se sienta más cómodo al usar servicios que cuestan dinero, ya que el usuario tiene el control en cierta medida del procedimiento de cargo en su cuenta y el mismo no se encuentra totalmente en manos de los operadores.
En el contexto de la invención, el término servicio significa un servicio al que es posible acceder por medio de un terminal a través de un proveedor de servicios. Por ejemplo, un servicio puede incluir el acceso a un o una pluralidad de entornos de red, por ejemplo, una red local, una red privada, Internet, una red controlada por un operador específico, o una red de área local virtual, y el mismo puede incluir diferentes capacidades de acceso, por ejemplo, capacidades de correo electrónico, capacidades para el Servicio de Mensajes Cortos (SMS), capacidad para el Servicio Multimedia (MMS), capacidades para el comercio electrónico, capacidades de impresión, etcétera.
Según una de las formas de realización, el servidor de evaluación y el servidor de autorización de servicios EAP están incluidos en el mismo dispositivo, por ejemplo, un punto de acceso. Esta opción puede hacer que aumente el ancho de banda disponible en una red de acceso ya que el intercambio de información entre el servidor de evaluación y el servidor de autorización de servicios EAP ya no necesita utilizar la red, y, por ejemplo, puede reducirse la cantidad de mensajes de protocolo enviados.
Según otra de las formas de realización, el servidor de evaluación y el servidor de autorización de servicios EAP están incluidos en dispositivos diferentes. Esta característica puede facilitar la introducción de un servidor de autorización de servicios EAP en un sistema de red que ya incluya un servidor de evaluación. Por ejemplo, en una LAN Inalámbrica que incluya puntos de acceso que soporten la contabilidad Radius o cualquier otro protocolo de contabilidad.
En una de las formas de realización, la solicitud EAP y la respuesta EAP se envían a través de una conexión WLAN.
En otra de las formas de realización, la respuesta EAP que incluye la información de contabilidad firmada del terminal es enviada hacia, o recibida por, el servidor de autorización de servicios EAP. Esta opción posibilita que el operador de la red de acceso compruebe que el usuario del terminal o el terminal no ha alterado la información de contabilidad. Adicionalmente, en caso de que fuera necesario, el operador de la red de acceso puede controlar la identidad del usuario del terminal.
Todavía en otra de las formas de realización, la acción de firmar y la verificación de una firma se realizan por medio de un sistema criptográfico de clave pública.
A partir de la descripción detallada que se proporciona a continuación se pondrán de manifiesto otros ámbitos de aplicabilidad de la presente invención. No obstante, debería entenderse que la descripción detallada y los ejemplos específicos, aunque indican formas de realización preferidas de la invención, se ofrecen únicamente a título de ilustración, ya que para los expertos en la materia resultarán evidentes varios cambios y modificaciones dentro del alcance de la invención, a partir de la presente descripción detallada.
Breve descripción de los dibujos
Se pondrán de manifiesto otras características y ventajas de la presente invención a partir de la siguiente descripción detallada de una forma de realización actualmente preferida, haciendo referencia a los dibujos adjuntos, en los cuales
la Fig. 1 muestra una vista general esquemática de un sistema según una de las formas de realización,
la Fig. 2 muestra una vista esquemática de una forma de realización de un terminal,
la Fig. 3 muestra un diagrama de flujo de un proceso para gestionar información de contabilidad en el terminal de la Fig. 2,
la Fig. 4 muestra una vista esquemática de una forma de realización de un servidor de autorización de servicios EAP,
la Fig. 5 muestra un diagrama de flujo de un proceso para gestionar información de contabilidad y,
la Fig. 6 muestra un diagrama de temporización sobre mensajes enviados durante una transmisión de información de contabilidad según una de las formas de realización,
la Fig. 7 muestra un diagrama de temporización sobre mensajes enviados durante una transmisión de información de contabilidad según otra de las formas de realización,
la Fig. 8 muestra una vista esquemática del formato de una de las formas de realización de un paquete de Solicitud EAP/Autorización de Servicio y un paquete de Respuesta EAP/Autorización de Servicio,
la Fig. 9 muestra una vista esquemática del formato de otra de las formas de realización de un paquete de Solicitud EAP/Autorización de Servicio y de un paquete de Respuesta EAP/Autorización de Servicio, y
la Fig. 10 muestra una vista esquemática de un campo Banderas de un paquete según la Fig. 9.
Descripción detallada de una forma de realización
En la Fig. 1, se muestra una vista general esquemática de un sistema según una de las formas de realización. El sistema comprende un Servidor de autorización de servicios del Protocolo de Autenticación Extensible (EAP) 10, un punto de acceso 12, un servidor de Autenticación Autorización y Contabilidad (AAA) 14, y un terminal 16.
En una de las formas de realización, la comunicación entre un punto de acceso 12, un Servidor de autorización de servicios EAP 10, y un servidor AAA 14 se realiza a través de una red 18.
El Servidor de autorización de servicios EAP 10 está dispuesto para proporcionar al terminal 16 información de contabilidad que puede ser verificada por dicho terminal. El Servidor de autorización de servicios EAP 10 puede estar dispuesto, por ejemplo, en forma de un servidor independiente, incluido en el punto de acceso 12, incluido en el servidor AAA 14, o incluido en cualquier otro dispositivo que pueda comunicarse con el terminal 16, el servidor AAA 14 y el punto de acceso 12.
El servidor AAA 14 puede ser cualquier tipo de servidor AAA que sea conocido por los expertos en la materia.
El punto de acceso 12 puede ser cualquier tipo de punto de acceso que sea conocido por los expertos en la materia. El punto de acceso 12 incluye medios para evaluar información de contabilidad relacionada con un o una pluralidad de terminales que se conecten a través del mismo. De este modo, se puede decir que el mismo incluye un servidor de evaluación. El punto de acceso 12 está dispuesto para enviar y recibir datos por medio de una comunicación inalámbrica, por ejemplo, una comunicación de una Red de Área Local Inalámbrica, una comunicación por infrarrojos, Bluetooth, o cualquier comunicación basada en radiofrecuencia. En una de las formas de realización, el punto de acceso 12 es un punto de acceso que funciona según la norma IEEE 802 y que utiliza un Protocolo de Autenticación Extensible (EAP) según la IEEE 802.1x.
El terminal puede ser cualquier dispositivo que tenga una interfaz de usuario y medios para realizar la comunicación. Por ejemplo, el terminal puede ser un teléfono, un Asistente Personal Digital (PDA), un ordenador de mano, un ordenador portátil, un ordenador de sobremesa. El terminal puede estar dispuesto para comunicarse a través de un canal de comunicaciones inalámbricas, tal como se muestra en la Fig. 1, o a través de hilos, no mostrados en la Fig. 1. La comunicación inalámbrica puede ser, por ejemplo, una comunicación de una Red de Área Local Inalámbrica, una comunicación por infrarrojos, Bluetooth, o cualquier comunicación basada en la radiofrecuencia. La comunicación por hilos puede ser, por ejemplo, una comunicación a través de un módem y una red telefónica, una conexión directa con una Red de Área Local. En un sistema en el que se disponga de terminales conectados a la red a través de hilos, se puede disponer un servidor de evaluación independiente para recoger la información de contabilidad.
En una de las formas de realización, el punto de acceso 12 forma parte de una red de acceso que es gestionada por un operador de la red de acceso y el servidor AAA forma parte de un sistema de gestión de contabilidad gestionado por un operador del servidor AAA ó un operador de origen. El operador de la red de acceso y el operador de origen pueden formar parte de la misma organización o de organizaciones diferentes.
La expresión autorización de servicio puede hacer referencia a un acceso de la red, aunque también puede referirse a un servicio de impresora en el cual un usuario, por ejemplo, pague por páginas empresa, un servicio de comercio electrónico en el cual un usuario, por ejemplo, pague por el servicio o producto solicitado, etcétera.
En la Fig. 2 se muestra una forma de realización de un terminal 16. El terminal 16 comprende unos medios de conexión 202 para obtener una conexión inalámbrica con y comunicarse a través de un punto de acceso, y una pila de protocolos 204 que comprende un EAP 206. No obstante, tal como se ha mencionado anteriormente, los medios de conexión pueden ser un módem o una tarjeta de interfaz de red común para conectarse a dicha red por medio de hilos. Además, el terminal 16 comprende un colector 208 para recoger datos correspondientes a información de contabilidad pertinente para por lo menos un servicio utilizado actualmente en el terminal, un verificador 210 para verificar que la información de contabilidad recibida se corresponde con los datos recogidos, un módulo de firma 212 para firmar información de contabilidad que ha sido aprobada por los medios de comparación, y un generador de respuestas EAP 214 para insertar información de contabilidad firmada en un mensaje de respuesta EAP.
En una de las formas de realización el colector recoge una entrada de un usuario que establece si el usuario acepta o no la información de contabilidad. A continuación, en dicha forma de realización, el verificador únicamente debe comprobar la entrada recogida del usuario para decidir si la verificación es o no satisfactoria.
El módulo de firma 212 puede comprender medios para realizar cualquier tipo de firma digital conocida para los expertos en la materia, por ejemplo, puede ser un sistema criptográfico de clave pública, el cual se usa normalmente para firmas, o puede ser un sistema de cifrado simétrico. En un sistema criptográfico de clave pública se dispone de una clave privada y otra pública. La clave pública se puede distribuir a todas las partes implicadas. En este caso, el módulo de firma cifra un mensaje por medio de la clave privada. Si a continuación es posible descifrar dicho mensaje usando la clave pública, la firma se verifica como la firma de la persona que posee la clave pública.
Los medios 202 a 214 antes descritos se pueden implementar de forma total o parcial por medio de código de software.
La información de contabilidad puede ser un valor que indique durante cuánto ha estado conectado el terminal a un servicio, un valor que indique la cantidad de datos enviados y/o recibidos usando un servicio específico, información referente a cuándo utilizó el usuario el servicio, el número de y/o el tipo de transacciones realizadas, y/o el número de utilizaciones del servicio.
En la Fig. 3, se muestra un proceso en una de las formas de realización del terminal. El proceso comienza cuando el terminal recibe una solicitud EAP de una autorización de servicio que incluye información de contabilidad, etapa 300. A continuación, de la solicitud EAP se extrae la información de contabilidad, etapa 302. Cuando la información de contabilidad está disponible en el terminal, comienza un proceso de verificación, etapa 304.
La etapa de verificación se puede realizar de muchas maneras. En una de las formas de realización, el terminal recoge datos correspondientes a la información de contabilidad para un servicio que está actualmente en uso esencialmente durante todo el periodo en el que se usa el servicio. A continuación, cuando se realiza la etapa de verificación 304, el terminal compara los datos recogidos con la información de contabilidad recibida y toma una decisión basándose en la diferencia entre los datos recogidos y la información de contabilidad recibida con respecto a si la verificación de la información de contabilidad es o no satisfactoria.
En otra de las formas de realización, el terminal no realiza la comparación de la información de contabilidad recibida, sino que presenta la información de contabilidad y los datos recogidos al usuario el cual decide si verificar o no la información de contabilidad. Si el usuario realiza la verificación, en ese caso la etapa de verificación 304 resulta satisfactoria, si no la misma da como resultado un fallo.
Todavía en otra de las formas de realización, el terminal no recoge dichos datos y, por lo tanto, no hay disponibles datos recogidos. En tal caso, la etapa de verificación 304 puede presentar la información de contabilidad recibida al usuario y esperar a que el mismo verifique la información de contabilidad. Si el usuario realiza la verificación, en ese caso la etapa de verificación 304 es satisfactoria, si no la misma da como resultado un fallo.
En una forma de realización adicional, el terminal recoge datos y compara los mismos con la información de contabilidad recibida. No obstante, el terminal proporciona una interfaz para el usuario por medio de la cual el usuario puede seleccionar "ok" o "anular" para aceptar la información de contabilidad o evitar el envío de la misma. La firma de la información de contabilidad se puede realizar antes o después de que el usuario haya notificado la selección al terminal.
En otra de las formas de realización, la solicitud EAP de autorización de servicio, recibida en la etapa 300, no incluye ninguna información de contabilidad. En tal caso, no se realiza la etapa 302 referente a la extracción de información de contabilidad. Después de la recepción de la solicitud EAP de autorización de servicio, el terminal considera los datos recogidos por él mismo como información de contabilidad verificada y, por lo tanto, la etapa de verificación se considera como satisfactoria.
En la etapa 306, con independencia de cuál de entre las formas de realización anteriores de la etapa de verificación 304 se use, el proceso comprueba si la etapa de verificación 304 dio un resultado satisfactorio o un fallo. Si el resultado es un fallo, a continuación el proceso finaliza, etapa 308. No obstante, si el resultado es satisfactorio, a continuación el proceso avanza mediante la firma de la información de contabilidad, etapa 310.
La firma, etapa 310, se puede realizar por medio de cualquier método conocido por los expertos en la materia. Por ejemplo, por medio de un cifrado de clave pública. También se pueden usar otros esquemas de firma, por ejemplo, se puede usar un sistema criptográfico simétrico para cifrar la información de contabilidad, aunque, en tal caso, únicamente el terminal y el operador de origen pueden compartir la clave de representación de la firma.
A continuación, la información de contabilidad firmada se inserta en una respuesta EAP, etapa 314, y la respuesta EAP se envía a través de la conexión de la red.
En la Fig. 4, se muestra 10 una de las formas de realización del servidor de autorización de servicios EAP. El servidor de autorización de servicios EAP según la figura comprende medios de conexión a red 402 para conectarse a una red 403, y una pila de protocolos 404 que incluye un EAP 406. Si el servidor de autorización de servicios EAP 10 no es un dispositivo en el cual únicamente se implementa el servidor de autorización de servicios EAP 10, los medios de conexión a red 402 y la pila de protocolos 404 pueden ser compartidos por los otros dispositivos, por ejemplo, si el servidor de autorización de servicios EAP 10 está incluido en un punto de acceso, en un servidor AAA, o en un servidor proxy AAA. En una de las formas de realización, la pila también incluye un protocolo AAA, por ejemplo, el protocolo RADIUS o un protocolo DIAMETER.
Además, el servidor de autorización de servicios EAP 10 incluye un receptor de información de contabilidad 408, el cual está dispuesto para gestionar información de contabilidad recibida desde un o una pluralidad de puntos de acceso, y un generador de solicitudes EAP, el cual está dispuesto para utilizar el EAP 406 y generar solicitudes EAP de autorizaciones de servicio. Según una de las formas de realización, la solicitud EAP incluye información de contabilidad de un terminal específico para ser enviada hacia dicho terminal específico, esta opción se implementa si el terminal o el usuario debe tomar una decisión referente a si la información de contabilidad proveniente del servidor de autorización de servicios EAP es o no correcta. Según otra de las formas de realización, la solicitud EAP de autorización de servicio no incluye ninguna información de contabilidad, esta opción se implementa si el servidor de autorización de servicios EAP debe tomar la decisión referente a si la información de contabilidad del terminal es o no correcta.
El tiempo entre el envío de dos solicitudes EAP consecutivas que incluyan información de contabilidad de un terminal específico se puede basar en el tiempo entre la recepción de la información de contabilidad, en un valor de una propiedad específica de la información de contabilidad, por ejemplo, dicha solicitud EAP debe enviarse cuando el tiempo transcurrido desde la última solicitud supere un valor específico o cuando la cantidad de datos enviados y/o recibidos desde la última solicitud supere un valor específico, o en unos criterios predeterminados fijados por uno de los operadores. La autorización del servicio EAP puede estar dispuesta para gestionar información de contabilidad referente a un o una pluralidad de terminales.
Además, el servidor de autorización de servicios EAP 10 incluye un extractor 412, un verificador de firmas 414, un terminador de acceso 416, y un generador de mensajes de contabilidad 418.
El extractor 412 está dispuesto para extraer información de contabilidad firmada a partir de una respuesta EAP originada en un terminal.
El verificador 414 está dispuesto para verificar la firma y el contenido del mensaje de respuesta EAP. La verificación del contenido se puede lograr comprobando si la información de contabilidad recibida se corresponde con la información enviada desde el servidor de autorización de servicio EAP hacia el terminal o si la información recibida se corresponde con la información recogida en el servidor de autorización de servicios EAP. La verificación de la firma se puede lograr por medio de una clave pública almacenada en el servidor de autorización de servicios EAP 10. La clave pública se puede haber proporcionado al servidor de autorización de servicios EAP 10 desde el terminal en forma de un certificado en una respuesta EAP, o desde el servidor AAA en un mensaje de contestación EAP Diameter/Radius durante el proceso de autorización de acceso.
El terminador de acceso 416 está dispuesto para finalizar el acceso a un servicio específico si no se cumplen uno o una pluralidad de entre unos criterios predeterminados.
El generador de mensajes de contabilidad está dispuesto para generar un mensaje AAA que incluye información de contabilidad firmada y para iniciar el envío del mensaje hacia un servidor AAA que gestione el servicio con el que está relacionada la información de contabilidad.
En la Fig. 5, se muestra un proceso de una de las formas de realización del servidor de autorización de servicios EAP 10. El proceso comienza cuando el servidor de autorización de servicios EAP 10 recibe información de contabilidad relacionada con un terminal específico, etapa 502. A continuación, se genera una solicitud EAP, la solicitud EAP incluye dicha información de contabilidad, etapa 504. A continuación, la solicitud EAP se envía a dicho terminal, al cual se refiere la información de contabilidad, etapa 506. En una de las formas de realización, la generación y el envío de la solicitud EAP que incluye la información de contabilidad no se realiza hasta que se ha alcanzado al valor acumulado de una propiedad específica en la información de contabilidad, por ejemplo, un valor de tiempo, un valor de datos enviados y/o recibidos, o un valor relacionado directamente con el dinero, es decir, el envío se puede realizar de forma periódica o una vez en un periodo de tiempo determinado.
Cuando se envía la solicitud EAP, se pone en marcha un temporizador, etapa 508. En la etapa 510, el valor de temporizador se compara con un límite de tiempo predeterminado, t_{\text{límite}}. Si el valor del temporizador no supera t_{\text{límite}}, en ese caso el proceso continúa comprobando si se ha recibido una respuesta EAP desde el terminal, etapa 514. Si no se ha recibido ninguna respuesta EAP, el proceso vuelve a la etapa 510 y compara el valor del temporizador con el valor del t_{\text{límite}}. Si el valor del temporizador supera el valor de t_{\text{límite}}, en ese caso no se ha recibido ninguna respuesta EAP en el límite de tiempo y el proceso continúa hacia la etapa 512 y pone fin al acceso al servicio al que se refiere la información de contabilidad. No obstante, si se recibe una respuesta EAP, etapa 514, antes de que se agote el límite de tiempo, el servidor de autorización de servicios EAP 10 verifica la firma de la respuesta EAP, etapa 516, por medio de la firma del terminal o el usuario del terminal que está almacenada en una memoria del servidor de autorización de servicios EAP 10. El proceso también puede verificar que la información de contabilidad recibida se corresponde con la información de contabilidad enviada al terminal. Si la firma no es válida, etapa 518, el proceso continúa hacia la etapa 512 y pone fin al acceso al servicio al que se refiere la información de contabilidad. No obstante, si la firma es válida, el proceso continúa hacia la etapa 520, en la que prepara y envía la información de contabilidad firmada hacia un servidor AAA.
Según otra de las formas de realización, la solicitud EAP generada en la etapa 504 no incluye la información de contabilidad y, por lo tanto, la información de contabilidad recibida en la respuesta EAP, etapa 514, es información recogida por el terminal. De este modo, la verificación del contenido en la etapa 516 se realiza comparando la información de contabilidad recibida con la información de contabilidad correspondiente recogida en el servidor de autorización de servicios EAP.
En la Fig. 6, se muestra un diagrama de temporización según una de las formas de realización, en la cual el servidor de autorización de servicios EAP está dispuesto en forma de un dispositivo independiente, en un proxy AAA, o en otro dispositivo adecuado. Según esta forma de realización, un punto de acceso recoge información de contabilidad para uno o una pluralidad de usuarios/terminales. Para cada usuario/terminal, el punto de acceso recoge datos por lo menos durante el periodo de tiempo en el que el terminal está accediendo a un servicio, 602. Cuando se ha recogido información de contabilidad durante un periodo de tiempo predeterminado o en correspondencia con una cantidad predeterminada de datos enviados y/o recibidos, el punto de acceso envía hacia un servidor de autorización de servicios EAP una solicitud de contabilidad Diameter 604, que incluye la información de contabilidad relacionada con un terminal específico. La solicitud de contabilidad no se envía necesariamente por medio del protocolo Diameter, sino que se puede enviar por medio de cualquier protocolo que se pueda usar para lograr una funcionalidad correspondiente, por ejemplo, el protocolo RADIUS. Esto se aplica también para otras transmisiones que se mencionan a continuación que usan el protocolo Diameter.
A continuación, el servidor de autorización de servicios EAP gestiona la solicitud de contabilidad Diameter, mensaje 604, ver Figs. 4 y 5, y la información de contabilidad incluida y responde enviando una contestación EAP Diameter, mensaje 606, al punto de acceso. La contestación EAP Diameter incluye una solicitud EAP/Autorización de Servicio que transporta información de contabilidad. El mensaje de solicitud EAP/Autorización de Servicio que transporta información de contabilidad es empaquetado a continuación mediante el protocolo EAP sobre LAN (EAPOL) en el punto de acceso y es enviado como cualquier otra solicitud EAP hacia dicho terminal específico, mensaje 608. En la forma de realización representada, el terminal es un terminal habilitado para las Redes de Área Local Inalámbricas (WLAN). No obstante, tal como se ha mencionado anteriormente, el terminal puede estar dispuesto para la comunicación a través de otros métodos. A continuación, el terminal gestiona la Solicitud EAP recibida, comprueba la información de contabilidad 609, ver también Figs. 2 y 3, y envía un EAPOL que incluye una Respuesta EAP/Autorización de Servicio que transporta información de contabilidad firmada hacia el punto de acceso, mensaje 610. El envío del EAPOL que incluye la Respuesta EAP/Autorización de Servicio que transporta información de contabilidad firmada se realiza únicamente si la verificación de la información de contabilidad resultó satisfactoria. A continuación, el punto de acceso traslada la Respuesta EAP/Autorización de Servicio, que transporta la información de contabilidad firmada, al servidor de autorización de servicios EAP por medio de una Solicitud EAP Diameter, mensaje 612. A continuación, el servidor de autorización de servicios EAP genera un mensaje de resultado satisfactorio EAP y lo envía en una contestación EAP Diameter al punto de acceso, mensaje 614. A continuación, el punto de acceso traslada el mensaje de resultado satisfactorio EAP al terminal por medio de un EAPOL, mensaje 616. Cuando la información de contabilidad firmada es recibida en el servidor de autorización de servicios EAP en el mensaje 612, el servidor de autorización de servicios EAP comienza a verificar la firma de la información de contabilidad 617, ver también Figs. 4 y 5. Si la verificación de la firma resulta satisfactoria, es decir, la firma es válida, a continuación el servidor de autorización de servicios EAP envía una Solicitud de Contabilidad Diameter que incluye la información de contabilidad firmada hacia un servidor AAA que gestionará la información de contabilidad.
En la Fig. 7 se muestra un diagrama de temporización según otra de las formas de realización en la cual el servidor de autorización de servicios EAP está incluido en el punto de acceso. En esta forma de realización, la información de contabilidad recogida o evaluada 702 por medio del punto de acceso es accesible para el servidor de autorización de servicios EAP o se traslada al servidor de autorización de servicios EAP por medio de una comunicación interna dentro del punto de acceso. A continuación, el Punto de Acceso/servidor de autorización de servicios EAP genera y envía al terminal un mensaje EAPOL que incluye una Solicitud EAP/Autorización de Servicio que transporta la información de contabilidad, mensaje 704. En la forma de realización representada el terminal es un terminal habilitado para las WLAN. No obstante, tal como se ha mencionado anteriormente, el terminal puede estar dispuesto para la comunicación a través de otros métodos. En el terminal se verifica 706 la información de contabilidad. Si la verificación resulta satisfactoria, a continuación se firma la información de contabilidad y el terminal envía al punto de acceso un mensaje EAPOL 708 que incluye una Respuesta EAP/Autorización de Servicio, la cual transporta la información de contabilidad firmada. En respuesta a este mensaje, el punto de acceso responde enviando un mensaje EAPOL que incluye un mensaje de Resultado satisfactorio EAP 710. A continuación, el punto de acceso/servidor de autorización de servicios EAP genera y envía al servidor AAA una Solicitud de Contabilidad Diameter 714.
En la Fig. 8, se muestra una forma de realización de un subtipo de EAP en forma de un formato de paquete EAP especializado para la Solicitud EAP/Autorización de Servicio y la Respuesta EAP/Autorización de Servicio. El paquete tanto de la Solicitud EAP/Autorización de Servicio como de la Respuesta EAP/Autorización de Servicio comprende un campo de Código 802, un campo de Identificador 804, un campo de Longitud 806, un campo de Tipo 808, un campo de Tipo de datos 810, y un campo de Datos 812.
Tal como en la especificación EAP, la longitud del campo de Código 802 es 8 bits, es decir, un octeto, e identifica el tipo de paquete EAP que se va a enviar. Los códigos EAP se asignan de la manera siguiente:
1
Solicitud
2
Respuesta
Otros códigos usados en el campo de Código 802 de los paquetes EAP son 3 para Resultado Satisfactorio y 4 para Fallo. No obstante, para estos códigos, el formato del paquete EAP no se corresponde necesariamente con el formato de la Solicitud EAP/Autorización de Servicio y la Respuesta EAP/Autorización de Servicio según se muestra en la Fig. 8. En la especificación del EAP contenida en la IETF RFC 2284 se puede encontrar un formato específico para los paquetes de Resultado Satisfactorio EAP y Fallo EAP.
El campo de Identificador 804 es también un octeto e incluye un código de identificación para comparar respuestas con solicitudes. La generación de dichos códigos de identificación es conocida por los expertos.
El campo de Longitud 806 es dos octetos e indica la longitud del paquete EAP que incluye el campo de Código 802, el campo de Identificador 804, el campo de Longitud 806, el campo de Tipo 808, el campo de Tipo de datos 810, y el campo de Datos 812.
El campo de Tipo 808 es un octeto y especifica el tipo del paquete EAP. Para la Solicitud EAP/Autorización de Servicio y la Respuesta EAP/Autorización de Servicio, el campo de Tipo 808 se fija a un código que identifica el paquete como un paquete de Autorización de Servicio.
El campo de Tipo de datos 810 es un octeto y especifica el tipo de datos del campo de Datos 812. Según una de las formas de realización de la Solicitud EAP/Autorización de Servicio, el tipo de datos puede ser, por ejemplo, pares Atributo-Valor, una cadena de texto de Visualización Obligada, o un documento XML. Según una de las formas de realización de la Respuesta EAP/Autorización de Servicio, el campo de Tipo de datos identifica el tipo de los datos firmados, los cuales pueden ser, por ejemplo, una Firma PKCS#1, datos firmados PKCS#7, o una Firma XML. En la publicación "PKCS #1: RSA Cryptography Standard", Versión 2.0, octubre de 1998, de RSA Laboratories, se encuentra una descripción del PKCS#7. En la publicación "PKCS #7: Cryptographic Message Syntax Standard", Versión 1,5, noviembre de 1993, de RSA Laboratories, se encuentra una descripción del PKCS#7. En el siguiente documento de D. Eastlake 3º, J. Reagle, D. Solo, "(Extensible Markup Language) XML-signature Syntax and Processing", RFC 3275, marzo de 2002, se encuentra una descripción de la firma XML.
El campo de Datos 812 puede comprender un número cualquier de octetos. Según una de las formas de realización de la Solicitud EAP/Autorización de Servicio, el campo de Datos 812 incluye dicha información de contabilidad, la cual se puede presentar, por ejemplo, en forma de pares Atributo-valor, una cadena de texto de Visualización Obligada, o un Documento XML. Según una de las formas de realización de la Respuesta EAP/Autorización de Servicio, el campo de datos 812 incluye dicha información de contabilidad firmada, la cual se puede firmar según el método especificado en el campo de Tipo de datos 810.
La cantidad de datos a transmitir en un único mensaje de Autorización de Servicio puede ser muy grande. De este modo, los mensajes de autorización de servicio enviados en una única ronda pueden tener un tamaño mayor que el correspondiente a una unidad de Transmisión Máxima del Protocolo Punto-a-Punto (PPP MTU), el tamaño máximo de los paquetes RADIUS de 4096 octetos, o incluso una Unidad Reconstruida Recibida Máxima Multienlace (MRRU). Tal como se describe en la IETF RFC 1990, "The PPP Multilink Protocol (MP)", de Sklower, K., Lloyd, B., McGregor, G., Carr, D. y T. Coradetti, agosto de 1996, la MMRU multienlace se negocia a través de la opción MRRU LCP Multienlace, la cual incluye un campo de longitud MRRU de dos octetos, y por lo tanto puede soportar unidades MRRU de hasta 64 KB.
No obstante, para protegerse contra un bloqueo del reensamblado y ataques de denegación de servicio, puede que resulte deseable que una de las implementaciones fije un tamaño máximo para dicho grupo de mensajes de Autorización de Servicio. Como una cadena de certificados típica es rara vez mayor que unos pocos miles de octetos, y no es probable que ningún otro campo se aproxime ni de lejos a este valor, una elección razonable para la longitud aceptable máxima del mensaje podría ser 64 KB.
Si se selecciona este valor, en ese caso la fragmentación se puede gestionar a través de los mecanismos de fragmentación PPP multienlace descritos en la IETF RFC 1990. Aunque esta es la situación deseable, pueden producirse casos en los cuales no se pueda negociar la opción multienlace o MRRU LCP. Como consecuencia, una de las implementaciones de la Autorización de Servicios EAP puede estar dispuesta, según una de las formas de realización, para proporcionar su propio soporte para la fragmentación y el reensamblado.
Como el EAP es un protocolo ACK-NAK sencillo, el soporte de la fragmentación se puede añadir de una manera sencilla. En el EAP, los fragmentos que se pierdan o sufren desperfectos en el tránsito volverán a transmitirse, y como en el EAP la información de secuenciación la proporciona el campo de identificador, no existe la necesidad de un campo de deriva de fragmentos como el que se proporciona en el IPv4.
El soporte de la fragmentación de la Autorización de Servicio EAP se puede proporcionar a través de la adición de un octeto banderas dentro de los paquetes de Respuesta EAP y Solicitud EAP, así como de un campo de Longitud de Mensaje de Autorización de Servicio de cuatro octetos. Por ejemplo, el octeto banderas puede incluir los bits de Longitud incluida (L) y de Más fragmentos (M). En tal caso, la bandera L se puede fijar de manera que indique la presencia del campo de cuatro octetos de Longitud de Mensaje de Autorización de Servicio, y se activa para el primer fragmento de un mensaje o conjunto de mensajes de la Autorización de Servicio fragmentados. Por consiguiente, la bandera M se activa en todos los fragmentos excepto el último. El campo de Longitud de Mensaje de Autorización de Servicio puede ser cuatro octetos, y proporciona la longitud total del mensaje o conjunto de mensajes de Autorización de Servicio que se esté fragmentando; esta opción puede simplificar la asignación de memorias intermedias.
Cuando un par de la Autorización de Servicio EAP recibe un paquete de Solicitud EAP con el bit M activado, responde con una Respuesta EAP con Autorización de Servicio EAP de Tipo EAP y sin datos. Este elemento sirve como un Acuse de recibo (ACK) del fragmento. El servidor EAP espera hasta que recibe la Respuesta EAP antes de enviar otro fragmento. Para evitar errores en el procesado de fragmentos, el servidor EAP puede incrementar el campo de Identificador para cada fragmento contenido dentro de una Solicitud EAP, y el par puede incluir este valor del Identificador en el ACK del fragmento contenido en la Respuesta EAP. Los fragmentos que se vuelven a transmitir pueden contener el mismo valor del Identificador.
De forma similar, cuando el servidor EAP recibe una Respuesta EAP con el bit M activado, responde con una Solicitud EAP con Autorización de Servicio EAP del Tipo EAP y sin datos. Este elemento sirve como un ACK del fragmento. El par del EAP espera hasta que recibe la Solicitud EAP antes de enviar otro fragmento. Para evitar errores en el procesado de los fragmentos, el servidor EAP puede incrementar el valor del Identificador para cada ACK del fragmento contenido en una Solicitud EAP, y el par puede incluir este valor del Identificador en el fragmento subsiguiente contenido en una Respuesta EAP.
Según una de las formas de realización, una implementación de la Autorización de Servicio EAP que esté dispuesta para proporcionar su propio soporte para la fragmentación y el reensamblado puede utilizar un formato de paquete de Solicitud EAP/Autorización de Servicio y un formato de paquete de Respuesta EAP/Autorización de Servicio que se describen posteriormente y se muestran en la Fig. 9.
Con independencia de si el paquete es un paquete de Solicitud EAP/Autorización de Servicio o un paquete de Respuesta EAP/Autorización de Servicio, el paquete comprende un campo de Código 802, un campo de Identificador 804, un campo de Longitud 806, un campo de Tipo 808, un campo de Banderas 902, un campo de Longitud de Mensaje de Autorización de Servicio 904. El campo de Código 802, el campo de Identificador 804, el campo de Longitud 806, y el campo de Tipo 808 pueden ser idénticos a los campos correspondientes descritos en relación con la Fig. 8.
El campo de Banderas 902 puede tener una longitud de un octeto e incluye banderas para controlar la fragmentación. En una de las formas de realización, el campo de Banderas puede presentar el formato que se muestra en la Fig. 10, en el cual los caracteres L, M, y R son un bit e indican banderas, y:
L = Longitud incluida
M = Más fragmentos
R = Reservado
La bandera L (longitud incluida) se activa para indicar la presencia del campo de Longitud de Mensaje de Autorización de Servicio de cuatro octetos, y se puede activar para el primer fragmento de un mensaje o conjunto de mensajes fragmentado de Autorización de Servicio. El bit M (más fragmentos) se activa en todos los fragmentos excepto el último.
El campo de Longitud de Mensaje de Autorización de Servicio 904 puede ser cuatro octetos, y está presente únicamente si se ha activado el bit L. Este campo proporciona la longitud total del mensaje o conjunto de mensajes de Autorización de Servicio que se esté fragmentando.
El campo de Mensaje XXX de Autorización de Servicio 906 es un campo de Mensaje de Solicitud de Autorización de Servicio en un paquete de Solicitud EAP/Autorización de Servicio y un campo de Mensaje de Respuesta de Autorización de Servicio en un paquete de Respuesta EAP/Autorización de Servicio.
El campo Mensaje de Solicitud de Autorización de Servicio en un paquete de Solicitud EAP/Autorización de Servicio puede incluir datos que van a ser firmados, es decir, información de contabilidad, y una indicación del formato de dichos datos. El mismo se puede implementar según una pluralidad de maneras. Por ejemplo, se puede utilizar el protocolo de Seguridad de la Capa de Transporte (TLS). El protocolo TSL y el lenguaje de presentación del TLS se describen en la IETF RFC 2246, "The TLS Protocol Version 1.0", de T. Dierks, C. Allen, enero de 1999. Dicho formato puede indicar, por ejemplo, una cadena basada en texto, pares Atributo-Valor, o un documento XML.
El campo de Mensaje de Respuesta de Autorización de Servicio en un paquete de Respuesta EAP/Autorización de Servicio incluye los datos firmados y si es necesario una indicación del método de firma. Los métodos de firma pueden ser, por ejemplo, uno de los métodos descritos en relación con la Fig. 8.

Claims (41)

1. Método para un sistema para transferir información de contabilidad, comprendiendo dicho método:
evaluar datos relacionados con un servicio usado por al menos un terminal (16),
proporcionar los datos evaluados como información de contabilidad hacia por lo menos un servidor de autorización de servicios (10) del Protocolo de Autenticación Extensible, EAP,
enviar, por medio de una solicitud del Protocolo de Autenticación Extensible, solicitud EAP, una solicitud de autorización de servicio desde dicho por lo menos un servidor de autorización de servicios EAP hacia dicho por lo menos un terminal,
firmar digitalmente información de contabilidad, en dicho por lo menos un terminal,
incluir, en dicho por lo menos un terminal, la información de contabilidad firmada digitalmente en una respuesta del Protocolo de Autenticación Extensible, respuesta EAP, y
enviar la información de contabilidad firmada digitalmente hacia un servidor de Autenticación, Autorización y Contabilidad, AAA (14).
2. Método según la reivindicación 1, en el que la acción de proporcionar los datos evaluados a dicho por lo menos un servidor de autorización de servicios EAP se realiza por medio de una comunicación interna dentro de un dispositivo que comprende tanto dicho por lo menos un servidor de evaluación como dicho por lo menos un servidor de autorización de servicios EAP.
3. Método según la reivindicación 11, en el que la acción de proporcionar los datos evaluados a dicho por lo menos un servidor de autorización de servicios EAP se realiza por medio de una comunicación de red entre un dispositivo que comprende dicho por lo menos un servidor de evaluación y un dispositivo que comprende dicho por lo menos un servidor de autorización de servicios EAP.
4. Método según cualquiera de las reivindicaciones 1 a 31, en el que dicho por lo menos un servidor de evaluación se incluye en un punto de acceso (12), y en el que dicha solicitud EAP de autorización de servicio y dicha respuesta EAP que incluye información de contabilidad firmada es recibida y enviada por el terminal a través de dicho punto de acceso.
5. Método según la reivindicación 4, en el que dicha recepción y dicho envío por parte de dicho por lo menos un terminal desde/hacia dicho punto de acceso se realiza por medio de una comunicación de Red de Área Local Inalámbrica, WLAN.
6. Método según cualquiera de las reivindicaciones 1 a 5, en el que dicho envío de una solicitud de autorización de servicio comprende incluir la información de contabilidad, proporcionada a dicho por lo menos un servidor de autorización de servicios EAP, en dicha solicitud EAP de autorización de servicio, y en el que dicho método comprende asimismo la verificación, realizada por dicho por lo menos un terminal, de la información de contabilidad recibida desde dicho por lo menos un servidor de autorización de servicios EAP antes de que se realice la etapa de la firma digital de la información de contabilidad, en la que la información de contabilidad que se firma es la información de contabilidad verificada.
7. Método según cualquiera de las reivindicaciones 1 a 5, en el que dicho envío de una solicitud de autorización de servicio comprende incluir la información de contabilidad, proporcionada a dicho por lo menos un servidor de autorización de servicios EAP, en dicha solicitud EAP de autorización de servicio, y en el que dicho método comprende asimismo la verificación, realizada por el usuario de dicho por lo menos un terminal, de la información de contabilidad recibida desde dicho por lo menos un servidor de autorización de servicios EAP antes de que se realice la etapa de firma digital de la información de contabilidad, en la que la información de contabilidad que se firma es la información de contabilidad verificada.
8. Método según cualquiera de las reivindicaciones 1 a 5, en el que dicha acción de firmar digitalmente la información de contabilidad comprende la acción de firmar digitalmente la información de contabilidad recogida por dicho por lo menos un terminal.
9. Método según cualquiera de las reivindicaciones 1 a 8, en el que dicha etapa en la que se envía la información de contabilidad verificada y firmada digitalmente al servidor AAA comprende:
enviar la información de contabilidad firmada digitalmente desde dicho por lo menos un terminal a dicho por lo menos un servidor de autorización de servicios EAP por medio de dicha respuesta EAP,
\newpage
verificar la firma de la información de contabilidad firmada digitalmente en el por lo menos un servidor de autorización de servicios EAP, y
enviar la información de contabilidad firmada digitalmente desde dicho por lo menos un servidor de autorización de servicios EAP hacia el servidor AAA.
10. Método según cualquiera de las reivindicaciones 1 a 9, en el que la acción de la firma digital se realiza por medio de un algoritmo de clave pública.
11. Sistema para transferir información de contabilidad, comprendiendo dicho sistema:
un servidor de evaluación para evaluar datos relacionados con un servicio,
un servidor de autorización de servicios (10) del Protocolo de Autenticación Extensible (EAP) que comprende un generador (410) para generar solicitudes de autorizaciones de servicio del Protocolo de Autenticación Extensible, solicitud EAP, y unos medios de conexión a red (402),
un terminal (16) que incluye un módulo de firma (212) dispuesto para firmar digitalmente información de contabilidad verificada, un generador de respuestas del Protocolo de Autenticación Extensible, respuestas EAP, (214) dispuesto para insertar en respuestas EAP una información de contabilidad firmada digitalmente, y unos medios de conexión a red (202), y
un servidor de Autenticación Autorización y Contabilidad, AAA, (14) dispuesto para gestionar información de contabilidad referente por lo menos a un terminal.
12. Sistema según la reivindicación 11, en el que el servidor de evaluación y el servidor de autorización de servicios EAP están dispuestos en el mismo dispositivo.
13. Sistema según la reivindicación 11, en el que el servidor de evaluación y el servidor de autorización de servicios EAP están dispuestos en dispositivos diferentes.
14. Sistema según cualquiera de las reivindicaciones 11 a 13, que comprende asimismo un punto de acceso (12), en el que el punto de acceso comprende dicho servidor de evaluación.
15. Sistema según la reivindicación 14, en el que dicho por lo menos un terminal es un terminal habilitado para las Redes de Área Local Inalámbricas, WLAN, y dicho por lo menos un punto de acceso es un punto de acceso WLAN.
16. Sistema según cualquiera de las reivindicaciones 11 a 15, en el que dicho generador destinado a generar solicitudes de autorizaciones de servicio del Protocolo de Autenticación Extensible, solicitudes EAP, está dispuesto para insertar información de contabilidad de por lo menos un terminal en solicitudes EAP de autorizaciones de servicio.
17. Sistema según cualquiera de las reivindicaciones 11 a 16, en el que dicho terminal comprende asimismo un verificador (210) dispuesto para verificar información de contabilidad recibida desde un servidor de autorización de servicios.
18. Sistema según cualquiera de las reivindicaciones 11 a 17, en el que dicho servidor de autorización de servicios EAP comprende asimismo un verificador de firmas (414) para verificar firmas de terminales, y un generador de mensajes de contabilidad (418) para generar mensajes de contabilidad a enviar hacia dicho servidor AAA.
19. Método para un terminal (16), comprendiendo dicho método:
recoger datos correspondientes a información de contabilidad pertinente para por lo menos un servicio utilizado actualmente en el terminal,
recibir una solicitud de autorización de servicio del Protocolo de Autenticación Extensible, solicitud EAP, firmar digitalmente información de contabilidad, y
enviar la información de contabilidad firmada digitalmente en una respuesta del Protocolo de Autenticación Extensible, respuesta EAP.
20. Método según la reivindicación 19, en el que la información de contabilidad que se firma digitalmente en la etapa de firma digital de la información de contabilidad es los datos recogidos en la etapa en la que se recogen datos correspondientes a la información de contabilidad.
21. Método según la reivindicación 19, en el que dicha solicitud EAP de autorización de servicio, recibida en la etapa en la que se recibe una solicitud EAP de autorización de servicio, incluye información de contabilidad pertinente para dicho por lo menos un servicio utilizado actualmente en el terminal.
22. Método según la reivindicación 21, comprendiendo asimismo el método:
comparar dicha información de contabilidad recibida con los datos recogidos, y
si los datos recogidos se corresponden con la información de contabilidad, en ese caso realizar dichas etapas en las que se firma digitalmente información de contabilidad y se envía la información de contabilidad firmada digitalmente.
23. Método según cualquiera de las reivindicaciones 19 a 22, en el que la recepción de una solicitud EAP y el envío de una respuesta EAP se realiza a través de una conexión de Red de Área Local Inalámbrica.
24. Método según cualquiera de las reivindicaciones 19 a 23, en el que la acción de firmar digitalmente comprende el cifrado de dicha información de contabilidad verificada por medio de un sistema criptográfico de clave pública.
25. Terminal (16) que comprende:
un colector (208) dispuesto para recoger datos correspondientes a información de contabilidad pertinente para por lo menos un servicio utilizado actualmente en el terminal,
un módulo de firma (212) dispuesto para firmar digitalmente información de contabilidad,
un generador de respuestas del Protocolo de Autenticación Extensible, respuestas EAP, (214) dispuesto para insertar información de contabilidad firmada digitalmente en respuestas EAP, y
unos medios de conexión a red (202).
26. Terminal según la reivindicación 25, que comprende asimismo un dispositivo de comparación (210) dispuesto para comparar los datos recogidos con información de contabilidad recibida.
27. Terminal según cualquiera de la reivindicación 25 ó la reivindicación 26, en el que dichos medios de conexión a red son unos medios de conexión a una Red de Área Local Inalámbrica, WLAN, para conectar dicho terminal a una WLAN.
28. Terminal según cualquiera de la reivindicación 25 ó la reivindicación 27, que comprende asimismo unos medios de algoritmo de cifrado de un sistema criptográfico de clave pública para firmar información de contabilidad verificada.
29. Método para un servidor de autorización de servicios (10), del Protocolo de Autenticación Extensible, EAP, comprendiendo dicho método:
recibir información de contabilidad relacionada con por lo menos un terminal (16),
enviar, hacia por lo menos un terminal, una solicitud del Protocolo de Autenticación Extensible, solicitud EAP, para pedir una autorización de servicio,
recibir una respuesta del Protocolo de Autenticación Extensible, respuesta EAP, que incluye información de contabilidad firmada, la cual ha sido firmada en el por lo menos un terminal,
proporcionar la información de contabilidad firmada a un servidor de Autenticación Autorización y Contabilidad (14).
30. Método según la reivindicación 29, en el que dicha información de contabilidad se recibe a través de una red (18).
31. Método según la reivindicación 29, en el que dicha información de contabilidad se recibe a través de unos medios de comunicación internos de un dispositivo en el cual está incluido dicho servidor de autorización de servicios EAP.
32. Método según cualquiera de las reivindicaciones 29 a 31, que comprende asimismo:
insertar dicha información de contabilidad recibida en la solicitud EAP, antes de que se realicen las etapas de envío de una solicitud EAP y de recepción de una respuesta EAP, para pedir una autorización de servicio.
33. Método según cualquiera de las reivindicaciones 29 a 32, en el que la firma de dicha información de contabilidad firmada se verifica por medio de un algoritmo de un sistema criptográfico de clave pública.
34. Método según cualquiera de las reivindicaciones 29 a 33, que comprende asimismo la verificación de la información de contabilidad firmada antes de que se proporcione la información de contabilidad firmada a dicho servidor AAA.
35. Método según cualquiera de las reivindicaciones 29 a 34, en el que dicha respuesta EAP se recibe desde un terminal a través de una Red de Área Local Inalámbrica, WLAN.
36. Servidor de autorización de servicios (10) del Protocolo de Autenticación Extensible, EAP, que comprende:
un receptor de información de contabilidad (408) para recibir información de contabilidad referente por lo menos a un terminal (16), un generador de solicitudes del Protocolo de Autenticación Extensible, solicitudes EAP, (410) dispuesto para generar solicitudes EAP de autorizaciones de servicio,
un extractor (412) para extraer información de contabilidad firmada digitalmente a partir de una respuesta del Protocolo de Autenticación Extensible, respuesta EAP, recibida,
un generador de mensajes de contabilidad (418) para generar un mensaje, en concordancia con un protocolo de Autenticación Autorización y Contabilidad, AAA, que incluye dicha información de contabilidad firmada digitalmente, y
unos medios de conexión a red (402).
37. Servidor de autorización de servicios EAP según la reivindicación 36, en el que dicho servidor de autorización de servicios EAP está adaptado para ser incluido en un punto de acceso (12).
38. Servidor de autorización de servicios EAP según cualquiera de la reivindicación 36 ó 37, en el que el generador de solicitudes EAP está dispuesto asimismo para insertar en una solicitud EAP información de contabilidad referente a servicios usados por al menos un terminal.
39. Servidor de autorización de servicios EAP según cualquiera de las reivindicaciones 36 a 38, que comprende asimismo por lo menos una clave pública para el descifrado de un mensaje firmado.
40. Programa de ordenador cargable directamente en la memoria interna de un terminal (16), comprendiendo el programa de ordenador partes de código de software para realizar el método según cualquiera de las reivindicaciones 19 a 24.
41. Programa de ordenador cargable directamente en la memoria interna de un servidor de autorización de servicios (10) del Protocolo de Autenticación Extensible, EAP, comprendiendo el programa de ordenador partes de código de software para realizar el método según cualquiera de las reivindicaciones 29 a 35.
ES02740980T 2002-06-20 2002-06-20 Metodo, sistema y dispositivos para transferir informacion de contabilidad. Expired - Lifetime ES2289114T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/IB2002/002289 WO2004002108A1 (en) 2002-06-20 2002-06-20 Method, system and devices for transferring accounting information

Publications (1)

Publication Number Publication Date
ES2289114T3 true ES2289114T3 (es) 2008-02-01

Family

ID=29798152

Family Applications (1)

Application Number Title Priority Date Filing Date
ES02740980T Expired - Lifetime ES2289114T3 (es) 2002-06-20 2002-06-20 Metodo, sistema y dispositivos para transferir informacion de contabilidad.

Country Status (8)

Country Link
US (1) US7251733B2 (es)
EP (1) EP1514394B1 (es)
CN (1) CN1628449B (es)
AT (1) ATE370599T1 (es)
AU (1) AU2002314407A1 (es)
DE (1) DE60221907T2 (es)
ES (1) ES2289114T3 (es)
WO (1) WO2004002108A1 (es)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040166874A1 (en) * 2002-11-14 2004-08-26 Nadarajah Asokan Location related information in mobile communication system
CN1293728C (zh) * 2003-09-30 2007-01-03 华为技术有限公司 无线局域网中用户终端选择接入移动网的快速交互方法
JP4070708B2 (ja) * 2003-11-14 2008-04-02 株式会社リコー セキュリティ確保支援プログラム及びそのプログラムを実行するサーバ装置並びにそのプログラムを記憶した記憶媒体
CN100344094C (zh) * 2004-09-01 2007-10-17 华为技术有限公司 IPv6网络中对多地址用户进行授权计费的实现方法
KR100704675B1 (ko) * 2005-03-09 2007-04-06 한국전자통신연구원 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법
WO2006096017A1 (en) * 2005-03-09 2006-09-14 Electronics And Telecommunications Research Institute Authentication method and key generating method in wireless portable internet system
CN100382653C (zh) * 2005-05-19 2008-04-16 中国科学院计算技术研究所 一种无线分组网络中语音通信的认证、授权、记账方法
KR101261637B1 (ko) * 2006-02-01 2013-05-06 엘지전자 주식회사 이기종 망 간 핸드오버 수행시 mih 메시지 전송 방법
US7715562B2 (en) * 2006-03-06 2010-05-11 Cisco Technology, Inc. System and method for access authentication in a mobile wireless network
CN101496387B (zh) 2006-03-06 2012-09-05 思科技术公司 用于移动无线网络中的接入认证的系统和方法
CN101064616A (zh) * 2006-04-28 2007-10-31 华为技术有限公司 一种网络计费方法、系统及设备
CN101087297A (zh) * 2006-06-06 2007-12-12 华为技术有限公司 用于传递计费信息的方法和装置
CN101237443B (zh) * 2007-02-01 2012-08-22 华为技术有限公司 管理协议中对用户进行认证的方法和系统
KR100864902B1 (ko) 2007-04-17 2008-10-22 성균관대학교산학협력단 확장 가능 인증프로토콜을 사용하는 인증 방법, 인증시스템 및 그 프로그램이 기록된 기록매체
CN101039197A (zh) * 2007-04-18 2007-09-19 华为技术有限公司 点对点应用中收集计费信息的方法、设备和系统
US20090328147A1 (en) * 2008-06-27 2009-12-31 Microsoft Corporation Eap based capability negotiation and facilitation for tunneling eap methods
US20100058317A1 (en) * 2008-09-02 2010-03-04 Vasco Data Security, Inc. Method for provisioning trusted software to an electronic device
KR101655264B1 (ko) * 2009-03-10 2016-09-07 삼성전자주식회사 통신시스템에서 인증 방법 및 시스템
US8352603B2 (en) * 2010-08-10 2013-01-08 Telefonaktiebolaget L M Ericsson (Publ) Limiting resources consumed by rejected subscriber end stations
JP5934364B2 (ja) * 2011-09-09 2016-06-15 インテル コーポレイション Soap−xml技術を使用したwi−fiホットスポットのための安全なオンラインサインアップ及び提供のためのモバイルデバイス及び方法
CN103108325B (zh) * 2011-11-10 2018-05-18 中兴通讯股份有限公司 一种信息安全传输方法及系统及接入服务节点
KR101880493B1 (ko) * 2012-07-09 2018-08-17 한국전자통신연구원 무선 메쉬 네트워크에서의 인증 방법
CN103716762B (zh) * 2012-09-29 2017-04-05 卓望数码技术(深圳)有限公司 一种互联网计费系统以及其实现安全计费的方法
US10027722B2 (en) * 2014-01-09 2018-07-17 International Business Machines Corporation Communication transaction continuity using multiple cross-modal services
US20200322334A1 (en) * 2019-04-05 2020-10-08 Cisco Technology, Inc. Authentication of network devices based on extensible access control protocols
CN114244532A (zh) * 2021-12-14 2022-03-25 视联动力信息技术股份有限公司 终端的计费方法和计费装置

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2669773B1 (fr) * 1990-11-26 1993-01-08 Socop Sa Lampe de signalisation et son procede de fabrication.
US5240334A (en) * 1992-06-04 1993-08-31 Saul Epstein Hand held multiline printer with base member for guiding
US5369258A (en) * 1993-07-29 1994-11-29 Pitney Bowes Inc. Postage applying kiosk
US6219790B1 (en) * 1998-06-19 2001-04-17 Lucent Technologies Inc. Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types
WO2001024476A1 (en) * 1999-09-29 2001-04-05 Nortel Networks Limited Apparatus and method for routing aaa messages between domains of a network
US8463231B1 (en) * 1999-11-02 2013-06-11 Nvidia Corporation Use of radius in UMTS to perform accounting functions
US6775262B1 (en) * 2000-03-10 2004-08-10 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for mapping an IP address to an MSISDN number within a wireless application processing network
GB2367213B (en) * 2000-09-22 2004-02-11 Roke Manor Research Access authentication system
WO2002035797A2 (en) * 2000-10-20 2002-05-02 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting

Also Published As

Publication number Publication date
ATE370599T1 (de) 2007-09-15
US7251733B2 (en) 2007-07-31
EP1514394B1 (en) 2007-08-15
CN1628449B (zh) 2010-06-16
EP1514394A1 (en) 2005-03-16
US20040064741A1 (en) 2004-04-01
WO2004002108A1 (en) 2003-12-31
CN1628449A (zh) 2005-06-15
AU2002314407A1 (en) 2004-01-06
DE60221907D1 (de) 2007-09-27
DE60221907T2 (de) 2008-05-15

Similar Documents

Publication Publication Date Title
ES2289114T3 (es) Metodo, sistema y dispositivos para transferir informacion de contabilidad.
US9584480B2 (en) System for and method of securing a network utilizing credentials
Simon et al. The EAP-TLS authentication protocol
US8285990B2 (en) Method and system for authentication confirmation using extensible authentication protocol
ES2251459T3 (es) Autenticacion en una red de tranmisison de datos por paquetes.
US7502925B2 (en) Method and apparatus for reducing TCP frame transmit latency
TWI262676B (en) Method and system for handling out-of-order segments in a wireless system via direct data placement
ES2279871T3 (es) Autenticacion de un usuario a traves de sesiones de comunicacion.
TW564624B (en) Non-invasive SSL payload processing for IP packet using streaming SSL parsing
US9088416B2 (en) Method for securely associating data with HTTP and HTTPS sessions
US20020076054A1 (en) Session shared key sharing method, wireless terminal authentication method, wireless terminal, and base station device
JP2003289301A (ja) 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体
JP5527906B2 (ja) セキュリティアソシエーションに関連した多数の接続パケットを連結し、暗号化オーバーヘッドを減少させるシステム及び方法
EP1643714A1 (en) Access point that provides a symmetric encryption key to an authenticated wireless station
US20050113069A1 (en) User authentication through separate communication links
KR100480999B1 (ko) 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰채널 제공 장치 및 방법
CN1595894A (zh) 一种无线局域网接入认证的实现方法
JP4019266B2 (ja) データ送信方法
KR20070065390A (ko) 근거리 통신망에서 이동 통신 단말기를 등록하기 위한 방법
JP2004194196A (ja) パケット通信認証システム、通信制御装置及び通信端末
EP1961149A1 (en) Method for securely associating data with http and https sessions
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备
US20070028092A1 (en) Method and system for enabling chap authentication over PANA without using EAP
Cullen et al. Port Control Protocol (PCP) Authentication Mechanism
Cullen et al. RFC 7652: Port Control Protocol (PCP) Authentication Mechanism