ES2289114T3 - Metodo, sistema y dispositivos para transferir informacion de contabilidad. - Google Patents
Metodo, sistema y dispositivos para transferir informacion de contabilidad. Download PDFInfo
- Publication number
- ES2289114T3 ES2289114T3 ES02740980T ES02740980T ES2289114T3 ES 2289114 T3 ES2289114 T3 ES 2289114T3 ES 02740980 T ES02740980 T ES 02740980T ES 02740980 T ES02740980 T ES 02740980T ES 2289114 T3 ES2289114 T3 ES 2289114T3
- Authority
- ES
- Spain
- Prior art keywords
- eap
- terminal
- accounting
- accounting information
- authorization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Devices For Checking Fares Or Tickets At Control Points (AREA)
- Meter Arrangements (AREA)
Abstract
Método para un sistema para transferir información de contabilidad, comprendiendo dicho método: evaluar datos relacionados con un servicio usado por al menos un terminal (16), proporcionar los datos evaluados como información de contabilidad hacia por lo menos un servidor de autorización de servicios (10) del Protocolo de Autenticación Extensible, EAP, enviar, por medio de una solicitud del Protocolo de Autenticación Extensible, solicitud EAP, una solicitud de autorización de servicio desde dicho por lo menos un servidor de autorización de servicios EAP hacia dicho por lo menos un terminal, firmar digitalmente información de contabilidad, en dicho por lo menos un terminal, incluir, en dicho por lo menos un terminal, la información de contabilidad firmada digitalmente en una respuesta del Protocolo de Autenticación Extensible, respuesta EAP, y enviar la información de contabilidad firmada digitalmente hacia un servidor de Autenticación, Autorización y Contabilidad, AAA (14).
Description
Método, sistema y dispositivos para transferir
información de contabilidad.
La presente invención se refiere a un método en
un sistema y a un sistema para la transferencia de información de
contabilidad. Además, la invención se refiere a un método en un
terminal, a un terminal, a un servidor de autorización de servicios
del Protocolo de Autenticación Extensible (EAP), a un método en un
servidor de autorización de servicios EAP, a un programa de
ordenador y a un subtipo de EAP.
En las Redes de Área Local, un operador de un
servicio puede estar interesado en proveerse de una información
variada de contabilidad relacionada con los usuarios que utilizan la
red para acceder a diferentes servicios. Entre los ejemplos de
dicha información de contabilidad se pueden encontrar un valor que
indique durante cuánto tiempo ha utilizado un usuario un servicio
específico, un valor que indique la cantidad de datos recibidos
desde y/o enviados hacia un servicio específico, información
referente a cuándo utilizó el usuario el servicio, y/o el número de
y/o el tipo de transacciones realizadas.
En la actualidad existen sistemas en los cuales
los puntos de acceso de la red recogen información de contabilidad
para cada usuario/terminal que se conecta a la red a través del
punto de acceso. A continuación, los puntos de acceso envían la
información a un servidor de Autenticación Autorización y
Contabilidad (AAA) por medio de un protocolo AAA como el RADIUS ó
DIAMETER.
No obstante, puede que exista una falta de
confianza entre el proveedor de servicios, el cual gestiona los
servicios utilizados por un usuario, y el operador de una red de
origen, la cual factura al usuario por los servicios utilizados. De
este modo, la información de contabilidad del proveedor de servicios
debe ser verificada y autorizada antes de que la misma sea enviada
hacia el servidor AAA del operador de la red de origen.
Uno de los objetivos de la presente invención es
proporcionar una entrega mejorada de la información de
contabilidad.
Este objetivo se alcanza por medio de un método
en un sistema para transferir información de contabilidad según la
reivindicación 1, un sistema para transferir información de
contabilidad según la reivindicación 11, un método en un terminal
según la reivindicación 19, un terminal según la reivindicación 22,
un método en un servidor de autorización de servicios del Protocolo
de Autenticación Extensible (EAP) según la reivindicación 25, un
servidor de autorización de servicios EAP según la reivindicación
31, un programa de ordenador según la reivindicación 35, un
programa de ordenador según la reivindicación 36, un paquete de
respuesta del Protocolo de Autenticación Extensible (respuesta EAP)
según la reivindicación 37. En las reivindicaciones dependientes se
dan a conocer formas de realización preferidas de la invención.
Más particularmente, según uno de los aspectos,
un método en un sistema para transferir información de contabilidad
comprende:
evaluar datos relacionados con un servicio usado
por al menos un terminal,
proporcionar los datos evaluados como
información de contabilidad hacia por lo menos un servidor de
autorización de servicios del Protocolo de Autenticación Extensible
(EAP),
enviar, por medio de una solicitud del Protocolo
de Autenticación Extensible (solicitud EAP), una solicitud de
autorización de servicio desde dicho por lo menos un servidor de
autorización de servicios EAP hacia dicho por lo menos un
terminal,
la firma digital de información de contabilidad,
en dicho por lo menos un terminal,
incluir, en dicho por lo menos un terminal, la
información de contabilidad firmada digitalmente en una respuesta
del Protocolo de Autenticación Extensible (respuesta EAP), y
enviar la información de contabilidad firmada
digitalmente hacia un servidor AAA.
\vskip1.000000\baselineskip
Según otro de los aspectos, un sistema para
transferir información de contabilidad comprende:
un servidor de evaluación para evaluar datos
relacionados con un servicio,
un servidor de autorización de servicios del
Protocolo de Autenticación Extensible (EAP) que incluye un generador
para generar autorizaciones de servicio para la solicitud del
Protocolo de Autenticación Extensible (solicitud EAP), y unos
medios de conexión a red,
un terminal que incluye un módulo de firma
dispuesto para firmar digitalmente información de contabilidad
verificada, un generador de respuestas del Protocolo de
Autenticación Extensible (respuestas EAP) dispuesto para insertar
en respuestas EAP una información de contabilidad verificada y
firmada digitalmente, y unos medios de conexión a red, y
un servidor de Autenticación Autorización y
Contabilidad dispuesto para gestionar información de contabilidad
referente a por lo menos un terminal.
\vskip1.000000\baselineskip
Según todavía otro de los aspectos, un método en
un terminal comprende:
recoger datos correspondientes a información de
contabilidad pertinente para por lo menos un servicio utilizado
actualmente en el terminal,
recibir una solicitud del Protocolo de
Autenticación Extensible (solicitud EAP) que incluye información de
contabilidad pertinente para dicho por lo menos un servicio
utilizado actualmente en el terminal,
comparar dicha información de contabilidad
recibida con los datos recogidos, y,
si los datos recogidos se corresponden con la
información de contabilidad, dicho método comprende asimismo:
la firma digital de dicha información de
contabilidad recibida, y
el envío de la información de contabilidad
firmada digitalmente en una respuesta del Protocolo de Autenticación
Extensible (respuesta EAP).
\vskip1.000000\baselineskip
Según un aspecto adicional, un terminal
comprende:
un colector dispuesto para recoger datos
correspondientes a información de contabilidad pertinente para por
lo menos un servicio utilizado actualmente en el terminal WLAN,
un dispositivo de comparación dispuesto para
comparar los datos recogidos con información de contabilidad
recibida,
un módulo de firma dispuesto para firmar
digitalmente información de contabilidad verificada,
un generador de respuestas del Protocolo de
Autenticación Extensible (respuestas EAP) dispuesto para insertar
información de contabilidad firmada digitalmente en respuestas EAP,
y
unos medios de conexión a red.
\vskip1.000000\baselineskip
Según todavía otro de los aspectos, un método en
un servidor de autorización de servicios del Protocolo de
Autenticación Extensible (EAP), comprende:
recibir información de contabilidad relacionada
con por lo menos un terminal,
insertar dicha información de contabilidad en
una solicitud del Protocolo de Autenticación Extensible (solicitud
EAP), y
enviar dicha solicitud EAP hacia dicho por lo
menos un terminal.
\vskip1.000000\baselineskip
Según todavía otro de los aspectos, un servidor
de autorización de servicios del Protocolo de Autenticación
Extensible (EAP) comprende:
un receptor de información de contabilidad para
recibir información de contabilidad referente a por lo menos un
terminal,
un generador de solicitudes del Protocolo de
Autenticación Extensible (solicitudes EAP) dispuesto para insertar
en una solicitud EAP información de contabilidad de por lo menos un
terminal, y
unos medios de conexión a red.
\vskip1.000000\baselineskip
Al conseguir que el terminal/usuario autorice la
información de contabilidad mediante el uso del EAP para iniciar
dicha autorización y para transportar información de contabilidad
firmada de dicho terminal/usuario, se posibilita que el usuario o
el terminal del usuario proporcione una autorización de la
información de contabilidad sin necesidad de un esfuerzo adicional
excesivo por parte de un operador de la red de acceso, un operador
de servicio, o el usuario en relación con la modificación de
sistemas existentes. En muchos casos puede que sea una ventaja el
hecho de que ya exista el EAP, y por lo tanto no hay necesidad de
implementar o desarrollar protocolos adicionales. Además, el
servidor de autorización de servicios EAP establece contacto con el
terminal durante el establecimiento de una conexión con la red de
acceso, y por lo tanto no hay necesidad de usar protocolos de
descubrimiento de servidores, descubrimientos de direcciones IP de
clientes, u otros procedimientos similares. Además, el mensaje EAP
que incluye la autorización del servicio puede atravesar cortafuegos
personales y clientes de Redes Privadas Virtuales (VPN) en el
terminal.
Al conseguir que resulte posible que el
usuario/terminal autorice la información de contabilidad, se puede
garantizar que la información de contabilidad es correcta, y se
elimina la incertidumbre de la información de contabilidad enviada
directamente desde un operador de la red de acceso, el cual puede
ser o no digno de confianza. De este modo, un operador de la red de
acceso, o cualquier otro servicio, no puede falsificar la
información de contabilidad y por lo tanto el usuario no puede
rechazar posteriormente dicha información de contabilidad. Además,
esta situación también puede conseguir que un usuario se sienta más
cómodo al usar servicios que cuestan dinero, ya que el usuario
tiene el control en cierta medida del procedimiento de cargo en su
cuenta y el mismo no se encuentra totalmente en manos de los
operadores.
En el contexto de la invención, el término
servicio significa un servicio al que es posible acceder por medio
de un terminal a través de un proveedor de servicios. Por ejemplo,
un servicio puede incluir el acceso a un o una pluralidad de
entornos de red, por ejemplo, una red local, una red privada,
Internet, una red controlada por un operador específico, o una red
de área local virtual, y el mismo puede incluir diferentes
capacidades de acceso, por ejemplo, capacidades de correo
electrónico, capacidades para el Servicio de Mensajes Cortos (SMS),
capacidad para el Servicio Multimedia (MMS), capacidades para el
comercio electrónico, capacidades de impresión, etcétera.
Según una de las formas de realización, el
servidor de evaluación y el servidor de autorización de servicios
EAP están incluidos en el mismo dispositivo, por ejemplo, un punto
de acceso. Esta opción puede hacer que aumente el ancho de banda
disponible en una red de acceso ya que el intercambio de información
entre el servidor de evaluación y el servidor de autorización de
servicios EAP ya no necesita utilizar la red, y, por ejemplo, puede
reducirse la cantidad de mensajes de protocolo enviados.
Según otra de las formas de realización, el
servidor de evaluación y el servidor de autorización de servicios
EAP están incluidos en dispositivos diferentes. Esta característica
puede facilitar la introducción de un servidor de autorización de
servicios EAP en un sistema de red que ya incluya un servidor de
evaluación. Por ejemplo, en una LAN Inalámbrica que incluya puntos
de acceso que soporten la contabilidad Radius o cualquier otro
protocolo de contabilidad.
En una de las formas de realización, la
solicitud EAP y la respuesta EAP se envían a través de una conexión
WLAN.
En otra de las formas de realización, la
respuesta EAP que incluye la información de contabilidad firmada
del terminal es enviada hacia, o recibida por, el servidor de
autorización de servicios EAP. Esta opción posibilita que el
operador de la red de acceso compruebe que el usuario del terminal o
el terminal no ha alterado la información de contabilidad.
Adicionalmente, en caso de que fuera necesario, el operador de la
red de acceso puede controlar la identidad del usuario del
terminal.
Todavía en otra de las formas de realización, la
acción de firmar y la verificación de una firma se realizan por
medio de un sistema criptográfico de clave pública.
A partir de la descripción detallada que se
proporciona a continuación se pondrán de manifiesto otros ámbitos
de aplicabilidad de la presente invención. No obstante, debería
entenderse que la descripción detallada y los ejemplos específicos,
aunque indican formas de realización preferidas de la invención, se
ofrecen únicamente a título de ilustración, ya que para los
expertos en la materia resultarán evidentes varios cambios y
modificaciones dentro del alcance de la invención, a partir de la
presente descripción detallada.
Se pondrán de manifiesto otras características y
ventajas de la presente invención a partir de la siguiente
descripción detallada de una forma de realización actualmente
preferida, haciendo referencia a los dibujos adjuntos, en los
cuales
la Fig. 1 muestra una vista general esquemática
de un sistema según una de las formas de realización,
la Fig. 2 muestra una vista esquemática de una
forma de realización de un terminal,
la Fig. 3 muestra un diagrama de flujo de un
proceso para gestionar información de contabilidad en el terminal
de la Fig. 2,
la Fig. 4 muestra una vista esquemática de una
forma de realización de un servidor de autorización de servicios
EAP,
la Fig. 5 muestra un diagrama de flujo de un
proceso para gestionar información de contabilidad y,
la Fig. 6 muestra un diagrama de temporización
sobre mensajes enviados durante una transmisión de información de
contabilidad según una de las formas de realización,
la Fig. 7 muestra un diagrama de temporización
sobre mensajes enviados durante una transmisión de información de
contabilidad según otra de las formas de realización,
la Fig. 8 muestra una vista esquemática del
formato de una de las formas de realización de un paquete de
Solicitud EAP/Autorización de Servicio y un paquete de Respuesta
EAP/Autorización de Servicio,
la Fig. 9 muestra una vista esquemática del
formato de otra de las formas de realización de un paquete de
Solicitud EAP/Autorización de Servicio y de un paquete de Respuesta
EAP/Autorización de Servicio, y
la Fig. 10 muestra una vista esquemática de un
campo Banderas de un paquete según la Fig. 9.
En la Fig. 1, se muestra una vista general
esquemática de un sistema según una de las formas de realización.
El sistema comprende un Servidor de autorización de servicios del
Protocolo de Autenticación Extensible (EAP) 10, un punto de acceso
12, un servidor de Autenticación Autorización y Contabilidad (AAA)
14, y un terminal 16.
En una de las formas de realización, la
comunicación entre un punto de acceso 12, un Servidor de
autorización de servicios EAP 10, y un servidor AAA 14 se realiza a
través de una red 18.
El Servidor de autorización de servicios EAP 10
está dispuesto para proporcionar al terminal 16 información de
contabilidad que puede ser verificada por dicho terminal. El
Servidor de autorización de servicios EAP 10 puede estar dispuesto,
por ejemplo, en forma de un servidor independiente, incluido en el
punto de acceso 12, incluido en el servidor AAA 14, o incluido en
cualquier otro dispositivo que pueda comunicarse con el terminal
16, el servidor AAA 14 y el punto de acceso 12.
El servidor AAA 14 puede ser cualquier tipo de
servidor AAA que sea conocido por los expertos en la materia.
El punto de acceso 12 puede ser cualquier tipo
de punto de acceso que sea conocido por los expertos en la materia.
El punto de acceso 12 incluye medios para evaluar información de
contabilidad relacionada con un o una pluralidad de terminales que
se conecten a través del mismo. De este modo, se puede decir que el
mismo incluye un servidor de evaluación. El punto de acceso 12 está
dispuesto para enviar y recibir datos por medio de una comunicación
inalámbrica, por ejemplo, una comunicación de una Red de Área Local
Inalámbrica, una comunicación por infrarrojos, Bluetooth, o
cualquier comunicación basada en radiofrecuencia. En una de las
formas de realización, el punto de acceso 12 es un punto de acceso
que funciona según la norma IEEE 802 y que utiliza un Protocolo de
Autenticación Extensible (EAP) según la IEEE 802.1x.
El terminal puede ser cualquier dispositivo que
tenga una interfaz de usuario y medios para realizar la
comunicación. Por ejemplo, el terminal puede ser un teléfono, un
Asistente Personal Digital (PDA), un ordenador de mano, un
ordenador portátil, un ordenador de sobremesa. El terminal puede
estar dispuesto para comunicarse a través de un canal de
comunicaciones inalámbricas, tal como se muestra en la Fig. 1, o a
través de hilos, no mostrados en la Fig. 1. La comunicación
inalámbrica puede ser, por ejemplo, una comunicación de una Red de
Área Local Inalámbrica, una comunicación por infrarrojos,
Bluetooth, o cualquier comunicación basada en la radiofrecuencia.
La comunicación por hilos puede ser, por ejemplo, una comunicación a
través de un módem y una red telefónica, una conexión directa con
una Red de Área Local. En un sistema en el que se disponga de
terminales conectados a la red a través de hilos, se puede disponer
un servidor de evaluación independiente para recoger la información
de contabilidad.
En una de las formas de realización, el punto de
acceso 12 forma parte de una red de acceso que es gestionada por un
operador de la red de acceso y el servidor AAA forma parte de un
sistema de gestión de contabilidad gestionado por un operador del
servidor AAA ó un operador de origen. El operador de la red de
acceso y el operador de origen pueden formar parte de la misma
organización o de organizaciones diferentes.
La expresión autorización de servicio puede
hacer referencia a un acceso de la red, aunque también puede
referirse a un servicio de impresora en el cual un usuario, por
ejemplo, pague por páginas empresa, un servicio de comercio
electrónico en el cual un usuario, por ejemplo, pague por el
servicio o producto solicitado, etcétera.
En la Fig. 2 se muestra una forma de realización
de un terminal 16. El terminal 16 comprende unos medios de conexión
202 para obtener una conexión inalámbrica con y comunicarse a través
de un punto de acceso, y una pila de protocolos 204 que comprende
un EAP 206. No obstante, tal como se ha mencionado anteriormente,
los medios de conexión pueden ser un módem o una tarjeta de
interfaz de red común para conectarse a dicha red por medio de
hilos. Además, el terminal 16 comprende un colector 208 para recoger
datos correspondientes a información de contabilidad pertinente
para por lo menos un servicio utilizado actualmente en el terminal,
un verificador 210 para verificar que la información de contabilidad
recibida se corresponde con los datos recogidos, un módulo de firma
212 para firmar información de contabilidad que ha sido aprobada por
los medios de comparación, y un generador de respuestas EAP 214
para insertar información de contabilidad firmada en un mensaje de
respuesta EAP.
En una de las formas de realización el colector
recoge una entrada de un usuario que establece si el usuario acepta
o no la información de contabilidad. A continuación, en dicha forma
de realización, el verificador únicamente debe comprobar la entrada
recogida del usuario para decidir si la verificación es o no
satisfactoria.
El módulo de firma 212 puede comprender medios
para realizar cualquier tipo de firma digital conocida para los
expertos en la materia, por ejemplo, puede ser un sistema
criptográfico de clave pública, el cual se usa normalmente para
firmas, o puede ser un sistema de cifrado simétrico. En un sistema
criptográfico de clave pública se dispone de una clave privada y
otra pública. La clave pública se puede distribuir a todas las
partes implicadas. En este caso, el módulo de firma cifra un
mensaje por medio de la clave privada. Si a continuación es posible
descifrar dicho mensaje usando la clave pública, la firma se
verifica como la firma de la persona que posee la clave
pública.
Los medios 202 a 214 antes descritos se pueden
implementar de forma total o parcial por medio de código de
software.
La información de contabilidad puede ser un
valor que indique durante cuánto ha estado conectado el terminal a
un servicio, un valor que indique la cantidad de datos enviados y/o
recibidos usando un servicio específico, información referente a
cuándo utilizó el usuario el servicio, el número de y/o el tipo de
transacciones realizadas, y/o el número de utilizaciones del
servicio.
En la Fig. 3, se muestra un proceso en una de
las formas de realización del terminal. El proceso comienza cuando
el terminal recibe una solicitud EAP de una autorización de servicio
que incluye información de contabilidad, etapa 300. A continuación,
de la solicitud EAP se extrae la información de contabilidad, etapa
302. Cuando la información de contabilidad está disponible en el
terminal, comienza un proceso de verificación, etapa 304.
La etapa de verificación se puede realizar de
muchas maneras. En una de las formas de realización, el terminal
recoge datos correspondientes a la información de contabilidad para
un servicio que está actualmente en uso esencialmente durante todo
el periodo en el que se usa el servicio. A continuación, cuando se
realiza la etapa de verificación 304, el terminal compara los datos
recogidos con la información de contabilidad recibida y toma una
decisión basándose en la diferencia entre los datos recogidos y la
información de contabilidad recibida con respecto a si la
verificación de la información de contabilidad es o no
satisfactoria.
En otra de las formas de realización, el
terminal no realiza la comparación de la información de contabilidad
recibida, sino que presenta la información de contabilidad y los
datos recogidos al usuario el cual decide si verificar o no la
información de contabilidad. Si el usuario realiza la verificación,
en ese caso la etapa de verificación 304 resulta satisfactoria, si
no la misma da como resultado un fallo.
Todavía en otra de las formas de realización, el
terminal no recoge dichos datos y, por lo tanto, no hay disponibles
datos recogidos. En tal caso, la etapa de verificación 304 puede
presentar la información de contabilidad recibida al usuario y
esperar a que el mismo verifique la información de contabilidad. Si
el usuario realiza la verificación, en ese caso la etapa de
verificación 304 es satisfactoria, si no la misma da como resultado
un fallo.
En una forma de realización adicional, el
terminal recoge datos y compara los mismos con la información de
contabilidad recibida. No obstante, el terminal proporciona una
interfaz para el usuario por medio de la cual el usuario puede
seleccionar "ok" o "anular" para aceptar la información de
contabilidad o evitar el envío de la misma. La firma de la
información de contabilidad se puede realizar antes o después de que
el usuario haya notificado la selección al terminal.
En otra de las formas de realización, la
solicitud EAP de autorización de servicio, recibida en la etapa 300,
no incluye ninguna información de contabilidad. En tal caso, no se
realiza la etapa 302 referente a la extracción de información de
contabilidad. Después de la recepción de la solicitud EAP de
autorización de servicio, el terminal considera los datos recogidos
por él mismo como información de contabilidad verificada y, por lo
tanto, la etapa de verificación se considera como satisfactoria.
En la etapa 306, con independencia de cuál de
entre las formas de realización anteriores de la etapa de
verificación 304 se use, el proceso comprueba si la etapa de
verificación 304 dio un resultado satisfactorio o un fallo. Si el
resultado es un fallo, a continuación el proceso finaliza, etapa
308. No obstante, si el resultado es satisfactorio, a continuación
el proceso avanza mediante la firma de la información de
contabilidad, etapa 310.
La firma, etapa 310, se puede realizar por medio
de cualquier método conocido por los expertos en la materia. Por
ejemplo, por medio de un cifrado de clave pública. También se pueden
usar otros esquemas de firma, por ejemplo, se puede usar un sistema
criptográfico simétrico para cifrar la información de contabilidad,
aunque, en tal caso, únicamente el terminal y el operador de origen
pueden compartir la clave de representación de la firma.
A continuación, la información de contabilidad
firmada se inserta en una respuesta EAP, etapa 314, y la respuesta
EAP se envía a través de la conexión de la red.
En la Fig. 4, se muestra 10 una de las formas de
realización del servidor de autorización de servicios EAP. El
servidor de autorización de servicios EAP según la figura comprende
medios de conexión a red 402 para conectarse a una red 403, y una
pila de protocolos 404 que incluye un EAP 406. Si el servidor de
autorización de servicios EAP 10 no es un dispositivo en el cual
únicamente se implementa el servidor de autorización de servicios
EAP 10, los medios de conexión a red 402 y la pila de protocolos
404 pueden ser compartidos por los otros dispositivos, por ejemplo,
si el servidor de autorización de servicios EAP 10 está incluido en
un punto de acceso, en un servidor AAA, o en un servidor proxy AAA.
En una de las formas de realización, la pila también incluye un
protocolo AAA, por ejemplo, el protocolo RADIUS o un protocolo
DIAMETER.
Además, el servidor de autorización de servicios
EAP 10 incluye un receptor de información de contabilidad 408, el
cual está dispuesto para gestionar información de contabilidad
recibida desde un o una pluralidad de puntos de acceso, y un
generador de solicitudes EAP, el cual está dispuesto para utilizar
el EAP 406 y generar solicitudes EAP de autorizaciones de servicio.
Según una de las formas de realización, la solicitud EAP incluye
información de contabilidad de un terminal específico para ser
enviada hacia dicho terminal específico, esta opción se implementa
si el terminal o el usuario debe tomar una decisión referente a si
la información de contabilidad proveniente del servidor de
autorización de servicios EAP es o no correcta. Según otra de las
formas de realización, la solicitud EAP de autorización de servicio
no incluye ninguna información de contabilidad, esta opción se
implementa si el servidor de autorización de servicios EAP debe
tomar la decisión referente a si la información de contabilidad del
terminal es o no correcta.
El tiempo entre el envío de dos solicitudes EAP
consecutivas que incluyan información de contabilidad de un
terminal específico se puede basar en el tiempo entre la recepción
de la información de contabilidad, en un valor de una propiedad
específica de la información de contabilidad, por ejemplo, dicha
solicitud EAP debe enviarse cuando el tiempo transcurrido desde la
última solicitud supere un valor específico o cuando la cantidad de
datos enviados y/o recibidos desde la última solicitud supere un
valor específico, o en unos criterios predeterminados fijados por
uno de los operadores. La autorización del servicio EAP puede estar
dispuesta para gestionar información de contabilidad referente a un
o una pluralidad de terminales.
Además, el servidor de autorización de servicios
EAP 10 incluye un extractor 412, un verificador de firmas 414, un
terminador de acceso 416, y un generador de mensajes de contabilidad
418.
El extractor 412 está dispuesto para extraer
información de contabilidad firmada a partir de una respuesta EAP
originada en un terminal.
El verificador 414 está dispuesto para verificar
la firma y el contenido del mensaje de respuesta EAP. La
verificación del contenido se puede lograr comprobando si la
información de contabilidad recibida se corresponde con la
información enviada desde el servidor de autorización de servicio
EAP hacia el terminal o si la información recibida se corresponde
con la información recogida en el servidor de autorización de
servicios EAP. La verificación de la firma se puede lograr por
medio de una clave pública almacenada en el servidor de autorización
de servicios EAP 10. La clave pública se puede haber proporcionado
al servidor de autorización de servicios EAP 10 desde el terminal
en forma de un certificado en una respuesta EAP, o desde el servidor
AAA en un mensaje de contestación EAP Diameter/Radius durante el
proceso de autorización de acceso.
El terminador de acceso 416 está dispuesto para
finalizar el acceso a un servicio específico si no se cumplen uno o
una pluralidad de entre unos criterios predeterminados.
El generador de mensajes de contabilidad está
dispuesto para generar un mensaje AAA que incluye información de
contabilidad firmada y para iniciar el envío del mensaje hacia un
servidor AAA que gestione el servicio con el que está relacionada
la información de contabilidad.
En la Fig. 5, se muestra un proceso de una de
las formas de realización del servidor de autorización de servicios
EAP 10. El proceso comienza cuando el servidor de autorización de
servicios EAP 10 recibe información de contabilidad relacionada con
un terminal específico, etapa 502. A continuación, se genera una
solicitud EAP, la solicitud EAP incluye dicha información de
contabilidad, etapa 504. A continuación, la solicitud EAP se envía a
dicho terminal, al cual se refiere la información de contabilidad,
etapa 506. En una de las formas de realización, la generación y el
envío de la solicitud EAP que incluye la información de contabilidad
no se realiza hasta que se ha alcanzado al valor acumulado de una
propiedad específica en la información de contabilidad, por
ejemplo, un valor de tiempo, un valor de datos enviados y/o
recibidos, o un valor relacionado directamente con el dinero, es
decir, el envío se puede realizar de forma periódica o una vez en un
periodo de tiempo determinado.
Cuando se envía la solicitud EAP, se pone en
marcha un temporizador, etapa 508. En la etapa 510, el valor de
temporizador se compara con un límite de tiempo predeterminado,
t_{\text{límite}}. Si el valor del temporizador no supera
t_{\text{límite}}, en ese caso el proceso continúa comprobando si
se ha recibido una respuesta EAP desde el terminal, etapa 514. Si
no se ha recibido ninguna respuesta EAP, el proceso vuelve a la
etapa 510 y compara el valor del temporizador con el valor del
t_{\text{límite}}. Si el valor del temporizador supera el valor de
t_{\text{límite}}, en ese caso no se ha recibido ninguna
respuesta EAP en el límite de tiempo y el proceso continúa hacia la
etapa 512 y pone fin al acceso al servicio al que se refiere la
información de contabilidad. No obstante, si se recibe una
respuesta EAP, etapa 514, antes de que se agote el límite de tiempo,
el servidor de autorización de servicios EAP 10 verifica la firma
de la respuesta EAP, etapa 516, por medio de la firma del terminal o
el usuario del terminal que está almacenada en una memoria del
servidor de autorización de servicios EAP 10. El proceso también
puede verificar que la información de contabilidad recibida se
corresponde con la información de contabilidad enviada al terminal.
Si la firma no es válida, etapa 518, el proceso continúa hacia la
etapa 512 y pone fin al acceso al servicio al que se refiere la
información de contabilidad. No obstante, si la firma es válida, el
proceso continúa hacia la etapa 520, en la que prepara y envía la
información de contabilidad firmada hacia un servidor AAA.
Según otra de las formas de realización, la
solicitud EAP generada en la etapa 504 no incluye la información de
contabilidad y, por lo tanto, la información de contabilidad
recibida en la respuesta EAP, etapa 514, es información recogida
por el terminal. De este modo, la verificación del contenido en la
etapa 516 se realiza comparando la información de contabilidad
recibida con la información de contabilidad correspondiente recogida
en el servidor de autorización de servicios EAP.
En la Fig. 6, se muestra un diagrama de
temporización según una de las formas de realización, en la cual el
servidor de autorización de servicios EAP está dispuesto en forma de
un dispositivo independiente, en un proxy AAA, o en otro
dispositivo adecuado. Según esta forma de realización, un punto de
acceso recoge información de contabilidad para uno o una pluralidad
de usuarios/terminales. Para cada usuario/terminal, el punto de
acceso recoge datos por lo menos durante el periodo de tiempo en el
que el terminal está accediendo a un servicio, 602. Cuando se ha
recogido información de contabilidad durante un periodo de tiempo
predeterminado o en correspondencia con una cantidad predeterminada
de datos enviados y/o recibidos, el punto de acceso envía hacia un
servidor de autorización de servicios EAP una solicitud de
contabilidad Diameter 604, que incluye la información de
contabilidad relacionada con un terminal específico. La solicitud de
contabilidad no se envía necesariamente por medio del protocolo
Diameter, sino que se puede enviar por medio de cualquier protocolo
que se pueda usar para lograr una funcionalidad correspondiente,
por ejemplo, el protocolo RADIUS. Esto se aplica también para otras
transmisiones que se mencionan a continuación que usan el protocolo
Diameter.
A continuación, el servidor de autorización de
servicios EAP gestiona la solicitud de contabilidad Diameter,
mensaje 604, ver Figs. 4 y 5, y la información de contabilidad
incluida y responde enviando una contestación EAP Diameter, mensaje
606, al punto de acceso. La contestación EAP Diameter incluye una
solicitud EAP/Autorización de Servicio que transporta información
de contabilidad. El mensaje de solicitud EAP/Autorización de
Servicio que transporta información de contabilidad es empaquetado
a continuación mediante el protocolo EAP sobre LAN (EAPOL) en el
punto de acceso y es enviado como cualquier otra solicitud EAP hacia
dicho terminal específico, mensaje 608. En la forma de realización
representada, el terminal es un terminal habilitado para las Redes
de Área Local Inalámbricas (WLAN). No obstante, tal como se ha
mencionado anteriormente, el terminal puede estar dispuesto para la
comunicación a través de otros métodos. A continuación, el terminal
gestiona la Solicitud EAP recibida, comprueba la información de
contabilidad 609, ver también Figs. 2 y 3, y envía un EAPOL que
incluye una Respuesta EAP/Autorización de Servicio que transporta
información de contabilidad firmada hacia el punto de acceso,
mensaje 610. El envío del EAPOL que incluye la Respuesta
EAP/Autorización de Servicio que transporta información de
contabilidad firmada se realiza únicamente si la verificación de la
información de contabilidad resultó satisfactoria. A continuación,
el punto de acceso traslada la Respuesta EAP/Autorización de
Servicio, que transporta la información de contabilidad firmada, al
servidor de autorización de servicios EAP por medio de una
Solicitud EAP Diameter, mensaje 612. A continuación, el servidor de
autorización de servicios EAP genera un mensaje de resultado
satisfactorio EAP y lo envía en una contestación EAP Diameter al
punto de acceso, mensaje 614. A continuación, el punto de acceso
traslada el mensaje de resultado satisfactorio EAP al terminal por
medio de un EAPOL, mensaje 616. Cuando la información de
contabilidad firmada es recibida en el servidor de autorización de
servicios EAP en el mensaje 612, el servidor de autorización de
servicios EAP comienza a verificar la firma de la información de
contabilidad 617, ver también Figs. 4 y 5. Si la verificación de la
firma resulta satisfactoria, es decir, la firma es válida, a
continuación el servidor de autorización de servicios EAP envía una
Solicitud de Contabilidad Diameter que incluye la información de
contabilidad firmada hacia un servidor AAA que gestionará la
información de contabilidad.
En la Fig. 7 se muestra un diagrama de
temporización según otra de las formas de realización en la cual el
servidor de autorización de servicios EAP está incluido en el punto
de acceso. En esta forma de realización, la información de
contabilidad recogida o evaluada 702 por medio del punto de acceso
es accesible para el servidor de autorización de servicios EAP o se
traslada al servidor de autorización de servicios EAP por medio de
una comunicación interna dentro del punto de acceso. A continuación,
el Punto de Acceso/servidor de autorización de servicios EAP genera
y envía al terminal un mensaje EAPOL que incluye una Solicitud
EAP/Autorización de Servicio que transporta la información de
contabilidad, mensaje 704. En la forma de realización representada
el terminal es un terminal habilitado para las WLAN. No obstante,
tal como se ha mencionado anteriormente, el terminal puede estar
dispuesto para la comunicación a través de otros métodos. En el
terminal se verifica 706 la información de contabilidad. Si la
verificación resulta satisfactoria, a continuación se firma la
información de contabilidad y el terminal envía al punto de acceso
un mensaje EAPOL 708 que incluye una Respuesta EAP/Autorización de
Servicio, la cual transporta la información de contabilidad firmada.
En respuesta a este mensaje, el punto de acceso responde enviando
un mensaje EAPOL que incluye un mensaje de Resultado satisfactorio
EAP 710. A continuación, el punto de acceso/servidor de
autorización de servicios EAP genera y envía al servidor AAA una
Solicitud de Contabilidad Diameter 714.
En la Fig. 8, se muestra una forma de
realización de un subtipo de EAP en forma de un formato de paquete
EAP especializado para la Solicitud EAP/Autorización de Servicio y
la Respuesta EAP/Autorización de Servicio. El paquete tanto de la
Solicitud EAP/Autorización de Servicio como de la Respuesta
EAP/Autorización de Servicio comprende un campo de Código 802, un
campo de Identificador 804, un campo de Longitud 806, un campo de
Tipo 808, un campo de Tipo de datos 810, y un campo de Datos
812.
Tal como en la especificación EAP, la longitud
del campo de Código 802 es 8 bits, es decir, un octeto, e identifica
el tipo de paquete EAP que se va a enviar. Los códigos EAP se
asignan de la manera siguiente:
- 1
- Solicitud
- 2
- Respuesta
Otros códigos usados en el campo de Código 802
de los paquetes EAP son 3 para Resultado Satisfactorio y 4 para
Fallo. No obstante, para estos códigos, el formato del paquete EAP
no se corresponde necesariamente con el formato de la Solicitud
EAP/Autorización de Servicio y la Respuesta EAP/Autorización de
Servicio según se muestra en la Fig. 8. En la especificación del
EAP contenida en la IETF RFC 2284 se puede encontrar un formato
específico para los paquetes de Resultado Satisfactorio EAP y Fallo
EAP.
El campo de Identificador 804 es también un
octeto e incluye un código de identificación para comparar
respuestas con solicitudes. La generación de dichos códigos de
identificación es conocida por los expertos.
El campo de Longitud 806 es dos octetos e indica
la longitud del paquete EAP que incluye el campo de Código 802, el
campo de Identificador 804, el campo de Longitud 806, el campo de
Tipo 808, el campo de Tipo de datos 810, y el campo de Datos
812.
El campo de Tipo 808 es un octeto y especifica
el tipo del paquete EAP. Para la Solicitud EAP/Autorización de
Servicio y la Respuesta EAP/Autorización de Servicio, el campo de
Tipo 808 se fija a un código que identifica el paquete como un
paquete de Autorización de Servicio.
El campo de Tipo de datos 810 es un octeto y
especifica el tipo de datos del campo de Datos 812. Según una de
las formas de realización de la Solicitud EAP/Autorización de
Servicio, el tipo de datos puede ser, por ejemplo, pares
Atributo-Valor, una cadena de texto de Visualización
Obligada, o un documento XML. Según una de las formas de
realización de la Respuesta EAP/Autorización de Servicio, el campo
de Tipo de datos identifica el tipo de los datos firmados, los
cuales pueden ser, por ejemplo, una Firma PKCS#1, datos firmados
PKCS#7, o una Firma XML. En la publicación "PKCS #1: RSA
Cryptography Standard", Versión 2.0, octubre de 1998, de RSA
Laboratories, se encuentra una descripción del PKCS#7. En la
publicación "PKCS #7: Cryptographic Message Syntax Standard",
Versión 1,5, noviembre de 1993, de RSA Laboratories, se encuentra
una descripción del PKCS#7. En el siguiente documento de D.
Eastlake 3º, J. Reagle, D. Solo, "(Extensible Markup Language)
XML-signature Syntax and Processing", RFC 3275,
marzo de 2002, se encuentra una descripción de la firma XML.
El campo de Datos 812 puede comprender un número
cualquier de octetos. Según una de las formas de realización de la
Solicitud EAP/Autorización de Servicio, el campo de Datos 812
incluye dicha información de contabilidad, la cual se puede
presentar, por ejemplo, en forma de pares
Atributo-valor, una cadena de texto de Visualización
Obligada, o un Documento XML. Según una de las formas de
realización de la Respuesta EAP/Autorización de Servicio, el campo
de datos 812 incluye dicha información de contabilidad firmada, la
cual se puede firmar según el método especificado en el campo de
Tipo de datos 810.
La cantidad de datos a transmitir en un único
mensaje de Autorización de Servicio puede ser muy grande. De este
modo, los mensajes de autorización de servicio enviados en una única
ronda pueden tener un tamaño mayor que el correspondiente a una
unidad de Transmisión Máxima del Protocolo
Punto-a-Punto (PPP MTU), el tamaño
máximo de los paquetes RADIUS de 4096 octetos, o incluso una Unidad
Reconstruida Recibida Máxima Multienlace (MRRU). Tal como se
describe en la IETF RFC 1990, "The PPP Multilink Protocol
(MP)", de Sklower, K., Lloyd, B., McGregor, G., Carr, D. y T.
Coradetti, agosto de 1996, la MMRU multienlace se negocia a través
de la opción MRRU LCP Multienlace, la cual incluye un campo de
longitud MRRU de dos octetos, y por lo tanto puede soportar
unidades MRRU de hasta 64 KB.
No obstante, para protegerse contra un bloqueo
del reensamblado y ataques de denegación de servicio, puede que
resulte deseable que una de las implementaciones fije un tamaño
máximo para dicho grupo de mensajes de Autorización de Servicio.
Como una cadena de certificados típica es rara vez mayor que unos
pocos miles de octetos, y no es probable que ningún otro campo se
aproxime ni de lejos a este valor, una elección razonable para la
longitud aceptable máxima del mensaje podría ser 64 KB.
Si se selecciona este valor, en ese caso la
fragmentación se puede gestionar a través de los mecanismos de
fragmentación PPP multienlace descritos en la IETF RFC 1990. Aunque
esta es la situación deseable, pueden producirse casos en los
cuales no se pueda negociar la opción multienlace o MRRU LCP. Como
consecuencia, una de las implementaciones de la Autorización de
Servicios EAP puede estar dispuesta, según una de las formas de
realización, para proporcionar su propio soporte para la
fragmentación y el reensamblado.
Como el EAP es un protocolo
ACK-NAK sencillo, el soporte de la fragmentación se
puede añadir de una manera sencilla. En el EAP, los fragmentos que
se pierdan o sufren desperfectos en el tránsito volverán a
transmitirse, y como en el EAP la información de secuenciación la
proporciona el campo de identificador, no existe la necesidad de un
campo de deriva de fragmentos como el que se proporciona en el
IPv4.
El soporte de la fragmentación de la
Autorización de Servicio EAP se puede proporcionar a través de la
adición de un octeto banderas dentro de los paquetes de Respuesta
EAP y Solicitud EAP, así como de un campo de Longitud de Mensaje de
Autorización de Servicio de cuatro octetos. Por ejemplo, el octeto
banderas puede incluir los bits de Longitud incluida (L) y de Más
fragmentos (M). En tal caso, la bandera L se puede fijar de manera
que indique la presencia del campo de cuatro octetos de Longitud de
Mensaje de Autorización de Servicio, y se activa para el primer
fragmento de un mensaje o conjunto de mensajes de la Autorización de
Servicio fragmentados. Por consiguiente, la bandera M se activa en
todos los fragmentos excepto el último. El campo de Longitud de
Mensaje de Autorización de Servicio puede ser cuatro octetos, y
proporciona la longitud total del mensaje o conjunto de mensajes de
Autorización de Servicio que se esté fragmentando; esta opción puede
simplificar la asignación de memorias intermedias.
Cuando un par de la Autorización de Servicio EAP
recibe un paquete de Solicitud EAP con el bit M activado, responde
con una Respuesta EAP con Autorización de Servicio EAP de Tipo EAP y
sin datos. Este elemento sirve como un Acuse de recibo (ACK) del
fragmento. El servidor EAP espera hasta que recibe la Respuesta EAP
antes de enviar otro fragmento. Para evitar errores en el procesado
de fragmentos, el servidor EAP puede incrementar el campo de
Identificador para cada fragmento contenido dentro de una Solicitud
EAP, y el par puede incluir este valor del Identificador en el ACK
del fragmento contenido en la Respuesta EAP. Los fragmentos que se
vuelven a transmitir pueden contener el mismo valor del
Identificador.
De forma similar, cuando el servidor EAP recibe
una Respuesta EAP con el bit M activado, responde con una Solicitud
EAP con Autorización de Servicio EAP del Tipo EAP y sin datos. Este
elemento sirve como un ACK del fragmento. El par del EAP espera
hasta que recibe la Solicitud EAP antes de enviar otro fragmento.
Para evitar errores en el procesado de los fragmentos, el servidor
EAP puede incrementar el valor del Identificador para cada ACK del
fragmento contenido en una Solicitud EAP, y el par puede incluir
este valor del Identificador en el fragmento subsiguiente contenido
en una Respuesta EAP.
Según una de las formas de realización, una
implementación de la Autorización de Servicio EAP que esté dispuesta
para proporcionar su propio soporte para la fragmentación y el
reensamblado puede utilizar un formato de paquete de Solicitud
EAP/Autorización de Servicio y un formato de paquete de Respuesta
EAP/Autorización de Servicio que se describen posteriormente y se
muestran en la Fig. 9.
Con independencia de si el paquete es un paquete
de Solicitud EAP/Autorización de Servicio o un paquete de Respuesta
EAP/Autorización de Servicio, el paquete comprende un campo de
Código 802, un campo de Identificador 804, un campo de Longitud
806, un campo de Tipo 808, un campo de Banderas 902, un campo de
Longitud de Mensaje de Autorización de Servicio 904. El campo de
Código 802, el campo de Identificador 804, el campo de Longitud
806, y el campo de Tipo 808 pueden ser idénticos a los campos
correspondientes descritos en relación con la Fig. 8.
El campo de Banderas 902 puede tener una
longitud de un octeto e incluye banderas para controlar la
fragmentación. En una de las formas de realización, el campo de
Banderas puede presentar el formato que se muestra en la Fig. 10,
en el cual los caracteres L, M, y R son un bit e indican banderas,
y:
L = Longitud incluida
M = Más fragmentos
R = Reservado
La bandera L (longitud incluida) se activa para
indicar la presencia del campo de Longitud de Mensaje de
Autorización de Servicio de cuatro octetos, y se puede activar para
el primer fragmento de un mensaje o conjunto de mensajes
fragmentado de Autorización de Servicio. El bit M (más fragmentos)
se activa en todos los fragmentos excepto el último.
El campo de Longitud de Mensaje de Autorización
de Servicio 904 puede ser cuatro octetos, y está presente
únicamente si se ha activado el bit L. Este campo proporciona la
longitud total del mensaje o conjunto de mensajes de Autorización
de Servicio que se esté fragmentando.
El campo de Mensaje XXX de Autorización de
Servicio 906 es un campo de Mensaje de Solicitud de Autorización de
Servicio en un paquete de Solicitud EAP/Autorización de Servicio y
un campo de Mensaje de Respuesta de Autorización de Servicio en un
paquete de Respuesta EAP/Autorización de Servicio.
El campo Mensaje de Solicitud de Autorización de
Servicio en un paquete de Solicitud EAP/Autorización de Servicio
puede incluir datos que van a ser firmados, es decir, información de
contabilidad, y una indicación del formato de dichos datos. El
mismo se puede implementar según una pluralidad de maneras. Por
ejemplo, se puede utilizar el protocolo de Seguridad de la Capa de
Transporte (TLS). El protocolo TSL y el lenguaje de presentación del
TLS se describen en la IETF RFC 2246, "The TLS Protocol Version
1.0", de T. Dierks, C. Allen, enero de 1999. Dicho formato puede
indicar, por ejemplo, una cadena basada en texto, pares
Atributo-Valor, o un documento XML.
El campo de Mensaje de Respuesta de Autorización
de Servicio en un paquete de Respuesta EAP/Autorización de Servicio
incluye los datos firmados y si es necesario una indicación del
método de firma. Los métodos de firma pueden ser, por ejemplo, uno
de los métodos descritos en relación con la Fig. 8.
Claims (41)
1. Método para un sistema para transferir
información de contabilidad, comprendiendo dicho método:
evaluar datos relacionados con un servicio usado
por al menos un terminal (16),
proporcionar los datos evaluados como
información de contabilidad hacia por lo menos un servidor de
autorización de servicios (10) del Protocolo de Autenticación
Extensible, EAP,
enviar, por medio de una solicitud del Protocolo
de Autenticación Extensible, solicitud EAP, una solicitud de
autorización de servicio desde dicho por lo menos un servidor de
autorización de servicios EAP hacia dicho por lo menos un
terminal,
firmar digitalmente información de contabilidad,
en dicho por lo menos un terminal,
incluir, en dicho por lo menos un terminal, la
información de contabilidad firmada digitalmente en una respuesta
del Protocolo de Autenticación Extensible, respuesta EAP, y
enviar la información de contabilidad firmada
digitalmente hacia un servidor de Autenticación, Autorización y
Contabilidad, AAA (14).
2. Método según la reivindicación 1, en el que
la acción de proporcionar los datos evaluados a dicho por lo menos
un servidor de autorización de servicios EAP se realiza por medio de
una comunicación interna dentro de un dispositivo que comprende
tanto dicho por lo menos un servidor de evaluación como dicho por lo
menos un servidor de autorización de servicios EAP.
3. Método según la reivindicación 11, en el que
la acción de proporcionar los datos evaluados a dicho por lo menos
un servidor de autorización de servicios EAP se realiza por medio de
una comunicación de red entre un dispositivo que comprende dicho
por lo menos un servidor de evaluación y un dispositivo que
comprende dicho por lo menos un servidor de autorización de
servicios EAP.
4. Método según cualquiera de las
reivindicaciones 1 a 31, en el que dicho por lo menos un servidor de
evaluación se incluye en un punto de acceso (12), y en el que dicha
solicitud EAP de autorización de servicio y dicha respuesta EAP que
incluye información de contabilidad firmada es recibida y enviada
por el terminal a través de dicho punto de acceso.
5. Método según la reivindicación 4, en el que
dicha recepción y dicho envío por parte de dicho por lo menos un
terminal desde/hacia dicho punto de acceso se realiza por medio de
una comunicación de Red de Área Local Inalámbrica, WLAN.
6. Método según cualquiera de las
reivindicaciones 1 a 5, en el que dicho envío de una solicitud de
autorización de servicio comprende incluir la información de
contabilidad, proporcionada a dicho por lo menos un servidor de
autorización de servicios EAP, en dicha solicitud EAP de
autorización de servicio, y en el que dicho método comprende
asimismo la verificación, realizada por dicho por lo menos un
terminal, de la información de contabilidad recibida desde dicho
por lo menos un servidor de autorización de servicios EAP antes de
que se realice la etapa de la firma digital de la información de
contabilidad, en la que la información de contabilidad que se firma
es la información de contabilidad verificada.
7. Método según cualquiera de las
reivindicaciones 1 a 5, en el que dicho envío de una solicitud de
autorización de servicio comprende incluir la información de
contabilidad, proporcionada a dicho por lo menos un servidor de
autorización de servicios EAP, en dicha solicitud EAP de
autorización de servicio, y en el que dicho método comprende
asimismo la verificación, realizada por el usuario de dicho por lo
menos un terminal, de la información de contabilidad recibida desde
dicho por lo menos un servidor de autorización de servicios EAP
antes de que se realice la etapa de firma digital de la información
de contabilidad, en la que la información de contabilidad que se
firma es la información de contabilidad verificada.
8. Método según cualquiera de las
reivindicaciones 1 a 5, en el que dicha acción de firmar
digitalmente la información de contabilidad comprende la acción de
firmar digitalmente la información de contabilidad recogida por
dicho por lo menos un terminal.
9. Método según cualquiera de las
reivindicaciones 1 a 8, en el que dicha etapa en la que se envía la
información de contabilidad verificada y firmada digitalmente al
servidor AAA comprende:
enviar la información de contabilidad firmada
digitalmente desde dicho por lo menos un terminal a dicho por lo
menos un servidor de autorización de servicios EAP por medio de
dicha respuesta EAP,
\newpage
verificar la firma de la información de
contabilidad firmada digitalmente en el por lo menos un servidor de
autorización de servicios EAP, y
enviar la información de contabilidad firmada
digitalmente desde dicho por lo menos un servidor de autorización
de servicios EAP hacia el servidor AAA.
10. Método según cualquiera de las
reivindicaciones 1 a 9, en el que la acción de la firma digital se
realiza por medio de un algoritmo de clave pública.
11. Sistema para transferir información de
contabilidad, comprendiendo dicho sistema:
un servidor de evaluación para evaluar datos
relacionados con un servicio,
un servidor de autorización de servicios (10)
del Protocolo de Autenticación Extensible (EAP) que comprende un
generador (410) para generar solicitudes de autorizaciones de
servicio del Protocolo de Autenticación Extensible, solicitud EAP,
y unos medios de conexión a red (402),
un terminal (16) que incluye un módulo de firma
(212) dispuesto para firmar digitalmente información de contabilidad
verificada, un generador de respuestas del Protocolo de
Autenticación Extensible, respuestas EAP, (214) dispuesto para
insertar en respuestas EAP una información de contabilidad firmada
digitalmente, y unos medios de conexión a red (202), y
un servidor de Autenticación Autorización y
Contabilidad, AAA, (14) dispuesto para gestionar información de
contabilidad referente por lo menos a un terminal.
12. Sistema según la reivindicación 11, en el
que el servidor de evaluación y el servidor de autorización de
servicios EAP están dispuestos en el mismo dispositivo.
13. Sistema según la reivindicación 11, en el
que el servidor de evaluación y el servidor de autorización de
servicios EAP están dispuestos en dispositivos diferentes.
14. Sistema según cualquiera de las
reivindicaciones 11 a 13, que comprende asimismo un punto de acceso
(12), en el que el punto de acceso comprende dicho servidor de
evaluación.
15. Sistema según la reivindicación 14, en el
que dicho por lo menos un terminal es un terminal habilitado para
las Redes de Área Local Inalámbricas, WLAN, y dicho por lo menos un
punto de acceso es un punto de acceso WLAN.
16. Sistema según cualquiera de las
reivindicaciones 11 a 15, en el que dicho generador destinado a
generar solicitudes de autorizaciones de servicio del Protocolo de
Autenticación Extensible, solicitudes EAP, está dispuesto para
insertar información de contabilidad de por lo menos un terminal en
solicitudes EAP de autorizaciones de servicio.
17. Sistema según cualquiera de las
reivindicaciones 11 a 16, en el que dicho terminal comprende
asimismo un verificador (210) dispuesto para verificar información
de contabilidad recibida desde un servidor de autorización de
servicios.
18. Sistema según cualquiera de las
reivindicaciones 11 a 17, en el que dicho servidor de autorización
de servicios EAP comprende asimismo un verificador de firmas (414)
para verificar firmas de terminales, y un generador de mensajes de
contabilidad (418) para generar mensajes de contabilidad a enviar
hacia dicho servidor AAA.
19. Método para un terminal (16), comprendiendo
dicho método:
recoger datos correspondientes a información de
contabilidad pertinente para por lo menos un servicio utilizado
actualmente en el terminal,
recibir una solicitud de autorización de
servicio del Protocolo de Autenticación Extensible, solicitud EAP,
firmar digitalmente información de contabilidad, y
enviar la información de contabilidad firmada
digitalmente en una respuesta del Protocolo de Autenticación
Extensible, respuesta EAP.
20. Método según la reivindicación 19, en el que
la información de contabilidad que se firma digitalmente en la
etapa de firma digital de la información de contabilidad es los
datos recogidos en la etapa en la que se recogen datos
correspondientes a la información de contabilidad.
21. Método según la reivindicación 19, en el que
dicha solicitud EAP de autorización de servicio, recibida en la
etapa en la que se recibe una solicitud EAP de autorización de
servicio, incluye información de contabilidad pertinente para dicho
por lo menos un servicio utilizado actualmente en el terminal.
22. Método según la reivindicación 21,
comprendiendo asimismo el método:
comparar dicha información de contabilidad
recibida con los datos recogidos, y
si los datos recogidos se corresponden con la
información de contabilidad, en ese caso realizar dichas etapas en
las que se firma digitalmente información de contabilidad y se envía
la información de contabilidad firmada digitalmente.
23. Método según cualquiera de las
reivindicaciones 19 a 22, en el que la recepción de una solicitud
EAP y el envío de una respuesta EAP se realiza a través de una
conexión de Red de Área Local Inalámbrica.
24. Método según cualquiera de las
reivindicaciones 19 a 23, en el que la acción de firmar digitalmente
comprende el cifrado de dicha información de contabilidad
verificada por medio de un sistema criptográfico de clave
pública.
25. Terminal (16) que comprende:
un colector (208) dispuesto para recoger datos
correspondientes a información de contabilidad pertinente para por
lo menos un servicio utilizado actualmente en el terminal,
un módulo de firma (212) dispuesto para firmar
digitalmente información de contabilidad,
un generador de respuestas del Protocolo de
Autenticación Extensible, respuestas EAP, (214) dispuesto para
insertar información de contabilidad firmada digitalmente en
respuestas EAP, y
unos medios de conexión a red (202).
26. Terminal según la reivindicación 25, que
comprende asimismo un dispositivo de comparación (210) dispuesto
para comparar los datos recogidos con información de contabilidad
recibida.
27. Terminal según cualquiera de la
reivindicación 25 ó la reivindicación 26, en el que dichos medios de
conexión a red son unos medios de conexión a una Red de Área Local
Inalámbrica, WLAN, para conectar dicho terminal a una WLAN.
28. Terminal según cualquiera de la
reivindicación 25 ó la reivindicación 27, que comprende asimismo
unos medios de algoritmo de cifrado de un sistema criptográfico de
clave pública para firmar información de contabilidad
verificada.
29. Método para un servidor de autorización de
servicios (10), del Protocolo de Autenticación Extensible, EAP,
comprendiendo dicho método:
recibir información de contabilidad relacionada
con por lo menos un terminal (16),
enviar, hacia por lo menos un terminal, una
solicitud del Protocolo de Autenticación Extensible, solicitud EAP,
para pedir una autorización de servicio,
recibir una respuesta del Protocolo de
Autenticación Extensible, respuesta EAP, que incluye información de
contabilidad firmada, la cual ha sido firmada en el por lo menos un
terminal,
proporcionar la información de contabilidad
firmada a un servidor de Autenticación Autorización y Contabilidad
(14).
30. Método según la reivindicación 29, en el que
dicha información de contabilidad se recibe a través de una red
(18).
31. Método según la reivindicación 29, en el que
dicha información de contabilidad se recibe a través de unos medios
de comunicación internos de un dispositivo en el cual está incluido
dicho servidor de autorización de servicios EAP.
32. Método según cualquiera de las
reivindicaciones 29 a 31, que comprende asimismo:
insertar dicha información de contabilidad
recibida en la solicitud EAP, antes de que se realicen las etapas
de envío de una solicitud EAP y de recepción de una respuesta EAP,
para pedir una autorización de servicio.
33. Método según cualquiera de las
reivindicaciones 29 a 32, en el que la firma de dicha información de
contabilidad firmada se verifica por medio de un algoritmo de un
sistema criptográfico de clave pública.
34. Método según cualquiera de las
reivindicaciones 29 a 33, que comprende asimismo la verificación de
la información de contabilidad firmada antes de que se proporcione
la información de contabilidad firmada a dicho servidor AAA.
35. Método según cualquiera de las
reivindicaciones 29 a 34, en el que dicha respuesta EAP se recibe
desde un terminal a través de una Red de Área Local Inalámbrica,
WLAN.
36. Servidor de autorización de servicios (10)
del Protocolo de Autenticación Extensible, EAP, que comprende:
un receptor de información de contabilidad (408)
para recibir información de contabilidad referente por lo menos a
un terminal (16), un generador de solicitudes del Protocolo de
Autenticación Extensible, solicitudes EAP, (410) dispuesto para
generar solicitudes EAP de autorizaciones de servicio,
un extractor (412) para extraer información de
contabilidad firmada digitalmente a partir de una respuesta del
Protocolo de Autenticación Extensible, respuesta EAP, recibida,
un generador de mensajes de contabilidad (418)
para generar un mensaje, en concordancia con un protocolo de
Autenticación Autorización y Contabilidad, AAA, que incluye dicha
información de contabilidad firmada digitalmente, y
unos medios de conexión a red (402).
37. Servidor de autorización de servicios EAP
según la reivindicación 36, en el que dicho servidor de autorización
de servicios EAP está adaptado para ser incluido en un punto de
acceso (12).
38. Servidor de autorización de servicios EAP
según cualquiera de la reivindicación 36 ó 37, en el que el
generador de solicitudes EAP está dispuesto asimismo para insertar
en una solicitud EAP información de contabilidad referente a
servicios usados por al menos un terminal.
39. Servidor de autorización de servicios EAP
según cualquiera de las reivindicaciones 36 a 38, que comprende
asimismo por lo menos una clave pública para el descifrado de un
mensaje firmado.
40. Programa de ordenador cargable directamente
en la memoria interna de un terminal (16), comprendiendo el
programa de ordenador partes de código de software para realizar el
método según cualquiera de las reivindicaciones 19 a 24.
41. Programa de ordenador cargable directamente
en la memoria interna de un servidor de autorización de servicios
(10) del Protocolo de Autenticación Extensible, EAP, comprendiendo
el programa de ordenador partes de código de software para realizar
el método según cualquiera de las reivindicaciones 29 a 35.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/IB2002/002289 WO2004002108A1 (en) | 2002-06-20 | 2002-06-20 | Method, system and devices for transferring accounting information |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2289114T3 true ES2289114T3 (es) | 2008-02-01 |
Family
ID=29798152
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES02740980T Expired - Lifetime ES2289114T3 (es) | 2002-06-20 | 2002-06-20 | Metodo, sistema y dispositivos para transferir informacion de contabilidad. |
Country Status (8)
Country | Link |
---|---|
US (1) | US7251733B2 (es) |
EP (1) | EP1514394B1 (es) |
CN (1) | CN1628449B (es) |
AT (1) | ATE370599T1 (es) |
AU (1) | AU2002314407A1 (es) |
DE (1) | DE60221907T2 (es) |
ES (1) | ES2289114T3 (es) |
WO (1) | WO2004002108A1 (es) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040166874A1 (en) * | 2002-11-14 | 2004-08-26 | Nadarajah Asokan | Location related information in mobile communication system |
CN1293728C (zh) * | 2003-09-30 | 2007-01-03 | 华为技术有限公司 | 无线局域网中用户终端选择接入移动网的快速交互方法 |
JP4070708B2 (ja) * | 2003-11-14 | 2008-04-02 | 株式会社リコー | セキュリティ確保支援プログラム及びそのプログラムを実行するサーバ装置並びにそのプログラムを記憶した記憶媒体 |
CN100344094C (zh) * | 2004-09-01 | 2007-10-17 | 华为技术有限公司 | IPv6网络中对多地址用户进行授权计费的实现方法 |
KR100704675B1 (ko) * | 2005-03-09 | 2007-04-06 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템의 인증 방법 및 관련 키 생성방법 |
WO2006096017A1 (en) * | 2005-03-09 | 2006-09-14 | Electronics And Telecommunications Research Institute | Authentication method and key generating method in wireless portable internet system |
CN100382653C (zh) * | 2005-05-19 | 2008-04-16 | 中国科学院计算技术研究所 | 一种无线分组网络中语音通信的认证、授权、记账方法 |
KR101261637B1 (ko) * | 2006-02-01 | 2013-05-06 | 엘지전자 주식회사 | 이기종 망 간 핸드오버 수행시 mih 메시지 전송 방법 |
US7715562B2 (en) * | 2006-03-06 | 2010-05-11 | Cisco Technology, Inc. | System and method for access authentication in a mobile wireless network |
CN101496387B (zh) | 2006-03-06 | 2012-09-05 | 思科技术公司 | 用于移动无线网络中的接入认证的系统和方法 |
CN101064616A (zh) * | 2006-04-28 | 2007-10-31 | 华为技术有限公司 | 一种网络计费方法、系统及设备 |
CN101087297A (zh) * | 2006-06-06 | 2007-12-12 | 华为技术有限公司 | 用于传递计费信息的方法和装置 |
CN101237443B (zh) * | 2007-02-01 | 2012-08-22 | 华为技术有限公司 | 管理协议中对用户进行认证的方法和系统 |
KR100864902B1 (ko) | 2007-04-17 | 2008-10-22 | 성균관대학교산학협력단 | 확장 가능 인증프로토콜을 사용하는 인증 방법, 인증시스템 및 그 프로그램이 기록된 기록매체 |
CN101039197A (zh) * | 2007-04-18 | 2007-09-19 | 华为技术有限公司 | 点对点应用中收集计费信息的方法、设备和系统 |
US20090328147A1 (en) * | 2008-06-27 | 2009-12-31 | Microsoft Corporation | Eap based capability negotiation and facilitation for tunneling eap methods |
US20100058317A1 (en) * | 2008-09-02 | 2010-03-04 | Vasco Data Security, Inc. | Method for provisioning trusted software to an electronic device |
KR101655264B1 (ko) * | 2009-03-10 | 2016-09-07 | 삼성전자주식회사 | 통신시스템에서 인증 방법 및 시스템 |
US8352603B2 (en) * | 2010-08-10 | 2013-01-08 | Telefonaktiebolaget L M Ericsson (Publ) | Limiting resources consumed by rejected subscriber end stations |
JP5934364B2 (ja) * | 2011-09-09 | 2016-06-15 | インテル コーポレイション | Soap−xml技術を使用したwi−fiホットスポットのための安全なオンラインサインアップ及び提供のためのモバイルデバイス及び方法 |
CN103108325B (zh) * | 2011-11-10 | 2018-05-18 | 中兴通讯股份有限公司 | 一种信息安全传输方法及系统及接入服务节点 |
KR101880493B1 (ko) * | 2012-07-09 | 2018-08-17 | 한국전자통신연구원 | 무선 메쉬 네트워크에서의 인증 방법 |
CN103716762B (zh) * | 2012-09-29 | 2017-04-05 | 卓望数码技术(深圳)有限公司 | 一种互联网计费系统以及其实现安全计费的方法 |
US10027722B2 (en) * | 2014-01-09 | 2018-07-17 | International Business Machines Corporation | Communication transaction continuity using multiple cross-modal services |
US20200322334A1 (en) * | 2019-04-05 | 2020-10-08 | Cisco Technology, Inc. | Authentication of network devices based on extensible access control protocols |
CN114244532A (zh) * | 2021-12-14 | 2022-03-25 | 视联动力信息技术股份有限公司 | 终端的计费方法和计费装置 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2669773B1 (fr) * | 1990-11-26 | 1993-01-08 | Socop Sa | Lampe de signalisation et son procede de fabrication. |
US5240334A (en) * | 1992-06-04 | 1993-08-31 | Saul Epstein | Hand held multiline printer with base member for guiding |
US5369258A (en) * | 1993-07-29 | 1994-11-29 | Pitney Bowes Inc. | Postage applying kiosk |
US6219790B1 (en) * | 1998-06-19 | 2001-04-17 | Lucent Technologies Inc. | Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types |
WO2001024476A1 (en) * | 1999-09-29 | 2001-04-05 | Nortel Networks Limited | Apparatus and method for routing aaa messages between domains of a network |
US8463231B1 (en) * | 1999-11-02 | 2013-06-11 | Nvidia Corporation | Use of radius in UMTS to perform accounting functions |
US6775262B1 (en) * | 2000-03-10 | 2004-08-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for mapping an IP address to an MSISDN number within a wireless application processing network |
GB2367213B (en) * | 2000-09-22 | 2004-02-11 | Roke Manor Research | Access authentication system |
WO2002035797A2 (en) * | 2000-10-20 | 2002-05-02 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
-
2002
- 2002-06-20 CN CN02829170.0A patent/CN1628449B/zh not_active Expired - Fee Related
- 2002-06-20 WO PCT/IB2002/002289 patent/WO2004002108A1/en active IP Right Grant
- 2002-06-20 EP EP02740980A patent/EP1514394B1/en not_active Expired - Lifetime
- 2002-06-20 AU AU2002314407A patent/AU2002314407A1/en not_active Abandoned
- 2002-06-20 ES ES02740980T patent/ES2289114T3/es not_active Expired - Lifetime
- 2002-06-20 DE DE60221907T patent/DE60221907T2/de not_active Expired - Lifetime
- 2002-06-20 AT AT02740980T patent/ATE370599T1/de not_active IP Right Cessation
-
2003
- 2003-06-20 US US10/601,337 patent/US7251733B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
ATE370599T1 (de) | 2007-09-15 |
US7251733B2 (en) | 2007-07-31 |
EP1514394B1 (en) | 2007-08-15 |
CN1628449B (zh) | 2010-06-16 |
EP1514394A1 (en) | 2005-03-16 |
US20040064741A1 (en) | 2004-04-01 |
WO2004002108A1 (en) | 2003-12-31 |
CN1628449A (zh) | 2005-06-15 |
AU2002314407A1 (en) | 2004-01-06 |
DE60221907D1 (de) | 2007-09-27 |
DE60221907T2 (de) | 2008-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2289114T3 (es) | Metodo, sistema y dispositivos para transferir informacion de contabilidad. | |
US9584480B2 (en) | System for and method of securing a network utilizing credentials | |
Simon et al. | The EAP-TLS authentication protocol | |
US8285990B2 (en) | Method and system for authentication confirmation using extensible authentication protocol | |
ES2251459T3 (es) | Autenticacion en una red de tranmisison de datos por paquetes. | |
US7502925B2 (en) | Method and apparatus for reducing TCP frame transmit latency | |
TWI262676B (en) | Method and system for handling out-of-order segments in a wireless system via direct data placement | |
ES2279871T3 (es) | Autenticacion de un usuario a traves de sesiones de comunicacion. | |
TW564624B (en) | Non-invasive SSL payload processing for IP packet using streaming SSL parsing | |
US9088416B2 (en) | Method for securely associating data with HTTP and HTTPS sessions | |
US20020076054A1 (en) | Session shared key sharing method, wireless terminal authentication method, wireless terminal, and base station device | |
JP2003289301A (ja) | 無線環境におけるネットワークへのアクセス制御方法及びこれを記録した記録媒体 | |
JP5527906B2 (ja) | セキュリティアソシエーションに関連した多数の接続パケットを連結し、暗号化オーバーヘッドを減少させるシステム及び方法 | |
EP1643714A1 (en) | Access point that provides a symmetric encryption key to an authenticated wireless station | |
US20050113069A1 (en) | User authentication through separate communication links | |
KR100480999B1 (ko) | 강제적 접근 제어가 적용된 보안 운용 체제에서의 신뢰채널 제공 장치 및 방법 | |
CN1595894A (zh) | 一种无线局域网接入认证的实现方法 | |
JP4019266B2 (ja) | データ送信方法 | |
KR20070065390A (ko) | 근거리 통신망에서 이동 통신 단말기를 등록하기 위한 방법 | |
JP2004194196A (ja) | パケット通信認証システム、通信制御装置及び通信端末 | |
EP1961149A1 (en) | Method for securely associating data with http and https sessions | |
CN110351308B (zh) | 一种虚拟专用网络通信方法和虚拟专用网络设备 | |
US20070028092A1 (en) | Method and system for enabling chap authentication over PANA without using EAP | |
Cullen et al. | Port Control Protocol (PCP) Authentication Mechanism | |
Cullen et al. | RFC 7652: Port Control Protocol (PCP) Authentication Mechanism |