ES2311821T3 - Sistema de autenticacion. - Google Patents
Sistema de autenticacion. Download PDFInfo
- Publication number
- ES2311821T3 ES2311821T3 ES04732322T ES04732322T ES2311821T3 ES 2311821 T3 ES2311821 T3 ES 2311821T3 ES 04732322 T ES04732322 T ES 04732322T ES 04732322 T ES04732322 T ES 04732322T ES 2311821 T3 ES2311821 T3 ES 2311821T3
- Authority
- ES
- Spain
- Prior art keywords
- user
- service
- authentication
- communication
- rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000004891 communication Methods 0.000 claims abstract description 58
- 238000000034 method Methods 0.000 claims abstract description 51
- 230000006870 function Effects 0.000 claims description 72
- 230000011664 signaling Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000010606 normalization Methods 0.000 description 4
- 238000001914 filtration Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/41—Billing record details, i.e. parameters, identifiers, structure of call data record [CDR]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/56—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for VoIP communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/80—Rating or billing plans; Tariff determination aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/80—Rating or billing plans; Tariff determination aspects
- H04M15/8016—Rating or billing plans; Tariff determination aspects based on quality of service [QoS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/82—Criteria or parameters used for performing billing operations
- H04M15/8214—Data or packet based
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/88—Provision for limiting connection, or expenditure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M17/00—Prepayment of wireline communication systems, wireless communication systems or telephone systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/01—Details of billing arrangements
- H04M2215/0116—Provision for limiting expenditure, e.g. limit on call expenses or account
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/01—Details of billing arrangements
- H04M2215/0152—General billing plans, rate plans, e.g. charge rates, numbering plans, rate centers, customer accounts
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/01—Details of billing arrangements
- H04M2215/0164—Billing record, e.g. Call Data Record [CDR], Toll Ticket[TT], Automatic Message Accounting [AMA], Call Line Identifier [CLI], details, i.e. parameters, identifiers, structure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/20—Technology dependant metering
- H04M2215/2013—Fixed data network, e.g. PDN, ATM, B-ISDN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/20—Technology dependant metering
- H04M2215/202—VoIP; Packet switched telephony
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/20—Technology dependant metering
- H04M2215/204—UMTS; GPRS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/22—Bandwidth or usage-sensitve billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/74—Rating aspects, e.g. rating parameters or tariff determination apects
- H04M2215/7414—QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2215/00—Metering arrangements; Time controlling arrangements; Time indicating arrangements
- H04M2215/78—Metric aspects
- H04M2215/782—Data or packet based
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Mobile Radio Communication Systems (AREA)
- Meter Arrangements (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Lock And Its Accessories (AREA)
Abstract
Una infraestructura de red de comunicación inalámbrica basada en paquetes, capaz de manejar equipo UE (101, 402) de un usuario, comprendiendo la red: - una interfaz de comunicación para comunicar con dicho equipo de usuario (UE); - un nodo (205, 405) de soporte de comunicación que recibe comunicación desde dicho UE; - un servicio (104) de autenticación en comunicación con dicho nodo de soporte de comunicación y dispuesto para comunicar con un equipo de usuario y al menos un servidor AS de aplicaciones, estando dispuesto dicho servicio de autenticación con una unidad para autenticar a dicho usuario (101, 402), caracterizada porque dicho servicio (104) de autenticación está dispuesto además para recibir reglas de servicio específicas de usuario desde dicho servidor AS de aplicaciones (105, 106, 107, 407) para dicho usuario; comprendiendo además la infraestructura de red una función de reglas de servicio para recibir dichas reglas de servicio específicas de usuario desde dicho servicio de autenticación y transmitir dichas reglas de servicio específicas de usuario a dicho nodo (205, 405) de soporte de comunicación.
Description
Sistema de autenticación.
La presente invención se refiere a servicios y
autenticación en una red de telecomunicación basada en paquetes y,
en particular, a la integración de servicios de aplicaciones y
funciones de autenticación de usuarios en una red 3GPP.
En la normalización de 3GPP (Third Generation
Partnership Project) hay trabajo en curso para normalizar rutinas
de autenticación de usuarios, especialmente para la denominada
Arquitectura de Autenticación Genérica (GAA: Generic Authentication
Architecture) que implica una autenticación mutua entre un cliente y
un servidor de aplicaciones. En la red de comunicación, varias
aplicaciones diferentes estarán disponibles para el cliente y estas
aplicaciones serán suministradas por suministradores de tercero
(tercera parte), o sea diferentes que el proveedor de servicios
(SP: Service Provider). Sin embargo, a un cliente que accede a
varias aplicaciones diferentes le gustaría efectuar una sola
autenticación única, un denominado servicio de firma única (SS0:
Single Sign On), que proporciona la posibilidad de que el usuario
solo se autentique una vez durante una sesión más bien que
autenticarse para cada servidor nuevo de aplicaciones que quiere
usar. Esto hará el procedimiento de autenticación mucho más fácil
para el cliente. Asimismo, esta clase de servicio de autenticación
puede ser ofrecido a proveedores de servicios de aplicaciones de
tercero (tercera parte) como un servicio procedente del proveedor
de servicios (SP) que maneja la red. La Arquitectura de
Autenticación Genérica (GAA) está pretendiendo resolver este
problema y hacer un servicio tal disponible en la red 3GPP. La
autenticación genérica proporciona una autenticación de los
usuarios en un nivel de aplicación basado en el mecanismo de
seguridad comprobado en la Red Móvil Terrestre Pública (PLMN:
Public Land Mobile Network).
La Arquitectura de Autenticación Genérica (GAA)
es especificada a través del grupo 3GPP y borradores de la
especificación pueden ser obtenidos a través de su sitio Web, por
ejemplo los documentos TS 32.220 y TR 33.919 pueden ser mencionados
como buenos puntos de partida con respecto a la Arquitectura de
Autenticación Genérica (GAA). El sistema de GAA puede ser explicado
como sigue: un número de aplicaciones comparten una necesidad de
autenticación mutua entre un cliente/usuario (denominado equipo de
usuario (UE) en la norma) y un servidor de aplicaciones (AS) a fin
de tener en cuenta la comunicación adicional. Esto es necesario
cuando el usuario quiere acceder a servidores que exigen
autenticación, por ejemplo servidores de contenidos que cobran por
sus servicios, sitios Web que exigen certificados (por ejemplo,
bancos) y servidores de aplicaciones similares. Como muchas
aplicaciones comparten la misma necesidad, se ha considerado
especificar una Arquitectura de Autenticación Genérica (GAA),
proporcionando la arquitectura para permitir que los servidores de
aplicaciones accedan a los sistemas de autenticación de
infraestructura. Así, si el servidor de aplicaciones confía en el
proveedor de servicios, está arquitectura puede simplificador los
esquemas de autenticación tanto para el usuario como para los
servidores de aplicaciones. El usuario solo necesita autenticar una
vez durante una sesión más bien que autenticar hacia cada servidor
de aplicaciones accedido.
En una sesión basada en GAA, el usuario
autentica con la infraestructura de red proporcionando una
identificación a una función de arranque (BSF: Bootstrap Function),
por ejemplo esta identificación puede consistir en el número IMSI
(International Mobile Subscriber Identifier = Identificador
Internacional de Abonado Móvil) de equipo de usuario (UE), que es
un número único acoplado que identifica a un usuario. El IMSI es
retransmitido al sistema de abonados de origen (HSS: Home
Subscriber System), también denominado sistema de registro de
posiciones de origen, y el HSS proporciona un vector de
autenticación (AV: authentication vector) a la función de arranque
(BSF). La BSF autentica el equipo de usuario (UE) basada en el USIM
(Universal Subscriber Identity Module = Módulo Universal de
Identidad de Abonado) y los métodos de UMTS-AKA
(Universal Mobile Telecommunication System - Authentication and Key
Agreement), y envía un identificador de transacción (TID:
Transaction Identifier) al equipo de usuario (UE).
También al mismo tiempo, hay trabajo en curso
para normalizar el denominado cargo basado en flujo (FBC: Flow
Based Charging). El cargo basado en flujo (FBC) tiene el propósito
de hacer posible cargar a los usuarios por el uso de servicios con
una graduación más fina que la que es posible actualmente. Por
ejemplo, es interesante identificar el tipo de sesión IP (Internet
Protocol) que un usuario está ejecutando, el tipo de aplicaciones
implicadas, etc. Por ejemplo, a uno le gustaría ser capaz de
diferenciar los costes de cargo para tipos diferentes de servicios,
por ejemplo el vídeo continuo puede ser cargado más que intercambiar
mensajes de texto claro como mensajes de correo electrónico
(e-mail) sencillos. Hay muchos servicios diferentes
que pueden ser usados que incluyen tanto servicios de usuario a
usuario como de usuario a red. Los flujos de datos de servicios
procedentes de estos servicios pueden ser identificados y cargados
de muchos modos diferentes. El método de cargo basado en flujo
(FBC) es usado para establecer filtros de cargo que son usados por
la función de reglas de cargo (CRF: Charging Rules Fuction) para
aplicaciones diferentes.
Los filtros provistos en el método de cargo
basado en flujo (FBC) pueden ser bastante complejos y pueden
implicar dirección de origen y destino, número de puerto de origen
y destino y protocolo de transacción, permitiendo una graduación
fina de cargo. Los modelos de cargo que precisan datos aún más
complejos pueden usar filtros especiales que observan más en
paquetes de datos y pueden ser definidos por la función de plano de
tráfico (TPF: Traffic Plane Function) e invocados por la función de
reglas de cargo (CRF).
Sin embargo, los dos trabajos de normalización
antes mencionados no están pretendiendo actualmente una integración
de los servicios que proveen. Esto será crucial en el futuro para
ser capaz de proporcionar reglas de cargo diferenciadas dependiendo
del usuario y la aplicación conectada y al mismo tiempo asegurar la
autenticidad del usuario hacia el servidor específico de
aplicaciones implicado en la transacción. Proporcionando solo un
número IP falso, no debería ser posible obtener acceso a servicios
destinados a otros usuarios ni obtener servicios a una cuota
errónea de cargo.
El trabajo en 3GPP sobre la arquitectura de
autenticación genérica (GAA) y el cargo basado en flujo (FBC) ha
sido realizado hasta ahora en paralelo y no se ha tomado interés en
reutilizar la funcionalidad entre las dos funciones. En alguna
etapa en la normalización, es necesario que sea incorporada la
interoperatividad entre la GAA y el FBC. Una arquitectura integrada
será necesaria.
Específicamente, el problema de soportar cargo
específico de de usuario para usuarios autenticados de GAA no es
resuelto en el FBC. El problema puede ser ejemplificado como
sigue:
- 1.
- Un proveedor de servicios tiene un servidor de aplicaciones que proporciona un servicio, por ejemplo descargar un archivo de música. Este servicio es accesible para usuarios móviles por vía de la red de acceso de GPRS (General Packet Radio Service) en la interfaz Gi. La arquitectura de autenticación genérica (GAA) asegura que el usuario es autenticado.
- 2.
- Cuando el usuario descarga un audioclip musical, es cargado por volumen porque el nodo de servicio/so- porte GPRS de pasarela (GGNS: Gateway GPRS Serving/Support Noe) realiza la cuenta de bytes en los paquetes descargados, y comunica los registros de datos de cargo (CDRs; Charging Data Records) al sistema de facturación. El cargo basado en flujo (FBC) puede ser usado para permitir que una tarificación específica sea aplicada al archivo musical descargado. El FBC proporciona filtración en el GGSN que cuenta el servicio especificado individualmente.
- 3.
- Ahora, el proveedor de servicios podría proporcionar el servicio en algún punto por un precio especial para algunos usuarios. En ese caso, es necesario proporcionar un filtro específico para usuarios individuales. Como puede hacerse eso no es especificado ahora.
En otra implementación de normalización, hay
trabajo en curso con respecto a funciones de decisión de directrices
tales como la función de decisión de directrices (PDF: Policy
Decision Function) para control de directrices de recursos de
portadores IP, tal como la calidad de servicio para un usuario
específico. La función de decisión de directrices (PDF) se refiere
a un nivel de calidad de servicio para un usuario específico e
instantáneo en el tiempo, permitiendo por ejemplo una mejor calidad
de servicio para un cierto tipo de aplicación tal como aplicaciones
de video continuo, o para un cliente preparado a pagar más por una
calidad mayor de conectividad. Sería eficiente añadir la función de
decisión de directrices (PDF) a la función de arquitectura de
autenticación genérica (GAA) para implementar un sistema de red más
eficiente.
La solicitud de patente de EE.UU. US 2003/0039
237 expone una red telefónica GMS/GPRS (Global System for Mobile
Communications/General Packet Radio Service) en la que un servidor
de autenticación configura un nodo de soporte de comunicación.
\vskip1.000000\baselineskip
El objeto de la realización preferida de la
presente invención es eliminar los inconvenientes antes mencionados
de las normalizaciones actuales y proporcionar un uso más eficiente
de las funciones de red para proporcionar al usuario final una
mejor calidad de operación en red. Esto se efectúa permitiendo que
una función de arquitectura de autenticación genérica (GAA)
gobierne el comportamiento de varias funciones sobre la conectividad
de red para un usuario específico.
Estas funciones implican tanto procedimientos de
cargo diferenciados como control diferenciado de directrices de
recursos de portadores IP, tal como la calidad de servicio del
enlace de comunicación.
El procedimiento de cargo diferenciado permite
que los proveedores de servicios carguen a usuarios diferentes
cuotas diferentes y cambien la fijación de precios dependiendo del
servicio necesario y del tiempo de uso o de la cantidad de uso.
La realización preferida de la presente
invención asegura que hay una vinculación entre el usuario
autenticado y las reglas de cargo y/o servicios de control de
directrices, tal como reglas de calidad de servicio para ese
usuario específico.
En una realización preferida de la presente
invención, se proporciona un método para vincular funciones de
servicios en una red de telecomunicación con una función de
autenticación estándar. Preferiblemente, el método comprende los
pasos siguientes:
- 1.
- enviar un número IP de usuario y un número de identificador internacional de abonado móvil (IMSI) de usuario a un proxy de autenticación;
- 2.
- autenticar al usuario según un método de arquitectura de autenticación genérica (GAA) normalizada;
- 3.
- enviar datos de autenticación a un servicio solicitado por dicho usuario;
- 4.
- enviar reglas de servicio para el usuario específico a un nodo de soporte GPRS de pasarela (GGSN: Gateway GPRS Support Node).
El método es ejemplificado además por que las
reglas de servicio pueden ser una función de reglas de cargo (CRF)
y/o una función de decisión de directrices (PDF). Un usuario puede
ser definido como un usuario individual o parte de una sesión de
servicio de multidifusión multimedia (MBMS: Multimedia Broadcast
Multicast Service) que usa una dirección de multidifusión IP.
En otra realización preferida, se proporciona
una interfaz de comunicación en una red 3GPP, en la que datos de
autenticación son transmitidos entre un servicio de autenticación,
tal como un proxy de autenticación (AP: authentication proxy), y
una función de reglas de servicio y reglas de servicio específicas
de usuario son transmitidas entre el AP y un servidor de
aplicaciones (AS), asegurando la autenticidad del usuario hacia el
servicio de aplicaciones. Las reglas de servicio pueden ser una
función de reglas de cargo (CRF) y/o una función de decisión de
directrices (PDF).
En otra realización preferida más, se
proporciona un método de señalización en una red 3GPP, que comprende
los pasos de:
- -
- autenticar a un usuario (UE) según un método de arquitectura de autenticación genérica (GAA);
- -
- señalizar a un servidor de aplicaciones (AS) que acceda al servicio provisto por el servidor de aplicaciones (AS);
- -
- identificar al usuario (UE) en el servidor de aplicaciones (AS);
- -
- transmitir reglas de servicio específicas de usuario a un servicio de autenticación tal como un proxy de autenticación (AP);
- -
- transmitir desde el AP reglas de servicio específicas de usuario a función o funciones apropiadas de reglas de servicio dentro de la red 3GPP; y
- -
- transmitir reglas de servicio específicas de usuario desde la función de reglas de servicio a un nodo de soporte de comunicación tal como un nodo de servicio GPRS de pasarela (GGSN: Gateway GPRS Serving Node).
En el método de señalización, la función de
reglas de servicio puede comprender una función de reglas de cargo
(CRF) y/o una función de decisión de directrices (PDF). Un usuario
puede ser un usuario individual o parte de una sesión de servicio
de multidifusión multimedia (MBMS) que usa una dirección de
multidifusión IP.
Otra realización preferida de la presente
invención proporciona una red de comunicación inalámbrica basada en
paquetes, tal como una red de comunicación 3GPP, capaz de manejar un
equipo (UE) de un usuario, comprendiendo la red:
- -
- un nodo de soporte de comunicación tal como un nodo de servicio GPRS de pasarela (GGSN);
- -
- un servicio de autenticación tal como un proxy de autenticación (AP);
- -
- al menos un servidor de aplicaciones (AS);
en la que el usuario es autenticado usando un
método de arquitectura de autenticación genérica (GAA), el usuario
es identificado en el servidor de aplicaciones (AS) y el AS provee
al proxy de autenticación (AP) de reglas de servicio específicas de
usuario, el AP transmite las reglas de servicio específicas de
usuario a una función apropiada de reglas de servicio dentro de la
red 3GPP y la función apropiada de reglas de servicio transmite
reglas de servicio específicas de usuario al GGSN.
En la red de comunicación, la función de reglas
de servicio puede comprende una función de reglas de cargo (CRF)
y/o una función de decisión de directrices (PDF). Asimismo, un
usuario puede ser un usuario individual o parte de una sesión de
servicio de multidifusión multimedia (MBMS) que usa una dirección de
multidifusión IP.
En otra realización preferida más de la presente
invención, se proporciona un método de intercambio de protocolo de
comunicación en una red de comunicación inalámbrica basada en
paquetes, tal como una red 3GPP, en la que el protocolo comprende
los pasos de:
- -
- enviar un número IP de usuario y un número de identificación de usuario a un servicio de autenticación tal como un proxy de autenticación (AP);
- -
- autenticar al usuario según un método de arquitectura de autenticación genérica (GAA);
- -
- enviar datos de autenticación a un servicio solicitado por el usuario;
- -
- enviar reglas de servicio para el usuario específico a un nodo de soporte de comunicación tal como un nodo de soporte GPRS de pasarela (GGSN).
El número de identificación de usuario puede ser
preferiblemente un número de identificador internacional de abonado
móvil (IMSI) provisto en una red 3GPP estándar, y la función de
reglas de servicio puede comprender una función de reglas de cargo
(CFR) y/o una función de decisión de directrices (PDF).
En otra realización preferida de la presente
invención, se proporciona un método de facturación en una red de
comunicación inalámbrica basada en paquetes, comprendiendo el método
de facturación:
- -
- autenticar a un usuario según un método de arquitectura de autenticación genérica (GAA);
- -
- señalizar a un servidor de aplicaciones (AS) que acceda al servicio provisto por el servidor de aplicaciones (AS);
- -
- identificar al usuario (UE) en el servidor de aplicaciones (AS);
- -
- transmitir reglas de cargo específicas de usuario a un servicio de autenticación;
- -
- transmitir desde el servicio de autenticación reglas de cargo específicas de usuario a la función o funciones de reglas de cargo dentro de la red;
- -
- transmitir reglas de cargo específicas de usuario desde la función de reglas de cargo al nodo apropiado de soporte de comunicación; y
- -
- facturar al usuario por el uso según las reglas de cargo.
La red en el método de facturación antes
mencionado puede ser una red 3GPP.
El nodo de soporte de comunicación puede ser un
nodo de servicio GPRS de pasarela (GGSN). El servicio de
autenticación puede ser un proxy de autenticación (AP) y la función
de reglas de cargo puede ser una función de reglas de cargo (CRF)
según la normalización de 3GPP.
En otra realización preferida más de la presente
invención, se proporciona un conjunto de instrucciones para
vincular funciones de servicio en la red de comunicación antes
mencionada con una función de autenticación, el conjunto de
instrucciones comprende:
- -
- un procedimiento para enviar un número IP de usuario y un número de identificación de usuario a un servicio de autenticación;
- -
- un procedimiento para autenticar al usuario según un método de arquitectura de autenticación genérica (GAA);
- -
- un procedimiento para enviar datos de autenticación a un servicio solicitado por el usuario; y
- -
- un procedimiento para enviar reglas de servicio para el usuario específico a un nodo de soporte de comunicación.
Para aumentar más la aplicabilidad de la
realización de conjunto de instrucciones, el número de
identificación de usuario puede ser un número de identificador
internacional de abonado móvil (IMSI), el servicio de autenticación
puede ser un proxy de autenticación (AP) y el nodo de soporte de
comunicación puede ser un nodo de soporte GPRS de pasarela
(GGSN).
En otra realización preferida de la presente
invención, se proporciona un servidor de aplicaciones para uso en
una red de comunicación inalámbrica basada en paquetes,
comprendiendo el servidor de aplicaciones:
- -
- una unidad de memoria, siendo dicha memoria provista para almacenar conjuntos de instrucciones antes mencionados;
- -
- una unidad de procesamiento que está provista para manejar el conjunto de instrucciones; y
- -
- una unidad de comunicación que está provista para manejar la comunicación con nodos y unidades en dicha red.
\vskip1.000000\baselineskip
En lo siguiente, la invención será descrita de
un modo no limitativo y con más detalle con referencia a
realizaciones ejemplares ilustradas en los dibujos adjuntos, en los
que:
La Figura 1 muestra un diagrama de bloques
esquemático de un esquema de autenticación según la arquitectura de
autenticación genérica (GAA).
la Figura 2 muestra un diagrama de bloques
esquemático de cargo basado en flujo según la normalización
actual.
la Figura 3 muestra un diagrama de bloques
esquemático del método integrado de arquitectura de autenticación
genérica (GAA) y cargo basado en flujo (FBC) según la presente
invención.
La Figura 4 ilustra una vista esquemática de una
organización de red según normas 3GPP.
\vskip1.000000\baselineskip
Los diferentes componentes funcionales
implicados han sido especificados en la literatura, por ejemplo en
el foro de normalización oficial de 3GPP. Sin embargo, una
descripción breve de los componentes más apropiados será dada aquí
para proporcionar una comprensión mejor de la interconexión entre
ellos en la presente invención.
Referente a la Figura 1, en la que el método de
arquitectura de autenticación genérica (GAA) estándar es mostrado
esquemáticamente, un usuario 101 (UE) tiene interés es establecer
contacto con un servidor de aplicaciones (AS) 105, 106 y 107 para
obtener un servicio desde el proveedor de red o un proveedor de
servicios de tercero (105, 106, 107). El procedimiento en la
normalización actual (como de la versión 1.2.1 de 3GPP TS 33.220)
tiene la arquitectura siguiente (donde la numeración de paso también
representa el número de procedimiento en orden):
- 1.
- El equipo de usuario (UE) 101 envía credenciales de identificación (ID) (por ejemplo, el número de identidad internacional de estación móvil: IMSI) a una función de arranque (BSF) 102.
- 2.
- La BSF 102 envía la identificación a un sistema de abonados de origen (HSS) 103
- 3.
- El HSS 103 proporciona un vector de autenticación (AV) a la BSF 102.
- 4.
- La BSF 102 autentica el equipo de usuario (UE) 101 basado en el módulo universal de identidad de abonado (USIM: Universal Subscriber Identity Module) y los métodos UMTS-AKA (Universal Mobile Telecommunication System-Authentication and Key Agreement) y envía un identificador de transacción (TID) al UE 101.
- 5.
- La BSF 102 envía el TID junto con el IMSI, la contraseña y una lista de identificaciones de usuarios públicos (por ejemplo, George@vfe.com o similar) a un proxy de autenticación (AP) 104 y además a un servidor de aplicaciones (AS) 105, 106 y 107.
- 6.
- El UE 101 envía el identificador de transacción (TID) junto con la contraseña, las identificaciones de usuarios pertinentes (por ejemplo, el IMSI), la identificación de usuario público (una o más) y el IMSI al proxy de autenticación (AP) 104. El AP 104 hace coincidir la contraseña y el IMSI recibidos en el identificador de transacción (TID) correspondiente desde la función de arranque (BSF) 102 y concluye si el UE 101 es autenticado. La identificación de usuario público provista es aceptada si está incluida en la lista recibida desde la BSF 102.
- 7.
- La identificación de usuario público es usada hacia el AS 105, 106 y 107 para acceder al servicio deseado.
Preferiblemente, el servidor de aplicaciones
comprende una memoria para almacenar instrucciones, un procesador
para procesar datos (de instrucción) y la interfaz de
comunicación.
En un modelo de cargo basado en flujo, los modos
siguientes están implicados como puede verse en la Figura 2.
- GGSN 205: La función de plano de tráfico (TPF) en el GGSN cuenta y comunica paquetes de flujos IP según los flujos definidos en el filtro de flujos IP.
Una función de reglas de cargo (CRF) 204
proporciona reglas de cargo, incluyendo filtros de flujos IP, al
GGSN por la interfaz Gx 209. Los filtros pueden ser recibidos
dinámicamente desde una función de aplicación (AF) 203 por el punto
210 de referencia Rx.
Una función de pasarela de cargo (CGF) 201
recibe registros de datos de cargo (CDRs) desde el GGSN 205 para
cargo fuera de línea por la interfaz Gz 206.
\global\parskip0.900000\baselineskip
Un sistema de cargo en línea (OCS) 202
proporciona servicio de tarificación y crédito, en el caso de cargo
en línea, al GGSN por la interfaz Gy 208.
El procedimiento de función de decisión de
directrices (PDF) implica al GGSN 205 que comunica con la PDF por
la interfaz Go y una función de aplicación específica comunica con
la PDF usando la interfaz Gq. Los recursos de pasarela son usados
por la función de aplicación para proporcionar un control de
directrices basado en servicios. En conjunción con la Figura 2, la
función de decisión de directrices (PDF) puede ser ilustrada con la
posición arquitectónica 204 para la norma actual.
Una realización preferida de la presente
invención es ilustrada en la Figura 3 que muestra un diagrama de
bloques esquemáticos de los nodos implicados y la secuencia de
señalización entre los nodos implicados en una arquitectura
integrada en una realización preferida con una combinación de cargo
basado en flujo (FBC) y arquitectura de autenticación genérica
(GAA).
La nueva arquitectura integrada es mostrada en
la Figura 3. El punto de referencia de Rx es provisto por una
interfaz 210 entre el proxy de autenticación (AP) 104, definido en
la GAA, y la función de reglas de cargo (CFR) 204, después la
comunicación es expedida más allá por la interfaz 112, 113 y 114
entre el AP y los servidores de aplicaciones (AS) 105, 106 y 107.
Esta señalización asegura que es posible proporcionar la información
de flujo IP desde la capa de servicio a la capa de red, y que la
información está enlazada a un usuario específico que es
autenticado por el AP 104. El AP 104 asegura que la información no
solo está vinculada a la dirección IP del equipo de usuario (UE)
101 (que puede ser falsificada fácilmente) sino también al
identificador internacional de abonado móvil (IMSI) autenticado de
UE, asegurando así la autenticación del usuario en un nivel de
infraestructura.
Si el AP 04 no está implicado, por ejemplo si
los servidores de aplicaciones (AS) 105, 106 y 107 proporcionan
información de filtración directamente a la CRF 204, solo podría
haber una identificación de usuario basada en la dirección IP y no
en el IMSI puesto que los servidores de aplicaciones (AS) 105, 106 y
107, siendo en algunos casos un servidor ordinario en Internet 301,
solo tienen acceso a la dirección IP de usuario.
La presente invención asegura que hay una
vinculación entre el usuario autenticado 101 y las reglas de cargo
provistas para ese usuario específico 101.
La Figura 3 muestra una secuencia de
señalización típica:
- 1.
- El equipo de usuario (UE) 101 autentica al proxy de autenticación (AP) 104 según el método GAA.
- 2.
- El UE 101 señaliza a los servidores de aplicaciones (AS) 105, 106 y 107 que accedan al servicio provisto por los AS 105, 106 y 107.
- 3.
- Los AS 105, 106 y 107 evalúan al usuario. Por ejemplo, puede ser que este usuario 101 sea identificado como perteneciente a un segmento que debería ser seleccionado como objetivo con este servicio nuevo. En el caso de que una oferta especial esté disponible para este usuario, las reglas de cargo específicas de usuario (filtros y método de cargo, por ejemplo indicación de tarificación nula, período de validez ...) son devueltas al AP 104.
- 4.
- El AP 104 envía las reglas de cargo específicas de usuario a la función de reglas de cargo (CFR) 204.
- 5.
- La CRF 204 expide el filtro/las reglas de cargo específicas de usuario para ser usados por la función de plano de tráfico (TPF) en el GGSN 205. Y en el caso de que, por ejemplo, el usuario especifique tarificación nula, el GGSN 205 puede dejar que el tráfico filtrado para este usuario pase sin cargo. Por ejemplo, la oferta también puede ser que un volumen de, por ejemplo, 10 Mbytes de servicio sea gratis, o el acceso al servicio las primeras N veces sea sin cargo, o acceso libre durante X horas.
La realización preferida de método
"combinado" de señalización de cargo basado en flujo (FBC) y
arquitectura de autenticación genérica (GAA) reduce el riesgo de
que un usuario pueda falsificar su identificación o dirección IP
hacia un servidor de aplicaciones (AS) 105, 106 y 107 y obtener
servicios con una cuota de cargo incorrecta.
De una forma similar, la presente invención
sugiere una combinación de función de decisión de directrices (PDF)
y arquitectura de autenticación genérica (GAA), permitiendo que sean
tomadas decisiones de directrices específicas de aplicación y
usuario. Esto permite que el sistema diferencie las directrices de
portadores dependiendo de los servicios necesarios, tal como el
nivel de calidad de servicio dependiendo del usuario y la
aplicación. Por ejemplo, un usuario avanzado que paga más por acceso
de alta velocidad puede, durante una sesión de video continuo,
obtener un nivel aumentado de calidad del servicio. Para reducir el
riesgo de que alguien erróneo obtenga una calidad de servicio más
alta, la autenticación de sistema del usuario puede hacerse
disponible para la aplicación específica. La aplicación puede ser
tanto una aplicación provista por el proveedor de red como puede
ser una aplicación provista por un proveedor de servicios de
tercero. La presente invención asegura que el usuario autenticado
es el usuario correcto con acceso a servicios específicos de
usuario para todas las aplicaciones que confían en el
proveedor/operador de red.
\global\parskip1.000000\baselineskip
Muchas configuraciones diferentes de servicios
de usuario pueden ser utilizadas y muchas situaciones de
aplicaciones diferentes pueden ser combinadas en este esquema.
La presente invención también asegura que la
autenticación de usuario de nivel 3GPP es aplicada también para
aplicaciones externas o internas puestas en servicio para el usuario
y la invención garantiza que solo el usuario deseado puede acceder
al servicio solicitado, por ejemplo solo el usuario correcto debería
obtener acceso y pagar por los servicios solicitados, obtener un
cierto nivel de calidad de servicio o vinculaciones similares de
usuarios/servicios.
La presente invención es aplicable
independientemente de si el usuario es un usuario individual que
accede a un servicio usando una dirección IP individual o es parte
de una sesión de servicio de multidifusión multimedia (MBMS) que
usa una dirección de multidifusión IP.
La persona experta en la técnica debería
comprende que funciones de servicio diferentes pueden ser usadas
solas o en combinación entre si; por ejemplo, las realizaciones
ejemplificadas antes pueden ser combinadas en transacciones donde
reglas de cargo especiales son aplicables para una sesión de cierta
calidad de servicio, vinculando filtros de cargo y decisiones de
directrices con diferentes servidores de aplicaciones.
El servidor de aplicaciones específico usado en
la transacción puede ser un servidor públicamente disponible, por
ejemplo situado en Internet, o puede ser un servidor provisto por el
proveedor/operador de red que maneja la red física o virtual. En
una realización preferida de la presente invención, el servidor de
aplicaciones (AS) 105, 106 y 107 está situado en una
infraestructura de red IP. Sin embargo, la persona experta en la
técnica ha de comprender que pueden ser posibles otras
arquitecturas de red tal como, pero no limitada a, una red X25.
La presente invención se abre para modelos
comerciales nuevos, interesantes y más eficientes para
proveedores/operadores de redes. Por ejemplo, los operadores pueden
ofrecer un servicio cotizado de firma (inscripción) única y puede
cargar posiblemente por este servicio de valor añadido hacia
usuarios y/o proveedores de servicios de aplicaciones. Otras
oportunidades comerciales que pueden ser facilitadas con la presente
invención son las soluciones de voz por IP (VoIP: Voice over IP)
donde dos o más usuarios (UE) situados dentro de la misma red usarán
servicios de voz por IP para comunicar entre sí. En este caso, el
sistema establecerá el nivel correcto de calidad de servicio y/o
las reglas de cargo mientras que autentica a los usuarios y asegura
que las partes correctas y una cantidad correcta serán
cargadas.
Estos nuevos modelos comerciales también pueden
ser ejemplificados por, pero no limitados a, modelos de cargo
específicos de usuarios tales como permitir una cierta magnitud de
tráfico gratis y, en un límite especificado por el usuario, el
tráfico adicional empieza a costar dinero. También puede ser
configurado de tal modo que las N primeras veces que un usuario
específico accede a un servicio especifico es gratis. De una forma
similar, un usuario puede tener un nivel específico de calidad de
servicio cuando usa un servicio específico por un cierto número de
veces y/o por un coste específico. Muchas combinaciones y modelos
comerciales diferentes pueden ser utilizados a partir de la
presente invención y, como es ejemplificado anteriormente, están
disponibles varios ofrecimientos o reglas diferentes:
- \ding{72}
- una oferta de tiempo en la que el servicio de aplicación está disponible durante un tiempo específico;
- \ding{72}
- una oferta de coste en la que el servicio de aplicación está disponible por un coste específico;
- \ding{72}
- una oferte de número en el que el servicio de aplicación está disponible un número de veces específico; y
- \ding{72}
- una oferta de calidad de servicio en la que el servicio de aplicación está disponible con un nivel específico de calidad de servicio.
Estos ofrecimientos pueden ser combinados y/o
cambiados dinámicamente dependiendo de criterios predeterminados.
Por ejemplo, con respecto a un ofrecimiento o regla de coste, un
usuario puede obtener gratis los primeros 10 megabytes (MB) de
tráfico por mes, los 10 MB siguientes a un coste específico y los 10
MB siguientes a otro coste, etc. Lo mismo es aplicable también a
los otros ejemplos de ofrecimientos. Otros tipos de ofrecimientos o
reglas también pueden estar disponibles como debería ser apreciado
por la persona experta en la técnica.
El sistema también puede manejar casos
diferentes que usan filtros de servicio autenticados, tal como para
filtros de carga, por ejemplo un caso puede ser que un usuario ha
gastado su cuota gratis de transferencia de MB para el mes y una
nueva regla de cargo debería ser establecida dinámicamente durante
la sesión.
Una de las ventajas principales de la presente
invención es que será mucho más difícil para el fraude de red
puesto que la propia red de infraestructura básica asegura la
autenticidad del usuario hacia servidores de aplicaciones (tanto
servidores específicos de tercero externo como de operador interno),
que usan funciones incorporadas de red de comunicación y
credenciales de identificación únicas tal como el sistema de
identificador internacional de abonado móvil (IMSI) estándar bien
comprobado. La presente invención es especialmente aplicable para
cuotas de cargo dinámicas y/o individuales o acceso a nivel de
calidad de servicio cuando se accede a servidores de
aplicaciones.
La Figura 4 ilustra esquemáticamente la
topología básica de una red 3GPP. Un usuario 401 se conecta a la
infraestructura de comunicación usando un microteléfono 402
denominado frecuentemente un equipo de usuario (UE). Una solicitud
IP procedente del usuario 401 es transferida por la infraestructura
408 de red y especialmente a través de un nodo GGSN 405 a un
servidor 407 de aplicaciones (AS) por vía, por ejemplo, de una red
IP externa 406, tal como Internet.
Todas las funciones y métodos antes mencionados
pueden ser implementados en software como conjuntos de instrucciones
en una memoria de uno o varios dispositivos computacionales que
comprenden al menos una unidad de memoria, unidad de procesamiento,
unidad de comunicación y otras unidades opcionales como pueden ser
halladas en ordenadores o dispositivos incrustados de aplicaciones
de ordenadores.
La persona experta en la técnica debería
comprender que otras funciones de autenticación pueden ser usadas,
por ejemplo la presente invención no está limitada al sistema de
identificador internacional de abonado móvil (IMSI) sino que pueden
ser usadas otras credenciales de identificación única.
La persona experta en la técnica también debería
comprender que las realizaciones antes mencionadas han sido
ilustradas para una red 3GPP pero los mismos conceptos pueden ser
aplicables a otras redes de comunicación inalámbrica basadas en
paquetes.
Aunque la invención ha sido descrita con detalle
con fines de ilustración, ha de comprenderse que tal detalle es
únicamente para ese fin y que pueden ser efectuadas variaciones en
ella por los expertos en la técnica sin apartarse del alcance de la
invención excepto como puede ser limitado por las reivindicaciones
siguientes.
Claims (17)
1. Una infraestructura de red de comunicación
inalámbrica basada en paquetes, capaz de manejar equipo UE (101,
402) de un usuario, comprendiendo la red:
- -
- una interfaz de comunicación para comunicar con dicho equipo de usuario (UE);
- -
- un nodo (205, 405) de soporte de comunicación que recibe comunicación desde dicho UE;
- -
- un servicio (104) de autenticación en comunicación con dicho nodo de soporte de comunicación y dispuesto para comunicar con un equipo de usuario y al menos un servidor AS de aplicaciones, estando dispuesto dicho servicio de autenticación con una unidad para autenticar a dicho usuario (101, 402),
caracterizada porque dicho servicio (104)
de autenticación está dispuesto además para recibir reglas de
servicio específicas de usuario desde dicho servidor AS de
aplicaciones (105, 106, 107, 407) para dicho usuario; comprendiendo
además la infraestructura de red una función de reglas de servicio
para recibir dichas reglas de servicio específicas de usuario desde
dicho servicio de autenticación y transmitir dichas reglas de
servicio específicas de usuario a dicho nodo (205, 405) de soporte
de comunicación.
2. La red de comunicación según la
reivindicación 1, en la que dicha infraestructura de red es una red
3GPP (Third Generation Partnership Project = Proyecto de Asociación
de Tercera Generación).
3. La red de comunicación según la
reivindicación 1, en la que dicho nodo de soporte de comunicación es
un nodo de servicio GPRS de pasarela (GGSN: Gateway GPRS Serving
Node) (205, 405).
4. La red de comunicación según la
reivindicación 1, en la que dicho servicio de autenticación es un
proxy de autenticación (AP) (104).
5. La red de comunicación según la
reivindicación 1, en la que dicha función de reglas de servicio
comprende una funcionalidad de reglas de cargo (CRF) (204).
6. La red de comunicación según la
reivindicación 1, en la que dicha función de reglas de servicio
comprende una funcionalidad de decisión de directrices (PDF).
7. La red de comunicación según cualquiera de
las reivindicaciones1 a 6, en la que un usuario es un usuario
individual (401) o parte de una sesión de servicio de multidifusión
multimedia (MBMS: Multimedia Broadcast Multicast Service) que usa
una dirección de multidifusión IP.
8. Un método de intercambio de protocolo de
comunicación en una red de telecomunicación, en el que el método de
intercambio comprende los pasos de:
- -
- enviar un número IP de usuario y un número de identificación de usuario a un servicio (104) de autenticación;
- -
- autenticar a dicho usuario (401) según el método de arquitectura de autenticación genérica en dicho servicio (104) de autenticación;
- -
- enviar datos de autenticación desde dicho servicio (104) de autenticación a un servidor (105, 106, 107, 407) solicitado por dicho usuario (401); y
- -
- enviar reglas de servicio para dicho usuario específico desde dicho servicio a un nodo (205, 405) de soporte de comunicación por vía de dicho servicio (104) de autenticación y una función (204) de reglas de servicio.
9. El método de intercambio de protocolo de
comunicación según la reivindicación 8, en el que dicho nodo de
soporte de comunicación es un nodo de soporte GPRS de pasarela
(GGSN: Gateway GPRS Support Node) (205, 405).
10. El método de intercambio de protocolo de
comunicación según la reivindicación 8, en el que dicho servicio de
autenticación es un proxy de autenticación (AP) (104).
11. El método de intercambio de protocolo de
comunicación según la reivindicación 8, en el que dicho número de
identificación de usuario es un número de identificador
internacional de abonado móvil (IMSI).
12. El método de intercambio de protocolo de
comunicación según la reivindicación 8, en el que dicha función de
reglas de servicio comprende una funcionalidad de reglas de cargo
(CRF) (204).
13. El método de intercambio de protocolo de
comunicación según la reivindicación 12, que comprende además los
pasos de:
- -
- transmitir desde un servidor AS de aplicaciones (105, 106, 107, 407) reglas de cargo específicas de usuario a dicho servicio de autenticación (104);
- -
- transmitir desde dicho servicio de autenticación (104) reglas de cargo específicas de usuario a una función (204) de reglas de cargo dentro de dicha red;
- -
- transmitir reglas de cargo específicas de usuario desde dicha función (204) de reglas de cargo a un nodo (205) de soporte de comunicación; y
- -
- facturar al usuario por el uso según dichas reglas de cargo.
14. El método de intercambio de protocolo de
comunicación según la reivindicación 8, en el que dicha función de
reglas de servicio comprende una funcionalidad de decisión de
directrices (PDF).
15. El método de intercambio de protocolo de
comunicación según la reivindicación 8, en el que dicho método
comprende además los pasos de:
- -
- enviar reglas de servicio para dicho servidor (105, 106, 107, 407) para dicho usuario a dicho nodo (205, 405) de soporte de comunicación desde dicho servicio (104) de autenticación, y en el que dicho servicio de autenticación comunica la autenticidad de dicho usuario hacia cualquier servidor (105, 106, 107, 407) que es solicitado por dicho usuario (401).
16. El método según la reivindicación 8, en el
que un usuario (401) puede ser un usuario individual (401) o parte
de una sesión de servicio de multidifusión multimedia (MBMS:
Multimedia Broadcast Multicast Service) que usa una dirección de
multidifusión IP.
17. Un servicio de autenticación para uso en una
infraestructura de red de telecomunicación, que comprende:
- -
- una interfaz de comunicación para comunicar con un usuario;
- -
- una interfaz de comunicación para comunicar con una red externa (406);
- -
- una unidad de memoria que es provista para almacenar conjuntos de instrucciones para:
- \bullet
- recibir un número IP de usuario y un número de identificación de usuario;
- \bullet
- autenticar a dicho usuario usando dichos número IP y número de identificación según un método de arquitectura de autenticación genérica;
- \bullet
- enviar datos de autenticación a un servicio solicitado por dicho usuario, estando dicho servicio situado en dicha red externa (406);
- \bullet
- recibir reglas de servicio desde dicho servicio solicitado; y
- \bullet
- enviar dichas reglas de servicio a un nodo de soporte de comunicación.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2004/005107 WO2005109938A1 (en) | 2004-05-12 | 2004-05-12 | Authentication system |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2311821T3 true ES2311821T3 (es) | 2009-02-16 |
Family
ID=34957706
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES04732322T Expired - Lifetime ES2311821T3 (es) | 2004-05-12 | 2004-05-12 | Sistema de autenticacion. |
Country Status (6)
Country | Link |
---|---|
US (1) | US8621582B2 (es) |
EP (1) | EP1745667B1 (es) |
AT (1) | ATE405123T1 (es) |
DE (1) | DE602004015854D1 (es) |
ES (1) | ES2311821T3 (es) |
WO (1) | WO2005109938A1 (es) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1302636C (zh) * | 2004-05-12 | 2007-02-28 | 华为技术有限公司 | 一种完善基于业务数据流在线计费的处理方法 |
CN1299537C (zh) * | 2004-06-28 | 2007-02-07 | 华为技术有限公司 | 应用通用鉴权框架对接入拜访网络的用户实现管理的方法 |
US7916700B2 (en) * | 2004-06-30 | 2011-03-29 | Nokia Corporation | Dynamic service information for the access network |
CN1319317C (zh) * | 2004-08-11 | 2007-05-30 | 华为技术有限公司 | 一种基于分组数据流计费的对话建立方法 |
US8046824B2 (en) | 2005-04-11 | 2011-10-25 | Nokia Corporation | Generic key-decision mechanism for GAA |
CN100379315C (zh) * | 2005-06-21 | 2008-04-02 | 华为技术有限公司 | 对用户终端进行鉴权的方法 |
DE102005037868A1 (de) * | 2005-08-10 | 2007-02-15 | Siemens Ag | Verfahren und Anordnung zur Vergebührung und Zugangskontrolle in einem Kommunikationsnetzwerk |
CN100459734C (zh) * | 2006-03-31 | 2009-02-04 | 华为技术有限公司 | 移动通信网络中业务信息决策方法 |
US8325889B2 (en) * | 2006-12-22 | 2012-12-04 | Mobileaxept As | Efficient authentication of a user for conduct of a transaction initiated via mobile telephone |
US8769284B2 (en) * | 2006-12-29 | 2014-07-01 | Nokia Corporation | Securing communication |
ATE447304T1 (de) * | 2007-02-27 | 2009-11-15 | Lucent Technologies Inc | Drahtloses kommunikationsverfahren zur steuerung eines mittels sicherheitsvorrichtung gewährten zugangs |
CN101110766B (zh) * | 2007-03-23 | 2010-04-21 | 华为技术有限公司 | 一种信令ip流承载事件上报的控制方法和功能实体 |
CN101400059B (zh) * | 2007-09-28 | 2010-12-08 | 华为技术有限公司 | 一种active状态下的密钥更新方法和设备 |
WO2009124587A1 (en) * | 2008-04-09 | 2009-10-15 | Nokia Siemens Networks Oy | Service reporting |
WO2013065037A1 (en) * | 2011-09-26 | 2013-05-10 | Elta Systems Ltd. | A mobile communication system implementing integration of multiple logins of mobile device applications |
RU2012101303A (ru) | 2008-06-17 | 2013-07-27 | Диджигейдж Лтд. | Система для изменения виртуальных видов |
CN101951595A (zh) * | 2010-08-23 | 2011-01-19 | 中兴通讯股份有限公司 | 空口引导设置处理方法及系统 |
CN103002592B (zh) | 2011-09-16 | 2015-08-19 | 华为技术有限公司 | 一种回收逆向授予中传输机会控制权的方法及装置 |
US9009806B2 (en) | 2013-04-12 | 2015-04-14 | Globoforce Limited | System and method for mobile single sign-on integration |
US10681086B2 (en) * | 2014-03-11 | 2020-06-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, devices and computer programs for subjecting traffic associated with a service to a specific treatment |
US20150288659A1 (en) * | 2014-04-03 | 2015-10-08 | Bitdefender IPR Management Ltd. | Systems and Methods for Mutual Integrity Attestation Between A Network Endpoint And A Network Appliance |
GB201512043D0 (en) | 2015-07-09 | 2015-08-19 | Microsoft Technology Licensing Llc | Client confirmation method and system |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5809141A (en) * | 1996-07-30 | 1998-09-15 | Ericsson Inc. | Method and apparatus for enabling mobile-to-mobile calls in a communication system |
SE520137C2 (sv) * | 1997-03-11 | 2003-06-03 | Ericsson Telefon Ab L M | Metod och anordning för att från en Internetansluten dator sända sitt telefonnummer till en uppringd telefon med hjälp av en tjänst i en nod |
US6608832B2 (en) * | 1997-09-25 | 2003-08-19 | Telefonaktiebolaget Lm Ericsson | Common access between a mobile communications network and an external network with selectable packet-switched and circuit-switched and circuit-switched services |
KR20010099946A (ko) * | 1998-12-23 | 2001-11-09 | 추후제출 | 음성/ip를 지원하는 무선 로컬 루프 시스템 |
FI111208B (fi) * | 2000-06-30 | 2003-06-13 | Nokia Corp | Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä |
US20020099775A1 (en) * | 2001-01-25 | 2002-07-25 | Anoop Gupta | Server system supporting collaborative messaging based on electronic mail |
US20020176377A1 (en) * | 2001-05-22 | 2002-11-28 | Hamilton Thomas E. | Service platform on wireless network |
DE60209858T2 (de) * | 2002-01-18 | 2006-08-17 | Nokia Corp. | Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk |
SE0200939D0 (sv) | 2002-03-26 | 2002-03-26 | Ericsson Telefon Ab L M | A system, an arrangement and a method relating to IP-addressing |
US7418596B1 (en) * | 2002-03-26 | 2008-08-26 | Cellco Partnership | Secure, efficient, and mutually authenticated cryptographic key distribution |
US20030226037A1 (en) * | 2002-05-31 | 2003-12-04 | Mak Wai Kwan | Authorization negotiation in multi-domain environment |
ATE352955T1 (de) * | 2003-04-04 | 2007-02-15 | Siemens Ag | Verfahren zur kontrolle und steuerung mehrerer zur verfügung stehender dezentraler ip-budgets eines teilnehmers in einem paket-basierten kommunikationsnetz bei einer online-vergebührung mit grenzwertüberwachung von datenübertragungen |
US7421732B2 (en) * | 2003-05-05 | 2008-09-02 | Nokia Corporation | System, apparatus, and method for providing generic internet protocol authentication |
US7522613B2 (en) * | 2003-05-07 | 2009-04-21 | Nokia Corporation | Multiplexing media components of different sessions |
EP1620995A1 (en) * | 2003-05-07 | 2006-02-01 | Nokia Corporation | Access flow based charging for ims/poc services |
CA2527501A1 (en) * | 2003-05-28 | 2004-12-09 | Caymas Systems, Inc. | Multilayer access control security system |
-
2004
- 2004-05-12 ES ES04732322T patent/ES2311821T3/es not_active Expired - Lifetime
- 2004-05-12 US US11/568,660 patent/US8621582B2/en active Active
- 2004-05-12 EP EP04732322A patent/EP1745667B1/en not_active Expired - Lifetime
- 2004-05-12 WO PCT/EP2004/005107 patent/WO2005109938A1/en active IP Right Grant
- 2004-05-12 AT AT04732322T patent/ATE405123T1/de not_active IP Right Cessation
- 2004-05-12 DE DE602004015854T patent/DE602004015854D1/de not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
EP1745667A1 (en) | 2007-01-24 |
ATE405123T1 (de) | 2008-08-15 |
DE602004015854D1 (de) | 2008-09-25 |
WO2005109938A1 (en) | 2005-11-17 |
US8621582B2 (en) | 2013-12-31 |
US20070274522A1 (en) | 2007-11-29 |
EP1745667B1 (en) | 2008-08-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2311821T3 (es) | Sistema de autenticacion. | |
US11973746B2 (en) | Connecting IMSI-less devices to the EPC | |
CN104067591B (zh) | 用于全球实时远程通信的设备、系统及方法 | |
ES2350365T3 (es) | Un método, sistema de comunicación y controlador de recogida que permite la influencia de un tercero en la provisión de un servicio a una estación de usuario. | |
ES2307047T3 (es) | Procedimiento y sistema para la facturacion en base a contenidos en redes ip. | |
ES2282461T3 (es) | Procedimiento y sistema de facturacion gsm para itinerancia wlan. | |
ES2327902T3 (es) | Organizacion de la facturacion de abonados en un sistema de telecomunicacion. | |
CA2530891C (en) | Apparatus and method for a single sign-on authentication through a non-trusted access network | |
US7054843B2 (en) | Method and apparatus in a telecommunications system | |
US20070177562A1 (en) | Method, apparatus and article to remotely associate wireless communications devices with subscriber identities and/or proxy wireless communications devices | |
US20030206533A1 (en) | Terminal and repository in a telecommunications system | |
EP2120392A1 (en) | Certificate authenticating method, certificate issuing device, and authentication device | |
JP2008500666A (ja) | 無線サービスを提供する方法 | |
KR20100102695A (ko) | 과금 및 인증 제어 제공 방법 및 장치 | |
ES2288490T3 (es) | Metodo y sistema que permiten un servicio de prepago en una red todo-ip. | |
CN112449316B (zh) | 一种漫游计费的处理方法、装置及系统 | |
US7336941B1 (en) | System and method for unified accounting for wireless communication networks | |
KR20180069470A (ko) | 이동통신 로밍 요금 정산 방법 및 장치 | |
US7292840B2 (en) | Method for ascertaining a billing tariff for a data transfer | |
WO2004034671A1 (en) | Controlling delivery of certificates in a mobile communication system | |
US7310510B2 (en) | Method for ascertaining a billing tariff for billing for a data transfer | |
US10299121B2 (en) | System and method for providing differential service scheme | |
WO2007140700A1 (fr) | Procédé et appareil pour transmettre des informations de facturation | |
Poikselktä | IMS Concepts | |
ITRM20010039A1 (it) | Metodo di autenticazione mediante carta sim per accesso da rete fissa, a servizi telematici. |