ES2304492T3 - Metodo, aparato y sistema para el tratamiento de un error de un usuario movil itinerante entre una red gsm y una red wlan. - Google Patents
Metodo, aparato y sistema para el tratamiento de un error de un usuario movil itinerante entre una red gsm y una red wlan. Download PDFInfo
- Publication number
- ES2304492T3 ES2304492T3 ES03257087T ES03257087T ES2304492T3 ES 2304492 T3 ES2304492 T3 ES 2304492T3 ES 03257087 T ES03257087 T ES 03257087T ES 03257087 T ES03257087 T ES 03257087T ES 2304492 T3 ES2304492 T3 ES 2304492T3
- Authority
- ES
- Spain
- Prior art keywords
- user
- authentication
- user profile
- message
- storage media
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/16—Communication-related supplementary services, e.g. call-transfer or call-hold
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/02—Arrangements for optimising operational condition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
- H04W60/04—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Eye Examination Apparatus (AREA)
- Constituent Portions Of Griding Lathes, Driving, Sensing And Control (AREA)
- Purification Treatments By Anaerobic Or Anaerobic And Aerobic Bacteria Or Animals (AREA)
Abstract
Método para realizar una autenticación en un sistema de comunicaciones (1, 7) que comprende un servidor de autenticación (AS) (5), y unos medios de almacenamiento de perfiles de usuario (3) que almacenan perfiles de usuario correspondientes a usuarios del sistema de comunicaciones, comprendiendo el método: transmitir, desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario, una solicitud del perfil de usuario correspondiente a un usuario (C), devolviendo los medios de almacenamiento de perfiles de usuario al servidor de autenticación un mensaje de error (D) en respuesta a dicha solicitud cuando el usuario no ha estado en comunicación con la red de la cual forma parte el perfil de usuario durante un periodo prolongado; recibir, en el AS, una respuesta a la solicitud; determinar si la respuesta es indicativa de un error; y caracterizado porque si la respuesta es indicativa de un error, transmitir, desde el servidor de autenticación hacia los medios de almacenamiento de perfiles de usuario, un mensaje de un tipo tal que se activen los medios de almacenamiento de perfiles de usuario para realizar un procedimiento de actualización de ubicación con respecto al usuario (E).
Description
Método, aparato y sistema para el tratamiento de
un error de un usuario móvil itinerante entre una red GSM y una red
WLAN.
La presente invención se refiere a la
realización de una autenticación en un sistema de
comunicaciones.
En muchos sistemas de comunicaciones, por
ejemplo, los sistemas de telefonía, se realiza una autenticación de
los usuarios antes de proporcionar a los mismos acceso a recursos.
Los recursos podrían ser, por ejemplo, servicios de transmisión y/o
recepción de datos, acceso a una red o a datos, o acceso a opciones
de configuración.
La figura 1 muestra uno de estos sistemas. La
figura 1 es un diagrama esquemático de un sistema de comunicaciones
GSM (Sistema Global para Comunicaciones Móviles). En la figura 1 se
muestran únicamente los componentes relevantes del sistema. El
sistema representado en la figura 1 comprende una red GSM 1, con la
cual se puede comunicar un terminal 2. La red comprende un registro
de posiciones base (HLR) 3, un registro de posiciones de visitantes
(VLR) 4 y un servidor de autenticación (AS) 5. El sistema incluye
también una red de área local inalámbrica (WLAN) 7. El terminal
tiene la capacidad de comunicarse tanto en la red GSM como en la
WLAN.
El HLR y el VLR conjuntamente proporcionan
capacidades que son usadas principalmente para el encaminamiento de
llamadas y desplazamientos itinerantes. El HLR almacena un perfil de
usuario para cada abonado a la red 1, que incluye información
administrativa correspondiente a dicho abonado. También puede
almacenar información que defina la ubicación en curso del terminal
que está siendo usado por ese abonado. La ubicación en curso del
terminal se mantiene típicamente en forma de la dirección de
señalización del VLR asociado a la estación móvil. Si el terminal
está funcionando en la red 1, en ese caso esa dirección será la del
VLR 4. Si el terminal se está desplazando de forma itinerante en
otra red, en ese caso la dirección es la del VLR de esa red.
Lógicamente existe un único HLR en cada red GSM, aunque el mismo se
puede implementar en forma de una base de datos distribuida. El VLR
almacena información administrativa seleccionada del HLR, necesaria
para el control de llamadas y la provisión de servicios, para cada
terminal que esté ubicado en ese momento en el área geográfica de la
cual es responsable el VLR.
El servidor de autenticación se usa para
autenticar un terminal cuando se van a proporcionar servicios al
mismo. Una de las maneras de realizar esta operación es la
siguiente. El terminal 2 incorpora un módulo de identidad de
abonado (SIM) 6 el cual almacena una clave secreta de autenticación
y puede realizar una función de autenticación tomando como
operandos esa clave y datos suministrados al SIM por el terminal. El
resultado de la función se devuelve al terminal. La clave secreta
se almacena además en el perfil de usuario correspondiente al
abonado, que se mantiene en su HLR. Cuando se va a autenticar al
abonado, a su terminal se le suministran datos de desafío por parte
de la entidad que desea que el mismo se autentique. Los datos de
desafío se trasladan al SIM, el cual calcula la función de
autenticación de los datos de desafío y la clave secreta almacenada.
El resultado de esta función se devuelve a la red, por ejemplo, a
la entidad que desea que el abonado se autentique. A continuación,
ese resultado se puede suministrar junto con los datos de desafío al
servidor de autenticación 5, el cual recupera la clave secreta
correspondiente al abonado a partir del HLR del abonado y calcula la
función de autenticación de esa clave y los datos de desafío. Si el
resultado de ese cálculo coincide con el resultado suministrado al
servidor de autenticación, en ese caso el servidor de autenticación
devuelve un mensaje a la entidad que desea que el abonado se
autentique para indicar que el abonado ha sido autenticado. En
cualquier otro caso, no se produce la autenticación del abonado. Con
este fin, se puede usar el protocolo de autenticación extensible
(EAP).
La secuencia convencional de señalización para
que el AS obtenga información sobre el perfil del abonado a partir
de un HLR es la siguiente:
A. El AS transmite hacia el HLR un mensaje
MAP_SEND_AUTHENTICATION_INFO.
B. El HLR responde con un mensaje de acuse de
recibo MAP_SEND_AUTHENTICATION_INFO_ACK.
C. El AS transmite hacia el HLR un mensaje
MAP_RESTORE_DATA.
D. El HLR responde con un mensaje
MAP_INSERT_SUBSCRIBER_DATA que proporciona los datos de abonado al
AS.
Un ejemplo de una situación en la cual se puede
usar la autenticación es el correspondiente a la autenticación de
un terminal para ayudar a determinar si se debería permitir al mismo
acceder a una red de área local inalámbrica (WLAN) (7 en la figura
1). Si se está usando esta forma de autenticación, cuando un abonado
intenta acceder a la WLAN la entidad que controla el acceso a la
WLAN autentica la identidad del abonado por medio del AS de la red
GSM. Esta situación requiere que la AS recupere el perfil de usuario
del abonado a partir de su HLR. Incluso si el mismo tiene capacidad
de funcionamiento en ambas redes, no es necesario que el terminal
se comunique con o se conecte a la red GSM cuando está intentando
acceder a dicha red GSM: se podría encontrar fuera del alcance de
la red GSM, o su transceptor GSM podría estar apagado.
En el escenario anterior, la red GSM se está
usando para colaborar en la autenticación de un terminal que busca
acceso a otra red. Una autenticación entre redes de este tipo es una
situación algo diferente con respecto a la que se preveía cuando se
desarrollaron por primera vez los HLR GSM. Antes de que se previera
ampliamente una autenticación entre redes de este tipo, se podría
haber supuesto que el terminal que se iba a autenticar estaría
conectado a la red GSM. No obstante, esto no es necesariamente así.
Por esta razón, se puede prever que podrían surgir problemas en la
obtención del perfil de abonado a partir de un HLR para realizar una
autenticación en este escenario.
Por ejemplo, el solicitante ha descubierto que
los HLR fabricados por por lo menos un fabricante no devolverán
ningún perfil de abonado en respuesta a un mensaje MAP_RESTORE_DATA
a no ser que tengan almacenado un registro de la dirección de un
VLR para ese abonado, y que dichos HLR borran sus registros del VLR
asociado a un abonado después de un periodo de aproximadamente tres
días. Por esta razón, con estos HLR, si el terminal no se ha
comunicado con la red GSM en los días anteriores al momento en el
cual está buscando acceso a la WLAN, puede que el mismo no tenga
ningún VLR asociado y por esta razón el HLR no puede devolver el
perfil de abonado en respuesta a un mensaje MAP_RESTORE_DATA. En
ese caso, el AS no podría autenticarlo. Algunos otros HLR tienen la
capacidad de responder tal como requeriría el AS, aunque no
presentan dicha configuración como la suya por defecto. Dichos HLR
podrían requerir una reconfiguración para garantizar que sí
proporcionan el perfil de abonado al AS.
Algunos HLR implementan un mecanismo con el cual
se activa una cuenta de abonado después de que tenga lugar la
primera actualización de ubicación GSM. Esta situación provocaría un
problema si la tarjeta SIM se fuera a usar solamente para la
autenticación WLAN - es decir, si el usuario final usase un SIM para
servicios de voz GSM normales y otro para acceso a datos WLAN. En
ese caso, el operador de la red debería especificar instrucciones
diferentes a las normales cuando se proporcionase la tarjeta SIM
WLAN (solamente datos). Si se siguiese el proceso de distribución
normal de tarjetas SIM, en el cual el usuario final actualiza
automáticamente la suscripción cuando inicia la primera
actualización de ubicación, la tarjeta SIM de solamente datos no se
activaría. La activación del SIM de datos requeriría que alguien
realizase una actualización de ubicación usando ese SIM antes de
entregarlo al usuario final, lo cual constituiría un paso adicional
en la distribución de tarjetas SIM y un motivo potencial de
errores.
El documento EP 1.209.935 da a conocer un método
de detección de fraude en el cual unos datos relacionados con
intentos de autenticación no satisfactorios se incluyen en un
mensaje de informe de fallos de autenticación que se envía desde el
entorno de servicio de vuelta hacia el entorno de origen, se
almacena en el registro de posiciones base y a continuación se
reenvía hacia sistemas de detección de fraude para su procesado.
La patente US nº 6.285.882 da a conocer un
método para registrar un abonado en el cual, si se ha realizado un
número predeterminado de verificaciones del abonado, se solicita un
procesado de verificación del abonado.
El documento WO 01/15463 da a conocer un método
para gestionar datos de abonado en el cual un perfil de abonado
almacenado en una entidad de red visitada se puede actualizar
enviando modificaciones de una entidad de red de origen hacia la
entidad de red visitada. De este modo, existe la necesidad de una
mejora en la forma de realizar la autenticación, y particularmente
para obtener datos sobre el perfil del usuario.
Según la presente invención, se proporciona un
método para realizar una autenticación en un sistema de
comunicaciones que comprende un servidor de autenticación (AS), y
unos medios de almacenamiento de perfiles de usuario que almacenan
perfiles de usuario correspondientes a usuarios del sistema de
comunicaciones, comprendiendo el método la transmisión, desde el
servidor de autenticación hacia los medios de almacenamiento de
perfiles de usuario, de una solicitud del perfil de usuario
correspondiente a uno de los usuarios, siendo tales los medios de
almacenamiento de perfiles de usuario que devuelven al servidor de
autenticación un mensaje de error en respuesta a dicha solicitud
cuando el usuario no ha estado en comunicación con la red de la cual
forma parte el perfil de usuario durante un periodo prolongado, la
recepción, en el AS, de una respuesta a la solicitud, la
determinación de si la respuesta es indicativa de un error y si la
respuesta es indicativa de un error, la transmisión, desde el
servidor de autenticación hacia los medios de almacenamiento de
perfiles de usuario, de un mensaje de un tipo tal que se activen
los medios de almacenamiento de perfiles de usuario para realizar
un procedimiento de actualización de ubicación con respecto al
usuario.
De acuerdo con un segundo aspecto de la presente
invención, se proporciona un servidor de autenticación para
realizar una autenticación en un sistema de comunicaciones que
comprende unos medios de almacenamiento de perfiles de usuario que
almacenan perfiles de usuario correspondientes a usuarios del
sistema de comunicaciones, siendo tales los medios de
almacenamiento de perfiles de usuario que devuelven al servidor de
autenticación un mensaje de error en respuesta a dicha solicitud
cuando el usuario no ha estado en comunicación con la red de la
cual forma parte el perfil de usuario durante un periodo prolongado,
estando dispuesto el servidor de autenticación para, con vistas a
realizar la autenticación: transmitir desde el servidor de
autenticación hacia los medios de almacenamiento de perfiles de
usuario una solicitud del perfil de usuario correspondiente a uno
de los usuarios; recibir, en el servidor de autenticación, una
respuesta a la solicitud; determinar si la respuesta es indicativa
de un error; y si la respuesta es indicativa de un error,
transmitir, desde el servidor de autenticación hacia los medios de
almacenamiento de perfiles de usuario, un mensaje de un tipo tal
que se activen los medios de almacenamiento de perfiles de usuario
para realizar un procedimiento de actualización de ubicación con
respecto al usuario.
Según un tercer aspecto de la presente invención
se proporciona un sistema de comunicaciones que comprende: unos
medios de almacenamiento de perfiles de usuario que almacenan
perfiles de usuario correspondientes a usuarios del sistema de
comunicaciones, siendo tales los medios de almacenamiento de
perfiles de usuario que devuelven al servidor de autenticación un
mensaje de error en respuesta a dicha solicitud cuando el usuario
no ha estado en comunicación con la red de la cual forma parte el
perfil de usuario durante un periodo prolongado; y un servidor de
autenticación (AS) para realizar una autenticación en el sistema de
comunicaciones y que está dispuesto para, con vistas a realizar la
autenticación: transmitir desde el servidor de autenticación hacia
los medios de almacenamiento de perfiles de usuario una solicitud
del perfil de usuario correspondiente a uno de los usuarios;
recibir, en el AS, una respuesta a la solicitud; determinar si la
respuesta es indicativa de un error; y si la respuesta es
indicativa de un error, transmitir, desde el servidor de
autenticación hacia los medios de almacenamiento de perfiles de
usuario, un mensaje de un tipo tal que se activen los medios de
almacenamiento de perfiles de usuario para realizar un procedimiento
de actualización de ubicación con respecto al usuario.
Preferentemente, dicho mensaje es de un tipo tal
que se activan los medios de almacenamiento de perfiles de usuario
para realizar la actualización de ubicación y subsiguientemente
transmitir el perfil de usuario correspondiente al usuario hacia el
servidor de autenticación.
Los medios de almacenamiento de perfiles de
usuario son de forma adecuada unos medios de almacenamiento de
perfiles de usuario de una red GSM. Los medios de almacenamiento de
perfiles de usuario son preferentemente un registro de posiciones
base (HLR).
Los medios de almacenamiento de perfiles de
usuario son adecuadamente tales que: en ciertas circunstancias
devuelven al servidor de autenticación el perfil de usuario
correspondiente al usuario en respuesta a la solicitud del perfil
de usuario correspondiente a dicho usuario; y en otras
circunstancias devuelven al servidor de autenticación un mensaje de
error en respuesta a dicha solicitud. Dichas otras circunstancias
incluyen preferentemente que el usuario no haya estado en
comunicación con la red de la cual forman parte los medios de
almacenamiento de perfiles de usuario durante un periodo prolongado
- por ejemplo, uno o dos días o más. Los medios de almacenamiento
de perfiles de usuario pueden ser tales que devuelvan al servidor de
autenticación el perfil de usuario correspondiente al usuario en
respuesta a dicha solicitud únicamente si los mismos almacenan una
ubicación correspondiente al usuario, y dichas otras circunstancias
pueden incluir que los medios de almacenamiento de perfiles de
usuario hayan eliminado de sus medios de almacenamiento de datos
cualquier ubicación del usuario.
Dicha solicitud es preferentemente un mensaje
según el protocolo MAP (parte de aplicación móvil), de la forma más
preferente un mensaje MAP_RESTORE_DATA.
El mensaje de un tipo tal que se activan los
medios de almacenamiento de perfiles de usuario para realizar un
procedimiento de actualización de ubicación con respecto al usuario
es preferentemente un mensaje según el protocolo MAP, de la forma
más preferente un mensaje MAP_UPDATE_LOCATION ó un mensaje
MAP_UPDATE_GPRS_LOCA-
TION.
TION.
El método puede comprender: recibir, en el
servidor de autenticación, el perfil de usuario correspondiente al
usuario a partir de los medios de almacenamiento de perfiles de
usuario; y autenticar credenciales del usuario por medio del perfil
de usuario recibido; y en el que si las credenciales se autentican
correctamente, al usuario se le concede acceso a un recurso, y en
cualquier otro caso al usuario se le deniega el acceso al recurso.
El recurso incluye adecuadamente el acceso a una red que no sea la
correspondiente de la cual forman parte los medios de
almacenamiento de perfiles de usuario. La red que no es la
correspondiente de la cual forman parte los medios de
almacenamiento de perfiles de usuario puede ser, por ejemplo, una
red de área local inalámbrica.
El usuario es preferentemente un abonado, de la
forma más preferente un abonado a la red de la cual forman parte
los medios de almacenamiento de perfiles de usuario. El
usuario/abonado puede acceder a la red por medio de un terminal.
Preferentemente, el terminal tiene capacidad de comunicación
inalámbrica (por ejemplo, radiocomunicaciones) con la red. El
terminal puede ser una estación móvil. El terminal puede ser un
teléfono móvil o un dispositivo de datos móvil. El terminal puede
tener la capacidad de comunicarse con (y preferentemente de poseer)
una unidad de identidad de usuario, por ejemplo, un SIM ó USIM (SIM
UMTS (sistema de telefonía móvil universal)), que incluya datos por
medio de los cuales el terminal pueda tomar parte en el proceso de
autenticación. El terminal tiene preferentemente la capacidad de
comunicarse en redes de por lo menos dos tipos diferentes. Uno de
ellos es preferentemente la red de la cual forman parte los medios
de almacenamiento de perfiles de usuario. El otro es
preferentemente el recurso al cual se busca acceso.
El proceso de autenticación incluye
preferentemente las etapas en la que: el usuario busca la obtención
de acceso a un recurso; el terminal que está siendo usado por el
usuario forma datos de autenticación que se pueden autenticar por
medio del perfil de usuario correspondiente al usuario, y transmite
esos datos de forma directa o indirecta hacia el servidor de
autenticación; el servidor de autenticación autentica los datos de
autenticación (preferentemente tal como se ha descrito
anteriormente); y al usuario, en consecuencia, se le concede o se
le deniega acceso al recurso.
A continuación, se describirá la presente
invención a título de ejemplo haciendo referencia a los dibujos
adjuntos, en los que:
La figura 1 es un diagrama parcial esquemático
de una red de comunicaciones GSM; y
La figura 2 muestra la señalización durante una
autenticación según una de las formas de realización de la presente
invención.
El presente sistema se puede implementar en un
sistema que sea esquemáticamente igual al representado en la figura
1. En la descripción del presente sistema, a los componentes
equivalentes del sistema se les hará referencia en relación con la
figura 1. No obstante, en el presente sistema la funcionalidad del
AS está adaptada a partir de la correspondiente a un AS
convencional.
Tal como se ha indicado anteriormente, pueden
surgir problemas cuando un AS necesita determinar un perfil de
usuario a partir de un HLR pero el HLR se encuentra en un estado tal
que no devuelve ningún perfil correspondiente al abonado en
cuestión. Una de las formas de hacer frente a esta situación es
configurar el AS de manera que inicie una actualización de
ubicación para el abonado en el caso de que la solicitud de un
perfil de abonado sea inaceptable. Esta situación se describe más
detalladamente a continuación.
De forma resumida, la secuencia convencional de
señalización para que el AS obtenga información sobre el perfil de
abonado a partir de un HLR es la siguiente:
A. El AS transmite hacia el HLR un mensaje
MAP_SEND_AUTHENTICATION_INFO.
B. El HLR responde con un mensaje de acuse de
recibo MAP_SEND_AUTHENTICATION_INFO_ACK.
C. El AS transmite hacia el HLR un mensaje
MAP_RESTORE_DATA.
D. El HLR responde con un mensaje
MAP_INSERT_SUBSCRIBER_DATA que proporciona los datos de abonado a la
AS.
Si el HLR se encuentra en un estado tal que no
devuelve ningún perfil correspondiente al abonado en cuestión, en
ese caso devuelve un mensaje de error en la fase D.
El AS de la presente invención está configurado
de manera que si, cuando está intentando recuperar un perfil de
usuario a partir de un HLR, recibe un mensaje de error en respuesta
al mensaje que envía en la fase C, en ese caso inicia una
actualización de ubicación para el abonado en cuestión. A
continuación, se espera que el HLR realice una actualización de
ubicación para el abonado y que devuelva el perfil de usuario del
abonado. De este modo, después de que en la etapa D se devuelva un
error, se realizan las siguientes etapas adicionales:
E. El AS transmite hacia el HLR un mensaje
MAP_UPDATE_LOCATION.
F. El HLR realiza una actualización de ubicación
para el abonado y responde al AS con un mensaje MAP_INSERT_
SUBSCRIBER_DATA proporcionando los datos de abonado al AS.
SUBSCRIBER_DATA proporcionando los datos de abonado al AS.
Se podría esperar que la transmisión, por parte
del AS, de un mensaje MAP_UPDATE_LOCATION hacia el HLR provocase
problemas para la conexión del abonado en la red GSM. No obstante,
el AS transmite el mensaje MAP_UPDATE_LOCATION cuando se recibe un
error en la etapa D. El motivo que subyace tras la señal de error es
que el HLR ha eliminado la opción VLR correspondiente al abonado
debido a que el abonado no ha estado conectado a la red GSM. Por
esta razón, si se realizan las etapas E y F, se espera que el
abonado no esté conectado realmente a la red GSM.
En la figura 2 se ilustran las etapas de
señalización en el caso de que se reciba un error en la etapa D.
Esta figura muestra también la señalización entre el AS 5 y la zona
de acceso WLAN 7 (etapas X e Y). Esta señalización puede hacer uso
del protocolo RADIUS. La etapa X es la solicitud de autenticación
del abonado desde la zona de acceso WLAN. Esto puede incluir los
datos de autenticación y los datos de desafío a partir de los
cuales se obtuvieron los primeros, junto con una identificación del
abonado. La etapa Y es el mensaje que indica a la zona de acceso
WLAN si se va a permitir o denegar el acceso basándose en el
resultado de la autenticación.
El método descrito anteriormente puede permitir
el uso fiable de un perfil de usuario de un abonado GSM para una
autenticación de acceso a servicios cuando el abonado/terminal no
está conectado a la red GSM. Dichos servicios pueden ser el acceso
a una red que no sea la red GSM. Debería entenderse que las redes
GSM incluyen redes basadas en normas derivadas del GSM.
Los mensajes específicos que se usan podrían
variar con respecto a los correspondientes descritos anteriormente.
En la etapa 5, en lugar de usar un mensaje MAP_UPDATE_LOCATION, se
podría usar un mensaje MAP_UPDATE_
GPRS_LOCATION. El mismo también activa al HLR para que realice una actualización de ubicación para el abonado y le responde el HLR con un mensaje MAP_INSERT_SUBSCRIBER_DATA.
GPRS_LOCATION. El mismo también activa al HLR para que realice una actualización de ubicación para el abonado y le responde el HLR con un mensaje MAP_INSERT_SUBSCRIBER_DATA.
Debería indicarse que la señalización antes
expuesta utiliza el protocolo MAP. Aunque se podrían usar otros
protocolos de señalización, el protocolo MAP resulta ventajoso.
El servidor de autenticación puede formar parte
de la red de la cual forma parte el HLR (tal como se ilustra en la
figura 1) o puede formar parte de otra red, o puede ser una
funcionalidad independiente. El servidor de autenticación se puede
proporcionar en forma de una unidad individual, o puede ser una
funcionalidad distribuida entre dos o más unidades y/o ubicaciones
físicas.
Claims (14)
1. Método para realizar una autenticación en un
sistema de comunicaciones (1, 7) que comprende un servidor de
autenticación (AS) (5), y unos medios de almacenamiento de perfiles
de usuario (3) que almacenan perfiles de usuario correspondientes a
usuarios del sistema de comunicaciones, comprendiendo el método:
transmitir, desde el servidor de autenticación
hacia los medios de almacenamiento de perfiles de usuario, una
solicitud del perfil de usuario correspondiente a un usuario (C),
devolviendo los medios de almacenamiento de perfiles de usuario al
servidor de autenticación un mensaje de error (D) en respuesta a
dicha solicitud cuando el usuario no ha estado en comunicación con
la red de la cual forma parte el perfil de usuario durante un
periodo prolongado;
recibir, en el AS, una respuesta a la
solicitud;
determinar si la respuesta es indicativa de un
error; y caracterizado porque
si la respuesta es indicativa de un error,
transmitir, desde el servidor de autenticación hacia los medios de
almacenamiento de perfiles de usuario, un mensaje de un tipo tal que
se activen los medios de almacenamiento de perfiles de usuario para
realizar un procedimiento de actualización de ubicación con respecto
al usuario (E).
2. Método según la reivindicación 1, en el que
el mensaje es de un tipo tal que se activan los medios de
almacenamiento de perfiles de usuario para realizar la
actualización de ubicación y subsiguientemente transmitir el perfil
de usuario correspondiente al usuario hacia el servidor de
autenticación.
3. Método según cualquiera de las
reivindicaciones anteriores, en el que los medios de almacenamiento
de perfiles de usuario son unos medios de almacenamiento de
perfiles de usuario de una red GSM.
4. Método según cualquiera de las
reivindicaciones anteriores, en el que los medios de almacenamiento
de perfiles de usuario son un registro de posiciones base
(HLR).
5. Método según cualquiera de las
reivindicaciones 1 a 4, en el que los medios de almacenamiento de
perfiles de usuario son tales que devuelven al servidor de
autenticación un mensaje de error en respuesta a dicha solicitud
cuando el usuario no ha estado en comunicación con la red de la cual
forma parte el perfil de usuario durante un día o más.
6. Método según cualquiera de las
reivindicaciones anteriores, en el que dicha solicitud es un mensaje
según el protocolo MAP.
7. Método según la reivindicación 6, en el que
dicha solicitud es un mensaje MAP_RESTORE_DATA.
8. Método según cualquiera de las
reivindicaciones anteriores, en el que el mensaje de un tipo tal que
se activan los medios de almacenamiento de perfiles de usuario para
realizar un procedimiento de actualización de ubicación con
respecto al usuario es un mensaje según el protocolo MAP.
9. Método según la reivindicación 8, en el que
dicho mensaje de un tipo tal que se activan los medios de
almacenamiento de perfiles de usuario para realizar un
procedimiento de actualización de ubicación con respecto al usuario
es un mensaje MAP_UPDATE_LOCATION ó un MAP_UPDATE_GPRS_LOCATION.
10. Método según cualquiera de las
reivindicaciones anteriores, que comprende asimismo:
recibir, en el servidor de autenticación, el
perfil de usuario correspondiente al usuario desde los medios de
almacenamiento de perfiles de usuario; y
autenticar las credenciales del usuario por
medio del perfil de usuario recibido; y en el que
si las credenciales se autentican correctamente,
al usuario se le concede acceso a un recurso, y en cualquier otro
caso al usuario se le deniega el acceso al recurso.
11. Método según la reivindicación 10, en el que
el recurso incluye el acceso a una red (7) distinta de la que
forman parte los medios de almacenamiento de perfiles de
usuario.
12. Método según la reivindicación 11, en el que
la red es distinta de la que forman parte los medios de
almacenamiento de perfiles de usuario es una red de área local
inalámbrica.
13. Servidor de autenticación (AS) (5) para
realizar una autenticación en un sistema de comunicaciones (1, 7)
que comprende unos medios de almacenamiento de perfiles de usuario
(3) que almacenan perfiles de usuario correspondientes a usuarios
del sistema de comunicaciones, siendo tales los medios de
almacenamiento de perfiles de usuario que devuelven al servidor de
autenticación un mensaje de error (D) en respuesta a una solicitud
del perfil de usuario correspondiente a uno de los usuarios cuando
el usuario no ha estado en comunicación con la red de la cual forma
parte el perfil de usuario durante un periodo prolongado, estando
dispuesto el servidor de autenticación para, con el fin de realizar
la autenticación:
transmitir desde el servidor de autenticación
hacia los medios de almacenamiento de perfiles de usuario una
solicitud del perfil de usuario correspondiente a un usuario
(C);
recibir, en el AS, una respuesta a la
solicitud;
determinar si la respuesta es indicativa de un
error; y caracterizado porque
si la respuesta es indicativa de un error, el
servidor de autenticación está dispuesto para transmitir, desde el
servidor de autenticación hacia los medios de almacenamiento de
perfiles de usuario, un mensaje de un tipo tal que se activen los
medios de almacenamiento de perfiles de usuario para realizar un
procedimiento de actualización de ubicación con respecto al usuario
(E).
14. Sistema de comunicaciones (1, 7) que
comprende:
unos medios de almacenamiento de perfiles de
usuario que almacenan perfiles de usuario correspondientes a
usuarios del sistema de comunicaciones, siendo tales los medios de
almacenamiento de perfiles de usuario (3) que devuelven al servidor
de autenticación un mensaje de error (D) en respuesta a una
solicitud del perfil de usuario correspondiente a uno de los
usuarios cuando el usuario no ha estado en comunicación con la red
de la cual forma parte el perfil de usuario durante un periodo
prolongado; y
un servidor de autenticación (AS) (5) para
realizar una autenticación en el sistema de comunicaciones y que
está dispuesto para, con el fin de realizar la autenticación:
transmitir desde el servidor de autenticación
hacia los medios de almacenamiento de perfiles de usuario una
solicitud del perfil de usuario correspondiente a un usuario
(C);
recibir, en el AS, una respuesta a la
solicitud;
determinar si la respuesta es indicativa de un
error; y caracterizado porque
si la respuesta es indicativa de un error, el
servidor de autenticación está dispuesto para transmitir, desde el
servidor de autenticación hacia los medios de almacenamiento de
perfiles de usuario, un mensaje de un tipo tal que se activen los
medios de almacenamiento de perfiles de usuario para realizar un
procedimiento de actualización de ubicación con respecto al usuario
(E).
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB0227777 | 2002-11-28 | ||
GBGB0227777.0A GB0227777D0 (en) | 2002-11-28 | 2002-11-28 | Performing authentication |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2304492T3 true ES2304492T3 (es) | 2008-10-16 |
Family
ID=9948700
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES03257087T Expired - Lifetime ES2304492T3 (es) | 2002-11-28 | 2003-11-11 | Metodo, aparato y sistema para el tratamiento de un error de un usuario movil itinerante entre una red gsm y una red wlan. |
Country Status (7)
Country | Link |
---|---|
US (1) | US7082297B2 (es) |
EP (1) | EP1424868B1 (es) |
CN (1) | CN1250025C (es) |
AT (1) | ATE393555T1 (es) |
DE (1) | DE60320511T2 (es) |
ES (1) | ES2304492T3 (es) |
GB (1) | GB0227777D0 (es) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB0111290D0 (en) * | 2001-05-09 | 2001-06-27 | Nokia Corp | Registration in a communication system |
KR100664110B1 (ko) * | 2004-02-04 | 2007-01-04 | 엘지전자 주식회사 | 이동 통신 단말기의 사용제한 설정 방법 |
WO2006055986A2 (en) * | 2004-11-18 | 2006-05-26 | Azaire Networks Inc. | Service authorization in a wi-fi network interworked with 3g/gsm network |
US7877112B2 (en) * | 2004-11-19 | 2011-01-25 | Nextel Communications Inc. | SIM card data transfer system and methods |
US8594563B2 (en) * | 2005-02-15 | 2013-11-26 | Vodafone Group Plc | Security for wireless communication |
US8341708B1 (en) | 2006-08-29 | 2012-12-25 | Crimson Corporation | Systems and methods for authenticating credentials for management of a client |
US7805128B2 (en) * | 2006-11-20 | 2010-09-28 | Avaya Inc. | Authentication based on future geo-location |
US9014666B2 (en) * | 2006-12-15 | 2015-04-21 | Avaya Inc. | Authentication based on geo-location history |
US8848655B2 (en) * | 2007-06-21 | 2014-09-30 | Ubeeairwalk, Inc. | System, method, and computer-readable medium for user equipment handoff from a macrocellular network to an IP-femtocell network |
CN102017550A (zh) | 2007-11-14 | 2011-04-13 | 高通股份有限公司 | 用于确定地理用户简档以基于所述简档确定有目标的内容消息的适宜性的方法和系统 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5799084A (en) * | 1996-05-06 | 1998-08-25 | Synacom Technology, Inc. | System and method for authenticating cellular telephonic communication |
US6070073A (en) * | 1997-12-18 | 2000-05-30 | Nortel Networks Corporation | Communication system and method for notification and call routing in a mobile satellite network |
US6631140B1 (en) | 1998-01-29 | 2003-10-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Shared communications protocol layer for interfacing between wireless networks |
DE19812215A1 (de) * | 1998-03-19 | 1999-09-23 | Siemens Ag | Verfahren, Mobilstation und Funk-Kommunikationssystem zur Steuerung von sicherheitsbezogenen Funktionen bei der Verbindungsbehandlung |
US6463055B1 (en) * | 1998-06-01 | 2002-10-08 | Telefonaktiebolaget L M Ericsson (Publ) | Integrated radio telecommunications network and method of interworking an ANSI-41 network and the general packet radio service (GPRS) |
US6236852B1 (en) * | 1998-12-11 | 2001-05-22 | Nortel Networks Limited | Authentication failure trigger method and apparatus |
US6285882B1 (en) * | 1999-01-19 | 2001-09-04 | Iridium Ip Llc | Reregistration of network units |
US6449479B1 (en) * | 1999-04-30 | 2002-09-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Apparatus and method for mobile subscriber service modification |
US6731932B1 (en) * | 1999-08-24 | 2004-05-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and systems for handling subscriber data |
CN1203715C (zh) * | 1999-08-24 | 2005-05-25 | 艾利森电话股份有限公司 | 处理用户数据的方法和系统 |
US6691164B1 (en) | 2000-04-13 | 2004-02-10 | Ericsson Inc. | Versatile system for functional distribution of location registers |
KR100752927B1 (ko) * | 2000-11-23 | 2007-08-29 | 주식회사 케이티 | 차세대 이동통신망에서 국제 로밍 가입자를 위한로밍서비스 제공방법 |
DE60023155T2 (de) * | 2000-11-24 | 2006-07-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Betrugsfeststellungsverfahren für Mobiltelekommunikationsnetze |
JP3543322B2 (ja) * | 2001-02-02 | 2004-07-14 | 日本電気株式会社 | 移動通信システム及び移動通信システムにおけるデータ転送方法 |
US6882839B2 (en) * | 2001-05-08 | 2005-04-19 | Lucent Technologies Inc. | One-way roaming from ANS-41 to GSM systems |
EP1421509A4 (en) * | 2001-08-07 | 2009-12-02 | Tatara Systems Inc | METHOD AND DEVICE FOR INTEGRATING CHARGING CALCULATION AND AUTHENTICATION FUNCTIONS IN LOCAL AND LARGE AREA WIRELESS DATA NETWORKS |
US20030084321A1 (en) * | 2001-10-31 | 2003-05-01 | Tarquini Richard Paul | Node and mobile device for a mobile telecommunications network providing intrusion detection |
US20050048984A1 (en) * | 2003-05-30 | 2005-03-03 | Foster Neal C. | System and method for group restricted access of a shared access controller |
-
2002
- 2002-11-28 GB GBGB0227777.0A patent/GB0227777D0/en not_active Ceased
-
2003
- 2003-11-11 AT AT03257087T patent/ATE393555T1/de not_active IP Right Cessation
- 2003-11-11 DE DE60320511T patent/DE60320511T2/de not_active Expired - Lifetime
- 2003-11-11 EP EP03257087A patent/EP1424868B1/en not_active Expired - Lifetime
- 2003-11-11 ES ES03257087T patent/ES2304492T3/es not_active Expired - Lifetime
- 2003-11-25 US US10/720,753 patent/US7082297B2/en active Active
- 2003-11-28 CN CNB2003101186974A patent/CN1250025C/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
DE60320511T2 (de) | 2009-07-23 |
CN1527625A (zh) | 2004-09-08 |
DE60320511D1 (de) | 2008-06-05 |
EP1424868A1 (en) | 2004-06-02 |
US20040166831A1 (en) | 2004-08-26 |
US7082297B2 (en) | 2006-07-25 |
GB0227777D0 (en) | 2003-01-08 |
EP1424868B1 (en) | 2008-04-23 |
CN1250025C (zh) | 2006-04-05 |
ATE393555T1 (de) | 2008-05-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2271601T3 (es) | Metodo y aparato para la deteccion de servicios de paquetes de informacion. | |
ES2957936T3 (es) | Método para establecer un canal de comunicación bidireccional entre un servidor y un elemento de seguridad, unos servidores correspondientes y un elemento de seguridad | |
ES2311593T3 (es) | Metodo de invocacion de privacidad para la determinacion de la ubicacion en una red de telecomunicaciones. | |
ES2281599T3 (es) | Aparato y metodo para la autentificacion de identificacion unica a traves de una red de acceso no confiable. | |
ES2283620T3 (es) | Metodo para la determinacion de un receptor de informacion de posicion. | |
ES2724099T3 (es) | Conectividad patrocinada a redes celulares utilizando credenciales existentes | |
US7088988B2 (en) | Over-the-air subsidy lock resolution | |
RU2351098C2 (ru) | Аутентификация между сетью мдкр и сетью gsm | |
ES2754216T3 (es) | Método de aprovisionamiento de un perfil de abonado para un módulo asegurado | |
ES2231256T3 (es) | Procedimiento de seguridad en servicio de telefonia movil universal. | |
ES2645270T3 (es) | Aparato y método para autenticar a un usuario cuando accede a servicios multimedia | |
AU2024201161A1 (en) | Enhanced registration procedure in a mobile system supporting network slicing | |
ES2274617T3 (es) | Cambio de perfil de servicio de un abonado movil. | |
JP5242561B2 (ja) | ネットワークへのアクセスを制御するための方法およびシステム | |
EP2134061B1 (en) | Method and system for protection against the unauthorised use of a terminal | |
ES2292676T3 (es) | Metodo y sistema para facilitar el acceso a una cuenta de correo electronico a traves de una red de comunicacon movil. | |
US20040162998A1 (en) | Service authentication in a communication system | |
US20070143613A1 (en) | Prioritized network access for wireless access networks | |
BRPI0616762A2 (pt) | sistema e método para distribuir parámetros de acesso a rede sem fio | |
IL258598A (en) | System and method for method control | |
ES2304492T3 (es) | Metodo, aparato y sistema para el tratamiento de un error de un usuario movil itinerante entre una red gsm y una red wlan. | |
US9788202B2 (en) | Method of accessing a WLAN access point | |
ES2322019T3 (es) | Procedimiento de autorizacion de acceso a una red celular de radiocomunicaciones a partir de un telefono movil, sistema de radiocomunicaciones y telefono simplificado asociados. | |
JP2019036091A (ja) | 車両保安システム及び車両保安方法 | |
ES2208598T3 (es) | Activacion de contexto de protocolo de datos en paquete solicitada por red. |