ES2304492T3 - Metodo, aparato y sistema para el tratamiento de un error de un usuario movil itinerante entre una red gsm y una red wlan. - Google Patents

Metodo, aparato y sistema para el tratamiento de un error de un usuario movil itinerante entre una red gsm y una red wlan. Download PDF

Info

Publication number
ES2304492T3
ES2304492T3 ES03257087T ES03257087T ES2304492T3 ES 2304492 T3 ES2304492 T3 ES 2304492T3 ES 03257087 T ES03257087 T ES 03257087T ES 03257087 T ES03257087 T ES 03257087T ES 2304492 T3 ES2304492 T3 ES 2304492T3
Authority
ES
Spain
Prior art keywords
user
authentication
user profile
message
storage media
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES03257087T
Other languages
English (en)
Inventor
Jukka Tuomi
Timo Takamaki
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks Oy
Original Assignee
Nokia Siemens Networks Oy
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nokia Siemens Networks Oy filed Critical Nokia Siemens Networks Oy
Application granted granted Critical
Publication of ES2304492T3 publication Critical patent/ES2304492T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/16Communication-related supplementary services, e.g. call-transfer or call-hold
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/02Arrangements for optimising operational condition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Eye Examination Apparatus (AREA)
  • Constituent Portions Of Griding Lathes, Driving, Sensing And Control (AREA)
  • Purification Treatments By Anaerobic Or Anaerobic And Aerobic Bacteria Or Animals (AREA)

Abstract

Método para realizar una autenticación en un sistema de comunicaciones (1, 7) que comprende un servidor de autenticación (AS) (5), y unos medios de almacenamiento de perfiles de usuario (3) que almacenan perfiles de usuario correspondientes a usuarios del sistema de comunicaciones, comprendiendo el método: transmitir, desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario, una solicitud del perfil de usuario correspondiente a un usuario (C), devolviendo los medios de almacenamiento de perfiles de usuario al servidor de autenticación un mensaje de error (D) en respuesta a dicha solicitud cuando el usuario no ha estado en comunicación con la red de la cual forma parte el perfil de usuario durante un periodo prolongado; recibir, en el AS, una respuesta a la solicitud; determinar si la respuesta es indicativa de un error; y caracterizado porque si la respuesta es indicativa de un error, transmitir, desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario, un mensaje de un tipo tal que se activen los medios de almacenamiento de perfiles de usuario para realizar un procedimiento de actualización de ubicación con respecto al usuario (E).

Description

Método, aparato y sistema para el tratamiento de un error de un usuario móvil itinerante entre una red GSM y una red WLAN.
La presente invención se refiere a la realización de una autenticación en un sistema de comunicaciones.
En muchos sistemas de comunicaciones, por ejemplo, los sistemas de telefonía, se realiza una autenticación de los usuarios antes de proporcionar a los mismos acceso a recursos. Los recursos podrían ser, por ejemplo, servicios de transmisión y/o recepción de datos, acceso a una red o a datos, o acceso a opciones de configuración.
La figura 1 muestra uno de estos sistemas. La figura 1 es un diagrama esquemático de un sistema de comunicaciones GSM (Sistema Global para Comunicaciones Móviles). En la figura 1 se muestran únicamente los componentes relevantes del sistema. El sistema representado en la figura 1 comprende una red GSM 1, con la cual se puede comunicar un terminal 2. La red comprende un registro de posiciones base (HLR) 3, un registro de posiciones de visitantes (VLR) 4 y un servidor de autenticación (AS) 5. El sistema incluye también una red de área local inalámbrica (WLAN) 7. El terminal tiene la capacidad de comunicarse tanto en la red GSM como en la WLAN.
El HLR y el VLR conjuntamente proporcionan capacidades que son usadas principalmente para el encaminamiento de llamadas y desplazamientos itinerantes. El HLR almacena un perfil de usuario para cada abonado a la red 1, que incluye información administrativa correspondiente a dicho abonado. También puede almacenar información que defina la ubicación en curso del terminal que está siendo usado por ese abonado. La ubicación en curso del terminal se mantiene típicamente en forma de la dirección de señalización del VLR asociado a la estación móvil. Si el terminal está funcionando en la red 1, en ese caso esa dirección será la del VLR 4. Si el terminal se está desplazando de forma itinerante en otra red, en ese caso la dirección es la del VLR de esa red. Lógicamente existe un único HLR en cada red GSM, aunque el mismo se puede implementar en forma de una base de datos distribuida. El VLR almacena información administrativa seleccionada del HLR, necesaria para el control de llamadas y la provisión de servicios, para cada terminal que esté ubicado en ese momento en el área geográfica de la cual es responsable el VLR.
El servidor de autenticación se usa para autenticar un terminal cuando se van a proporcionar servicios al mismo. Una de las maneras de realizar esta operación es la siguiente. El terminal 2 incorpora un módulo de identidad de abonado (SIM) 6 el cual almacena una clave secreta de autenticación y puede realizar una función de autenticación tomando como operandos esa clave y datos suministrados al SIM por el terminal. El resultado de la función se devuelve al terminal. La clave secreta se almacena además en el perfil de usuario correspondiente al abonado, que se mantiene en su HLR. Cuando se va a autenticar al abonado, a su terminal se le suministran datos de desafío por parte de la entidad que desea que el mismo se autentique. Los datos de desafío se trasladan al SIM, el cual calcula la función de autenticación de los datos de desafío y la clave secreta almacenada. El resultado de esta función se devuelve a la red, por ejemplo, a la entidad que desea que el abonado se autentique. A continuación, ese resultado se puede suministrar junto con los datos de desafío al servidor de autenticación 5, el cual recupera la clave secreta correspondiente al abonado a partir del HLR del abonado y calcula la función de autenticación de esa clave y los datos de desafío. Si el resultado de ese cálculo coincide con el resultado suministrado al servidor de autenticación, en ese caso el servidor de autenticación devuelve un mensaje a la entidad que desea que el abonado se autentique para indicar que el abonado ha sido autenticado. En cualquier otro caso, no se produce la autenticación del abonado. Con este fin, se puede usar el protocolo de autenticación extensible (EAP).
La secuencia convencional de señalización para que el AS obtenga información sobre el perfil del abonado a partir de un HLR es la siguiente:
A. El AS transmite hacia el HLR un mensaje MAP_SEND_AUTHENTICATION_INFO.
B. El HLR responde con un mensaje de acuse de recibo MAP_SEND_AUTHENTICATION_INFO_ACK.
C. El AS transmite hacia el HLR un mensaje MAP_RESTORE_DATA.
D. El HLR responde con un mensaje MAP_INSERT_SUBSCRIBER_DATA que proporciona los datos de abonado al AS.
Un ejemplo de una situación en la cual se puede usar la autenticación es el correspondiente a la autenticación de un terminal para ayudar a determinar si se debería permitir al mismo acceder a una red de área local inalámbrica (WLAN) (7 en la figura 1). Si se está usando esta forma de autenticación, cuando un abonado intenta acceder a la WLAN la entidad que controla el acceso a la WLAN autentica la identidad del abonado por medio del AS de la red GSM. Esta situación requiere que la AS recupere el perfil de usuario del abonado a partir de su HLR. Incluso si el mismo tiene capacidad de funcionamiento en ambas redes, no es necesario que el terminal se comunique con o se conecte a la red GSM cuando está intentando acceder a dicha red GSM: se podría encontrar fuera del alcance de la red GSM, o su transceptor GSM podría estar apagado.
En el escenario anterior, la red GSM se está usando para colaborar en la autenticación de un terminal que busca acceso a otra red. Una autenticación entre redes de este tipo es una situación algo diferente con respecto a la que se preveía cuando se desarrollaron por primera vez los HLR GSM. Antes de que se previera ampliamente una autenticación entre redes de este tipo, se podría haber supuesto que el terminal que se iba a autenticar estaría conectado a la red GSM. No obstante, esto no es necesariamente así. Por esta razón, se puede prever que podrían surgir problemas en la obtención del perfil de abonado a partir de un HLR para realizar una autenticación en este escenario.
Por ejemplo, el solicitante ha descubierto que los HLR fabricados por por lo menos un fabricante no devolverán ningún perfil de abonado en respuesta a un mensaje MAP_RESTORE_DATA a no ser que tengan almacenado un registro de la dirección de un VLR para ese abonado, y que dichos HLR borran sus registros del VLR asociado a un abonado después de un periodo de aproximadamente tres días. Por esta razón, con estos HLR, si el terminal no se ha comunicado con la red GSM en los días anteriores al momento en el cual está buscando acceso a la WLAN, puede que el mismo no tenga ningún VLR asociado y por esta razón el HLR no puede devolver el perfil de abonado en respuesta a un mensaje MAP_RESTORE_DATA. En ese caso, el AS no podría autenticarlo. Algunos otros HLR tienen la capacidad de responder tal como requeriría el AS, aunque no presentan dicha configuración como la suya por defecto. Dichos HLR podrían requerir una reconfiguración para garantizar que sí proporcionan el perfil de abonado al AS.
Algunos HLR implementan un mecanismo con el cual se activa una cuenta de abonado después de que tenga lugar la primera actualización de ubicación GSM. Esta situación provocaría un problema si la tarjeta SIM se fuera a usar solamente para la autenticación WLAN - es decir, si el usuario final usase un SIM para servicios de voz GSM normales y otro para acceso a datos WLAN. En ese caso, el operador de la red debería especificar instrucciones diferentes a las normales cuando se proporcionase la tarjeta SIM WLAN (solamente datos). Si se siguiese el proceso de distribución normal de tarjetas SIM, en el cual el usuario final actualiza automáticamente la suscripción cuando inicia la primera actualización de ubicación, la tarjeta SIM de solamente datos no se activaría. La activación del SIM de datos requeriría que alguien realizase una actualización de ubicación usando ese SIM antes de entregarlo al usuario final, lo cual constituiría un paso adicional en la distribución de tarjetas SIM y un motivo potencial de errores.
El documento EP 1.209.935 da a conocer un método de detección de fraude en el cual unos datos relacionados con intentos de autenticación no satisfactorios se incluyen en un mensaje de informe de fallos de autenticación que se envía desde el entorno de servicio de vuelta hacia el entorno de origen, se almacena en el registro de posiciones base y a continuación se reenvía hacia sistemas de detección de fraude para su procesado.
La patente US nº 6.285.882 da a conocer un método para registrar un abonado en el cual, si se ha realizado un número predeterminado de verificaciones del abonado, se solicita un procesado de verificación del abonado.
El documento WO 01/15463 da a conocer un método para gestionar datos de abonado en el cual un perfil de abonado almacenado en una entidad de red visitada se puede actualizar enviando modificaciones de una entidad de red de origen hacia la entidad de red visitada. De este modo, existe la necesidad de una mejora en la forma de realizar la autenticación, y particularmente para obtener datos sobre el perfil del usuario.
Según la presente invención, se proporciona un método para realizar una autenticación en un sistema de comunicaciones que comprende un servidor de autenticación (AS), y unos medios de almacenamiento de perfiles de usuario que almacenan perfiles de usuario correspondientes a usuarios del sistema de comunicaciones, comprendiendo el método la transmisión, desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario, de una solicitud del perfil de usuario correspondiente a uno de los usuarios, siendo tales los medios de almacenamiento de perfiles de usuario que devuelven al servidor de autenticación un mensaje de error en respuesta a dicha solicitud cuando el usuario no ha estado en comunicación con la red de la cual forma parte el perfil de usuario durante un periodo prolongado, la recepción, en el AS, de una respuesta a la solicitud, la determinación de si la respuesta es indicativa de un error y si la respuesta es indicativa de un error, la transmisión, desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario, de un mensaje de un tipo tal que se activen los medios de almacenamiento de perfiles de usuario para realizar un procedimiento de actualización de ubicación con respecto al usuario.
De acuerdo con un segundo aspecto de la presente invención, se proporciona un servidor de autenticación para realizar una autenticación en un sistema de comunicaciones que comprende unos medios de almacenamiento de perfiles de usuario que almacenan perfiles de usuario correspondientes a usuarios del sistema de comunicaciones, siendo tales los medios de almacenamiento de perfiles de usuario que devuelven al servidor de autenticación un mensaje de error en respuesta a dicha solicitud cuando el usuario no ha estado en comunicación con la red de la cual forma parte el perfil de usuario durante un periodo prolongado, estando dispuesto el servidor de autenticación para, con vistas a realizar la autenticación: transmitir desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario una solicitud del perfil de usuario correspondiente a uno de los usuarios; recibir, en el servidor de autenticación, una respuesta a la solicitud; determinar si la respuesta es indicativa de un error; y si la respuesta es indicativa de un error, transmitir, desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario, un mensaje de un tipo tal que se activen los medios de almacenamiento de perfiles de usuario para realizar un procedimiento de actualización de ubicación con respecto al usuario.
Según un tercer aspecto de la presente invención se proporciona un sistema de comunicaciones que comprende: unos medios de almacenamiento de perfiles de usuario que almacenan perfiles de usuario correspondientes a usuarios del sistema de comunicaciones, siendo tales los medios de almacenamiento de perfiles de usuario que devuelven al servidor de autenticación un mensaje de error en respuesta a dicha solicitud cuando el usuario no ha estado en comunicación con la red de la cual forma parte el perfil de usuario durante un periodo prolongado; y un servidor de autenticación (AS) para realizar una autenticación en el sistema de comunicaciones y que está dispuesto para, con vistas a realizar la autenticación: transmitir desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario una solicitud del perfil de usuario correspondiente a uno de los usuarios; recibir, en el AS, una respuesta a la solicitud; determinar si la respuesta es indicativa de un error; y si la respuesta es indicativa de un error, transmitir, desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario, un mensaje de un tipo tal que se activen los medios de almacenamiento de perfiles de usuario para realizar un procedimiento de actualización de ubicación con respecto al usuario.
Preferentemente, dicho mensaje es de un tipo tal que se activan los medios de almacenamiento de perfiles de usuario para realizar la actualización de ubicación y subsiguientemente transmitir el perfil de usuario correspondiente al usuario hacia el servidor de autenticación.
Los medios de almacenamiento de perfiles de usuario son de forma adecuada unos medios de almacenamiento de perfiles de usuario de una red GSM. Los medios de almacenamiento de perfiles de usuario son preferentemente un registro de posiciones base (HLR).
Los medios de almacenamiento de perfiles de usuario son adecuadamente tales que: en ciertas circunstancias devuelven al servidor de autenticación el perfil de usuario correspondiente al usuario en respuesta a la solicitud del perfil de usuario correspondiente a dicho usuario; y en otras circunstancias devuelven al servidor de autenticación un mensaje de error en respuesta a dicha solicitud. Dichas otras circunstancias incluyen preferentemente que el usuario no haya estado en comunicación con la red de la cual forman parte los medios de almacenamiento de perfiles de usuario durante un periodo prolongado - por ejemplo, uno o dos días o más. Los medios de almacenamiento de perfiles de usuario pueden ser tales que devuelvan al servidor de autenticación el perfil de usuario correspondiente al usuario en respuesta a dicha solicitud únicamente si los mismos almacenan una ubicación correspondiente al usuario, y dichas otras circunstancias pueden incluir que los medios de almacenamiento de perfiles de usuario hayan eliminado de sus medios de almacenamiento de datos cualquier ubicación del usuario.
Dicha solicitud es preferentemente un mensaje según el protocolo MAP (parte de aplicación móvil), de la forma más preferente un mensaje MAP_RESTORE_DATA.
El mensaje de un tipo tal que se activan los medios de almacenamiento de perfiles de usuario para realizar un procedimiento de actualización de ubicación con respecto al usuario es preferentemente un mensaje según el protocolo MAP, de la forma más preferente un mensaje MAP_UPDATE_LOCATION ó un mensaje MAP_UPDATE_GPRS_LOCA-
TION.
El método puede comprender: recibir, en el servidor de autenticación, el perfil de usuario correspondiente al usuario a partir de los medios de almacenamiento de perfiles de usuario; y autenticar credenciales del usuario por medio del perfil de usuario recibido; y en el que si las credenciales se autentican correctamente, al usuario se le concede acceso a un recurso, y en cualquier otro caso al usuario se le deniega el acceso al recurso. El recurso incluye adecuadamente el acceso a una red que no sea la correspondiente de la cual forman parte los medios de almacenamiento de perfiles de usuario. La red que no es la correspondiente de la cual forman parte los medios de almacenamiento de perfiles de usuario puede ser, por ejemplo, una red de área local inalámbrica.
El usuario es preferentemente un abonado, de la forma más preferente un abonado a la red de la cual forman parte los medios de almacenamiento de perfiles de usuario. El usuario/abonado puede acceder a la red por medio de un terminal. Preferentemente, el terminal tiene capacidad de comunicación inalámbrica (por ejemplo, radiocomunicaciones) con la red. El terminal puede ser una estación móvil. El terminal puede ser un teléfono móvil o un dispositivo de datos móvil. El terminal puede tener la capacidad de comunicarse con (y preferentemente de poseer) una unidad de identidad de usuario, por ejemplo, un SIM ó USIM (SIM UMTS (sistema de telefonía móvil universal)), que incluya datos por medio de los cuales el terminal pueda tomar parte en el proceso de autenticación. El terminal tiene preferentemente la capacidad de comunicarse en redes de por lo menos dos tipos diferentes. Uno de ellos es preferentemente la red de la cual forman parte los medios de almacenamiento de perfiles de usuario. El otro es preferentemente el recurso al cual se busca acceso.
El proceso de autenticación incluye preferentemente las etapas en la que: el usuario busca la obtención de acceso a un recurso; el terminal que está siendo usado por el usuario forma datos de autenticación que se pueden autenticar por medio del perfil de usuario correspondiente al usuario, y transmite esos datos de forma directa o indirecta hacia el servidor de autenticación; el servidor de autenticación autentica los datos de autenticación (preferentemente tal como se ha descrito anteriormente); y al usuario, en consecuencia, se le concede o se le deniega acceso al recurso.
A continuación, se describirá la presente invención a título de ejemplo haciendo referencia a los dibujos adjuntos, en los que:
La figura 1 es un diagrama parcial esquemático de una red de comunicaciones GSM; y
La figura 2 muestra la señalización durante una autenticación según una de las formas de realización de la presente invención.
El presente sistema se puede implementar en un sistema que sea esquemáticamente igual al representado en la figura 1. En la descripción del presente sistema, a los componentes equivalentes del sistema se les hará referencia en relación con la figura 1. No obstante, en el presente sistema la funcionalidad del AS está adaptada a partir de la correspondiente a un AS convencional.
Tal como se ha indicado anteriormente, pueden surgir problemas cuando un AS necesita determinar un perfil de usuario a partir de un HLR pero el HLR se encuentra en un estado tal que no devuelve ningún perfil correspondiente al abonado en cuestión. Una de las formas de hacer frente a esta situación es configurar el AS de manera que inicie una actualización de ubicación para el abonado en el caso de que la solicitud de un perfil de abonado sea inaceptable. Esta situación se describe más detalladamente a continuación.
De forma resumida, la secuencia convencional de señalización para que el AS obtenga información sobre el perfil de abonado a partir de un HLR es la siguiente:
A. El AS transmite hacia el HLR un mensaje MAP_SEND_AUTHENTICATION_INFO.
B. El HLR responde con un mensaje de acuse de recibo MAP_SEND_AUTHENTICATION_INFO_ACK.
C. El AS transmite hacia el HLR un mensaje MAP_RESTORE_DATA.
D. El HLR responde con un mensaje MAP_INSERT_SUBSCRIBER_DATA que proporciona los datos de abonado a la AS.
Si el HLR se encuentra en un estado tal que no devuelve ningún perfil correspondiente al abonado en cuestión, en ese caso devuelve un mensaje de error en la fase D.
El AS de la presente invención está configurado de manera que si, cuando está intentando recuperar un perfil de usuario a partir de un HLR, recibe un mensaje de error en respuesta al mensaje que envía en la fase C, en ese caso inicia una actualización de ubicación para el abonado en cuestión. A continuación, se espera que el HLR realice una actualización de ubicación para el abonado y que devuelva el perfil de usuario del abonado. De este modo, después de que en la etapa D se devuelva un error, se realizan las siguientes etapas adicionales:
E. El AS transmite hacia el HLR un mensaje MAP_UPDATE_LOCATION.
F. El HLR realiza una actualización de ubicación para el abonado y responde al AS con un mensaje MAP_INSERT_
SUBSCRIBER_DATA proporcionando los datos de abonado al AS.
Se podría esperar que la transmisión, por parte del AS, de un mensaje MAP_UPDATE_LOCATION hacia el HLR provocase problemas para la conexión del abonado en la red GSM. No obstante, el AS transmite el mensaje MAP_UPDATE_LOCATION cuando se recibe un error en la etapa D. El motivo que subyace tras la señal de error es que el HLR ha eliminado la opción VLR correspondiente al abonado debido a que el abonado no ha estado conectado a la red GSM. Por esta razón, si se realizan las etapas E y F, se espera que el abonado no esté conectado realmente a la red GSM.
En la figura 2 se ilustran las etapas de señalización en el caso de que se reciba un error en la etapa D. Esta figura muestra también la señalización entre el AS 5 y la zona de acceso WLAN 7 (etapas X e Y). Esta señalización puede hacer uso del protocolo RADIUS. La etapa X es la solicitud de autenticación del abonado desde la zona de acceso WLAN. Esto puede incluir los datos de autenticación y los datos de desafío a partir de los cuales se obtuvieron los primeros, junto con una identificación del abonado. La etapa Y es el mensaje que indica a la zona de acceso WLAN si se va a permitir o denegar el acceso basándose en el resultado de la autenticación.
El método descrito anteriormente puede permitir el uso fiable de un perfil de usuario de un abonado GSM para una autenticación de acceso a servicios cuando el abonado/terminal no está conectado a la red GSM. Dichos servicios pueden ser el acceso a una red que no sea la red GSM. Debería entenderse que las redes GSM incluyen redes basadas en normas derivadas del GSM.
Los mensajes específicos que se usan podrían variar con respecto a los correspondientes descritos anteriormente. En la etapa 5, en lugar de usar un mensaje MAP_UPDATE_LOCATION, se podría usar un mensaje MAP_UPDATE_
GPRS_LOCATION. El mismo también activa al HLR para que realice una actualización de ubicación para el abonado y le responde el HLR con un mensaje MAP_INSERT_SUBSCRIBER_DATA.
Debería indicarse que la señalización antes expuesta utiliza el protocolo MAP. Aunque se podrían usar otros protocolos de señalización, el protocolo MAP resulta ventajoso.
El servidor de autenticación puede formar parte de la red de la cual forma parte el HLR (tal como se ilustra en la figura 1) o puede formar parte de otra red, o puede ser una funcionalidad independiente. El servidor de autenticación se puede proporcionar en forma de una unidad individual, o puede ser una funcionalidad distribuida entre dos o más unidades y/o ubicaciones físicas.

Claims (14)

1. Método para realizar una autenticación en un sistema de comunicaciones (1, 7) que comprende un servidor de autenticación (AS) (5), y unos medios de almacenamiento de perfiles de usuario (3) que almacenan perfiles de usuario correspondientes a usuarios del sistema de comunicaciones, comprendiendo el método:
transmitir, desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario, una solicitud del perfil de usuario correspondiente a un usuario (C), devolviendo los medios de almacenamiento de perfiles de usuario al servidor de autenticación un mensaje de error (D) en respuesta a dicha solicitud cuando el usuario no ha estado en comunicación con la red de la cual forma parte el perfil de usuario durante un periodo prolongado;
recibir, en el AS, una respuesta a la solicitud;
determinar si la respuesta es indicativa de un error; y caracterizado porque
si la respuesta es indicativa de un error, transmitir, desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario, un mensaje de un tipo tal que se activen los medios de almacenamiento de perfiles de usuario para realizar un procedimiento de actualización de ubicación con respecto al usuario (E).
2. Método según la reivindicación 1, en el que el mensaje es de un tipo tal que se activan los medios de almacenamiento de perfiles de usuario para realizar la actualización de ubicación y subsiguientemente transmitir el perfil de usuario correspondiente al usuario hacia el servidor de autenticación.
3. Método según cualquiera de las reivindicaciones anteriores, en el que los medios de almacenamiento de perfiles de usuario son unos medios de almacenamiento de perfiles de usuario de una red GSM.
4. Método según cualquiera de las reivindicaciones anteriores, en el que los medios de almacenamiento de perfiles de usuario son un registro de posiciones base (HLR).
5. Método según cualquiera de las reivindicaciones 1 a 4, en el que los medios de almacenamiento de perfiles de usuario son tales que devuelven al servidor de autenticación un mensaje de error en respuesta a dicha solicitud cuando el usuario no ha estado en comunicación con la red de la cual forma parte el perfil de usuario durante un día o más.
6. Método según cualquiera de las reivindicaciones anteriores, en el que dicha solicitud es un mensaje según el protocolo MAP.
7. Método según la reivindicación 6, en el que dicha solicitud es un mensaje MAP_RESTORE_DATA.
8. Método según cualquiera de las reivindicaciones anteriores, en el que el mensaje de un tipo tal que se activan los medios de almacenamiento de perfiles de usuario para realizar un procedimiento de actualización de ubicación con respecto al usuario es un mensaje según el protocolo MAP.
9. Método según la reivindicación 8, en el que dicho mensaje de un tipo tal que se activan los medios de almacenamiento de perfiles de usuario para realizar un procedimiento de actualización de ubicación con respecto al usuario es un mensaje MAP_UPDATE_LOCATION ó un MAP_UPDATE_GPRS_LOCATION.
10. Método según cualquiera de las reivindicaciones anteriores, que comprende asimismo:
recibir, en el servidor de autenticación, el perfil de usuario correspondiente al usuario desde los medios de almacenamiento de perfiles de usuario; y
autenticar las credenciales del usuario por medio del perfil de usuario recibido; y en el que
si las credenciales se autentican correctamente, al usuario se le concede acceso a un recurso, y en cualquier otro caso al usuario se le deniega el acceso al recurso.
11. Método según la reivindicación 10, en el que el recurso incluye el acceso a una red (7) distinta de la que forman parte los medios de almacenamiento de perfiles de usuario.
12. Método según la reivindicación 11, en el que la red es distinta de la que forman parte los medios de almacenamiento de perfiles de usuario es una red de área local inalámbrica.
13. Servidor de autenticación (AS) (5) para realizar una autenticación en un sistema de comunicaciones (1, 7) que comprende unos medios de almacenamiento de perfiles de usuario (3) que almacenan perfiles de usuario correspondientes a usuarios del sistema de comunicaciones, siendo tales los medios de almacenamiento de perfiles de usuario que devuelven al servidor de autenticación un mensaje de error (D) en respuesta a una solicitud del perfil de usuario correspondiente a uno de los usuarios cuando el usuario no ha estado en comunicación con la red de la cual forma parte el perfil de usuario durante un periodo prolongado, estando dispuesto el servidor de autenticación para, con el fin de realizar la autenticación:
transmitir desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario una solicitud del perfil de usuario correspondiente a un usuario (C);
recibir, en el AS, una respuesta a la solicitud;
determinar si la respuesta es indicativa de un error; y caracterizado porque
si la respuesta es indicativa de un error, el servidor de autenticación está dispuesto para transmitir, desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario, un mensaje de un tipo tal que se activen los medios de almacenamiento de perfiles de usuario para realizar un procedimiento de actualización de ubicación con respecto al usuario (E).
14. Sistema de comunicaciones (1, 7) que comprende:
unos medios de almacenamiento de perfiles de usuario que almacenan perfiles de usuario correspondientes a usuarios del sistema de comunicaciones, siendo tales los medios de almacenamiento de perfiles de usuario (3) que devuelven al servidor de autenticación un mensaje de error (D) en respuesta a una solicitud del perfil de usuario correspondiente a uno de los usuarios cuando el usuario no ha estado en comunicación con la red de la cual forma parte el perfil de usuario durante un periodo prolongado; y
un servidor de autenticación (AS) (5) para realizar una autenticación en el sistema de comunicaciones y que está dispuesto para, con el fin de realizar la autenticación:
transmitir desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario una solicitud del perfil de usuario correspondiente a un usuario (C);
recibir, en el AS, una respuesta a la solicitud;
determinar si la respuesta es indicativa de un error; y caracterizado porque
si la respuesta es indicativa de un error, el servidor de autenticación está dispuesto para transmitir, desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario, un mensaje de un tipo tal que se activen los medios de almacenamiento de perfiles de usuario para realizar un procedimiento de actualización de ubicación con respecto al usuario (E).
ES03257087T 2002-11-28 2003-11-11 Metodo, aparato y sistema para el tratamiento de un error de un usuario movil itinerante entre una red gsm y una red wlan. Expired - Lifetime ES2304492T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GB0227777 2002-11-28
GBGB0227777.0A GB0227777D0 (en) 2002-11-28 2002-11-28 Performing authentication

Publications (1)

Publication Number Publication Date
ES2304492T3 true ES2304492T3 (es) 2008-10-16

Family

ID=9948700

Family Applications (1)

Application Number Title Priority Date Filing Date
ES03257087T Expired - Lifetime ES2304492T3 (es) 2002-11-28 2003-11-11 Metodo, aparato y sistema para el tratamiento de un error de un usuario movil itinerante entre una red gsm y una red wlan.

Country Status (7)

Country Link
US (1) US7082297B2 (es)
EP (1) EP1424868B1 (es)
CN (1) CN1250025C (es)
AT (1) ATE393555T1 (es)
DE (1) DE60320511T2 (es)
ES (1) ES2304492T3 (es)
GB (1) GB0227777D0 (es)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0111290D0 (en) * 2001-05-09 2001-06-27 Nokia Corp Registration in a communication system
KR100664110B1 (ko) * 2004-02-04 2007-01-04 엘지전자 주식회사 이동 통신 단말기의 사용제한 설정 방법
WO2006055986A2 (en) * 2004-11-18 2006-05-26 Azaire Networks Inc. Service authorization in a wi-fi network interworked with 3g/gsm network
US7877112B2 (en) * 2004-11-19 2011-01-25 Nextel Communications Inc. SIM card data transfer system and methods
US8594563B2 (en) * 2005-02-15 2013-11-26 Vodafone Group Plc Security for wireless communication
US8341708B1 (en) 2006-08-29 2012-12-25 Crimson Corporation Systems and methods for authenticating credentials for management of a client
US7805128B2 (en) * 2006-11-20 2010-09-28 Avaya Inc. Authentication based on future geo-location
US9014666B2 (en) * 2006-12-15 2015-04-21 Avaya Inc. Authentication based on geo-location history
US8848655B2 (en) * 2007-06-21 2014-09-30 Ubeeairwalk, Inc. System, method, and computer-readable medium for user equipment handoff from a macrocellular network to an IP-femtocell network
CN102017550A (zh) 2007-11-14 2011-04-13 高通股份有限公司 用于确定地理用户简档以基于所述简档确定有目标的内容消息的适宜性的方法和系统

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5799084A (en) * 1996-05-06 1998-08-25 Synacom Technology, Inc. System and method for authenticating cellular telephonic communication
US6070073A (en) * 1997-12-18 2000-05-30 Nortel Networks Corporation Communication system and method for notification and call routing in a mobile satellite network
US6631140B1 (en) 1998-01-29 2003-10-07 Telefonaktiebolaget Lm Ericsson (Publ) Shared communications protocol layer for interfacing between wireless networks
DE19812215A1 (de) * 1998-03-19 1999-09-23 Siemens Ag Verfahren, Mobilstation und Funk-Kommunikationssystem zur Steuerung von sicherheitsbezogenen Funktionen bei der Verbindungsbehandlung
US6463055B1 (en) * 1998-06-01 2002-10-08 Telefonaktiebolaget L M Ericsson (Publ) Integrated radio telecommunications network and method of interworking an ANSI-41 network and the general packet radio service (GPRS)
US6236852B1 (en) * 1998-12-11 2001-05-22 Nortel Networks Limited Authentication failure trigger method and apparatus
US6285882B1 (en) * 1999-01-19 2001-09-04 Iridium Ip Llc Reregistration of network units
US6449479B1 (en) * 1999-04-30 2002-09-10 Telefonaktiebolaget Lm Ericsson (Publ) Apparatus and method for mobile subscriber service modification
US6731932B1 (en) * 1999-08-24 2004-05-04 Telefonaktiebolaget Lm Ericsson (Publ) Methods and systems for handling subscriber data
CN1203715C (zh) * 1999-08-24 2005-05-25 艾利森电话股份有限公司 处理用户数据的方法和系统
US6691164B1 (en) 2000-04-13 2004-02-10 Ericsson Inc. Versatile system for functional distribution of location registers
KR100752927B1 (ko) * 2000-11-23 2007-08-29 주식회사 케이티 차세대 이동통신망에서 국제 로밍 가입자를 위한로밍서비스 제공방법
DE60023155T2 (de) * 2000-11-24 2006-07-06 Telefonaktiebolaget Lm Ericsson (Publ) Betrugsfeststellungsverfahren für Mobiltelekommunikationsnetze
JP3543322B2 (ja) * 2001-02-02 2004-07-14 日本電気株式会社 移動通信システム及び移動通信システムにおけるデータ転送方法
US6882839B2 (en) * 2001-05-08 2005-04-19 Lucent Technologies Inc. One-way roaming from ANS-41 to GSM systems
EP1421509A4 (en) * 2001-08-07 2009-12-02 Tatara Systems Inc METHOD AND DEVICE FOR INTEGRATING CHARGING CALCULATION AND AUTHENTICATION FUNCTIONS IN LOCAL AND LARGE AREA WIRELESS DATA NETWORKS
US20030084321A1 (en) * 2001-10-31 2003-05-01 Tarquini Richard Paul Node and mobile device for a mobile telecommunications network providing intrusion detection
US20050048984A1 (en) * 2003-05-30 2005-03-03 Foster Neal C. System and method for group restricted access of a shared access controller

Also Published As

Publication number Publication date
DE60320511T2 (de) 2009-07-23
CN1527625A (zh) 2004-09-08
DE60320511D1 (de) 2008-06-05
EP1424868A1 (en) 2004-06-02
US20040166831A1 (en) 2004-08-26
US7082297B2 (en) 2006-07-25
GB0227777D0 (en) 2003-01-08
EP1424868B1 (en) 2008-04-23
CN1250025C (zh) 2006-04-05
ATE393555T1 (de) 2008-05-15

Similar Documents

Publication Publication Date Title
ES2271601T3 (es) Metodo y aparato para la deteccion de servicios de paquetes de informacion.
ES2957936T3 (es) Método para establecer un canal de comunicación bidireccional entre un servidor y un elemento de seguridad, unos servidores correspondientes y un elemento de seguridad
ES2311593T3 (es) Metodo de invocacion de privacidad para la determinacion de la ubicacion en una red de telecomunicaciones.
ES2281599T3 (es) Aparato y metodo para la autentificacion de identificacion unica a traves de una red de acceso no confiable.
ES2283620T3 (es) Metodo para la determinacion de un receptor de informacion de posicion.
ES2724099T3 (es) Conectividad patrocinada a redes celulares utilizando credenciales existentes
US7088988B2 (en) Over-the-air subsidy lock resolution
RU2351098C2 (ru) Аутентификация между сетью мдкр и сетью gsm
ES2754216T3 (es) Método de aprovisionamiento de un perfil de abonado para un módulo asegurado
ES2231256T3 (es) Procedimiento de seguridad en servicio de telefonia movil universal.
ES2645270T3 (es) Aparato y método para autenticar a un usuario cuando accede a servicios multimedia
AU2024201161A1 (en) Enhanced registration procedure in a mobile system supporting network slicing
ES2274617T3 (es) Cambio de perfil de servicio de un abonado movil.
JP5242561B2 (ja) ネットワークへのアクセスを制御するための方法およびシステム
EP2134061B1 (en) Method and system for protection against the unauthorised use of a terminal
ES2292676T3 (es) Metodo y sistema para facilitar el acceso a una cuenta de correo electronico a traves de una red de comunicacon movil.
US20040162998A1 (en) Service authentication in a communication system
US20070143613A1 (en) Prioritized network access for wireless access networks
BRPI0616762A2 (pt) sistema e método para distribuir parámetros de acesso a rede sem fio
IL258598A (en) System and method for method control
ES2304492T3 (es) Metodo, aparato y sistema para el tratamiento de un error de un usuario movil itinerante entre una red gsm y una red wlan.
US9788202B2 (en) Method of accessing a WLAN access point
ES2322019T3 (es) Procedimiento de autorizacion de acceso a una red celular de radiocomunicaciones a partir de un telefono movil, sistema de radiocomunicaciones y telefono simplificado asociados.
JP2019036091A (ja) 車両保安システム及び車両保安方法
ES2208598T3 (es) Activacion de contexto de protocolo de datos en paquete solicitada por red.