ES2311821T3 - Sistema de autenticacion. - Google Patents

Sistema de autenticacion. Download PDF

Info

Publication number
ES2311821T3
ES2311821T3 ES04732322T ES04732322T ES2311821T3 ES 2311821 T3 ES2311821 T3 ES 2311821T3 ES 04732322 T ES04732322 T ES 04732322T ES 04732322 T ES04732322 T ES 04732322T ES 2311821 T3 ES2311821 T3 ES 2311821T3
Authority
ES
Spain
Prior art keywords
user
service
authentication
communication
rules
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES04732322T
Other languages
English (en)
Inventor
Krister Boman
Gunnar Rydnell
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of ES2311821T3 publication Critical patent/ES2311821T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/41Billing record details, i.e. parameters, identifiers, structure of call data record [CDR]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/56Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP for VoIP communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/80Rating or billing plans; Tariff determination aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/80Rating or billing plans; Tariff determination aspects
    • H04M15/8016Rating or billing plans; Tariff determination aspects based on quality of service [QoS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/82Criteria or parameters used for performing billing operations
    • H04M15/8214Data or packet based
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/88Provision for limiting connection, or expenditure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M17/00Prepayment of wireline communication systems, wireless communication systems or telephone systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0116Provision for limiting expenditure, e.g. limit on call expenses or account
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0152General billing plans, rate plans, e.g. charge rates, numbering plans, rate centers, customer accounts
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0164Billing record, e.g. Call Data Record [CDR], Toll Ticket[TT], Automatic Message Accounting [AMA], Call Line Identifier [CLI], details, i.e. parameters, identifiers, structure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/20Technology dependant metering
    • H04M2215/2013Fixed data network, e.g. PDN, ATM, B-ISDN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/20Technology dependant metering
    • H04M2215/202VoIP; Packet switched telephony
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/20Technology dependant metering
    • H04M2215/204UMTS; GPRS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/22Bandwidth or usage-sensitve billing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/74Rating aspects, e.g. rating parameters or tariff determination apects
    • H04M2215/7414QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/78Metric aspects
    • H04M2215/782Data or packet based

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Meter Arrangements (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Una infraestructura de red de comunicación inalámbrica basada en paquetes, capaz de manejar equipo UE (101, 402) de un usuario, comprendiendo la red: - una interfaz de comunicación para comunicar con dicho equipo de usuario (UE); - un nodo (205, 405) de soporte de comunicación que recibe comunicación desde dicho UE; - un servicio (104) de autenticación en comunicación con dicho nodo de soporte de comunicación y dispuesto para comunicar con un equipo de usuario y al menos un servidor AS de aplicaciones, estando dispuesto dicho servicio de autenticación con una unidad para autenticar a dicho usuario (101, 402), caracterizada porque dicho servicio (104) de autenticación está dispuesto además para recibir reglas de servicio específicas de usuario desde dicho servidor AS de aplicaciones (105, 106, 107, 407) para dicho usuario; comprendiendo además la infraestructura de red una función de reglas de servicio para recibir dichas reglas de servicio específicas de usuario desde dicho servicio de autenticación y transmitir dichas reglas de servicio específicas de usuario a dicho nodo (205, 405) de soporte de comunicación.

Description

Sistema de autenticación.
Campo de la invención
La presente invención se refiere a servicios y autenticación en una red de telecomunicación basada en paquetes y, en particular, a la integración de servicios de aplicaciones y funciones de autenticación de usuarios en una red 3GPP.
Antecedentes de la invención
En la normalización de 3GPP (Third Generation Partnership Project) hay trabajo en curso para normalizar rutinas de autenticación de usuarios, especialmente para la denominada Arquitectura de Autenticación Genérica (GAA: Generic Authentication Architecture) que implica una autenticación mutua entre un cliente y un servidor de aplicaciones. En la red de comunicación, varias aplicaciones diferentes estarán disponibles para el cliente y estas aplicaciones serán suministradas por suministradores de tercero (tercera parte), o sea diferentes que el proveedor de servicios (SP: Service Provider). Sin embargo, a un cliente que accede a varias aplicaciones diferentes le gustaría efectuar una sola autenticación única, un denominado servicio de firma única (SS0: Single Sign On), que proporciona la posibilidad de que el usuario solo se autentique una vez durante una sesión más bien que autenticarse para cada servidor nuevo de aplicaciones que quiere usar. Esto hará el procedimiento de autenticación mucho más fácil para el cliente. Asimismo, esta clase de servicio de autenticación puede ser ofrecido a proveedores de servicios de aplicaciones de tercero (tercera parte) como un servicio procedente del proveedor de servicios (SP) que maneja la red. La Arquitectura de Autenticación Genérica (GAA) está pretendiendo resolver este problema y hacer un servicio tal disponible en la red 3GPP. La autenticación genérica proporciona una autenticación de los usuarios en un nivel de aplicación basado en el mecanismo de seguridad comprobado en la Red Móvil Terrestre Pública (PLMN: Public Land Mobile Network).
La Arquitectura de Autenticación Genérica (GAA) es especificada a través del grupo 3GPP y borradores de la especificación pueden ser obtenidos a través de su sitio Web, por ejemplo los documentos TS 32.220 y TR 33.919 pueden ser mencionados como buenos puntos de partida con respecto a la Arquitectura de Autenticación Genérica (GAA). El sistema de GAA puede ser explicado como sigue: un número de aplicaciones comparten una necesidad de autenticación mutua entre un cliente/usuario (denominado equipo de usuario (UE) en la norma) y un servidor de aplicaciones (AS) a fin de tener en cuenta la comunicación adicional. Esto es necesario cuando el usuario quiere acceder a servidores que exigen autenticación, por ejemplo servidores de contenidos que cobran por sus servicios, sitios Web que exigen certificados (por ejemplo, bancos) y servidores de aplicaciones similares. Como muchas aplicaciones comparten la misma necesidad, se ha considerado especificar una Arquitectura de Autenticación Genérica (GAA), proporcionando la arquitectura para permitir que los servidores de aplicaciones accedan a los sistemas de autenticación de infraestructura. Así, si el servidor de aplicaciones confía en el proveedor de servicios, está arquitectura puede simplificador los esquemas de autenticación tanto para el usuario como para los servidores de aplicaciones. El usuario solo necesita autenticar una vez durante una sesión más bien que autenticar hacia cada servidor de aplicaciones accedido.
En una sesión basada en GAA, el usuario autentica con la infraestructura de red proporcionando una identificación a una función de arranque (BSF: Bootstrap Function), por ejemplo esta identificación puede consistir en el número IMSI (International Mobile Subscriber Identifier = Identificador Internacional de Abonado Móvil) de equipo de usuario (UE), que es un número único acoplado que identifica a un usuario. El IMSI es retransmitido al sistema de abonados de origen (HSS: Home Subscriber System), también denominado sistema de registro de posiciones de origen, y el HSS proporciona un vector de autenticación (AV: authentication vector) a la función de arranque (BSF). La BSF autentica el equipo de usuario (UE) basada en el USIM (Universal Subscriber Identity Module = Módulo Universal de Identidad de Abonado) y los métodos de UMTS-AKA (Universal Mobile Telecommunication System - Authentication and Key Agreement), y envía un identificador de transacción (TID: Transaction Identifier) al equipo de usuario (UE).
También al mismo tiempo, hay trabajo en curso para normalizar el denominado cargo basado en flujo (FBC: Flow Based Charging). El cargo basado en flujo (FBC) tiene el propósito de hacer posible cargar a los usuarios por el uso de servicios con una graduación más fina que la que es posible actualmente. Por ejemplo, es interesante identificar el tipo de sesión IP (Internet Protocol) que un usuario está ejecutando, el tipo de aplicaciones implicadas, etc. Por ejemplo, a uno le gustaría ser capaz de diferenciar los costes de cargo para tipos diferentes de servicios, por ejemplo el vídeo continuo puede ser cargado más que intercambiar mensajes de texto claro como mensajes de correo electrónico (e-mail) sencillos. Hay muchos servicios diferentes que pueden ser usados que incluyen tanto servicios de usuario a usuario como de usuario a red. Los flujos de datos de servicios procedentes de estos servicios pueden ser identificados y cargados de muchos modos diferentes. El método de cargo basado en flujo (FBC) es usado para establecer filtros de cargo que son usados por la función de reglas de cargo (CRF: Charging Rules Fuction) para aplicaciones diferentes.
Los filtros provistos en el método de cargo basado en flujo (FBC) pueden ser bastante complejos y pueden implicar dirección de origen y destino, número de puerto de origen y destino y protocolo de transacción, permitiendo una graduación fina de cargo. Los modelos de cargo que precisan datos aún más complejos pueden usar filtros especiales que observan más en paquetes de datos y pueden ser definidos por la función de plano de tráfico (TPF: Traffic Plane Function) e invocados por la función de reglas de cargo (CRF).
Sin embargo, los dos trabajos de normalización antes mencionados no están pretendiendo actualmente una integración de los servicios que proveen. Esto será crucial en el futuro para ser capaz de proporcionar reglas de cargo diferenciadas dependiendo del usuario y la aplicación conectada y al mismo tiempo asegurar la autenticidad del usuario hacia el servidor específico de aplicaciones implicado en la transacción. Proporcionando solo un número IP falso, no debería ser posible obtener acceso a servicios destinados a otros usuarios ni obtener servicios a una cuota errónea de cargo.
El trabajo en 3GPP sobre la arquitectura de autenticación genérica (GAA) y el cargo basado en flujo (FBC) ha sido realizado hasta ahora en paralelo y no se ha tomado interés en reutilizar la funcionalidad entre las dos funciones. En alguna etapa en la normalización, es necesario que sea incorporada la interoperatividad entre la GAA y el FBC. Una arquitectura integrada será necesaria.
Específicamente, el problema de soportar cargo específico de de usuario para usuarios autenticados de GAA no es resuelto en el FBC. El problema puede ser ejemplificado como sigue:
1.
Un proveedor de servicios tiene un servidor de aplicaciones que proporciona un servicio, por ejemplo descargar un archivo de música. Este servicio es accesible para usuarios móviles por vía de la red de acceso de GPRS (General Packet Radio Service) en la interfaz Gi. La arquitectura de autenticación genérica (GAA) asegura que el usuario es autenticado.
2.
Cuando el usuario descarga un audioclip musical, es cargado por volumen porque el nodo de servicio/so- porte GPRS de pasarela (GGNS: Gateway GPRS Serving/Support Noe) realiza la cuenta de bytes en los paquetes descargados, y comunica los registros de datos de cargo (CDRs; Charging Data Records) al sistema de facturación. El cargo basado en flujo (FBC) puede ser usado para permitir que una tarificación específica sea aplicada al archivo musical descargado. El FBC proporciona filtración en el GGSN que cuenta el servicio especificado individualmente.
3.
Ahora, el proveedor de servicios podría proporcionar el servicio en algún punto por un precio especial para algunos usuarios. En ese caso, es necesario proporcionar un filtro específico para usuarios individuales. Como puede hacerse eso no es especificado ahora.
En otra implementación de normalización, hay trabajo en curso con respecto a funciones de decisión de directrices tales como la función de decisión de directrices (PDF: Policy Decision Function) para control de directrices de recursos de portadores IP, tal como la calidad de servicio para un usuario específico. La función de decisión de directrices (PDF) se refiere a un nivel de calidad de servicio para un usuario específico e instantáneo en el tiempo, permitiendo por ejemplo una mejor calidad de servicio para un cierto tipo de aplicación tal como aplicaciones de video continuo, o para un cliente preparado a pagar más por una calidad mayor de conectividad. Sería eficiente añadir la función de decisión de directrices (PDF) a la función de arquitectura de autenticación genérica (GAA) para implementar un sistema de red más eficiente.
La solicitud de patente de EE.UU. US 2003/0039 237 expone una red telefónica GMS/GPRS (Global System for Mobile Communications/General Packet Radio Service) en la que un servidor de autenticación configura un nodo de soporte de comunicación.
\vskip1.000000\baselineskip
Sumario de la invención
El objeto de la realización preferida de la presente invención es eliminar los inconvenientes antes mencionados de las normalizaciones actuales y proporcionar un uso más eficiente de las funciones de red para proporcionar al usuario final una mejor calidad de operación en red. Esto se efectúa permitiendo que una función de arquitectura de autenticación genérica (GAA) gobierne el comportamiento de varias funciones sobre la conectividad de red para un usuario específico.
Estas funciones implican tanto procedimientos de cargo diferenciados como control diferenciado de directrices de recursos de portadores IP, tal como la calidad de servicio del enlace de comunicación.
El procedimiento de cargo diferenciado permite que los proveedores de servicios carguen a usuarios diferentes cuotas diferentes y cambien la fijación de precios dependiendo del servicio necesario y del tiempo de uso o de la cantidad de uso.
La realización preferida de la presente invención asegura que hay una vinculación entre el usuario autenticado y las reglas de cargo y/o servicios de control de directrices, tal como reglas de calidad de servicio para ese usuario específico.
En una realización preferida de la presente invención, se proporciona un método para vincular funciones de servicios en una red de telecomunicación con una función de autenticación estándar. Preferiblemente, el método comprende los pasos siguientes:
1.
enviar un número IP de usuario y un número de identificador internacional de abonado móvil (IMSI) de usuario a un proxy de autenticación;
2.
autenticar al usuario según un método de arquitectura de autenticación genérica (GAA) normalizada;
3.
enviar datos de autenticación a un servicio solicitado por dicho usuario;
4.
enviar reglas de servicio para el usuario específico a un nodo de soporte GPRS de pasarela (GGSN: Gateway GPRS Support Node).
El método es ejemplificado además por que las reglas de servicio pueden ser una función de reglas de cargo (CRF) y/o una función de decisión de directrices (PDF). Un usuario puede ser definido como un usuario individual o parte de una sesión de servicio de multidifusión multimedia (MBMS: Multimedia Broadcast Multicast Service) que usa una dirección de multidifusión IP.
En otra realización preferida, se proporciona una interfaz de comunicación en una red 3GPP, en la que datos de autenticación son transmitidos entre un servicio de autenticación, tal como un proxy de autenticación (AP: authentication proxy), y una función de reglas de servicio y reglas de servicio específicas de usuario son transmitidas entre el AP y un servidor de aplicaciones (AS), asegurando la autenticidad del usuario hacia el servicio de aplicaciones. Las reglas de servicio pueden ser una función de reglas de cargo (CRF) y/o una función de decisión de directrices (PDF).
En otra realización preferida más, se proporciona un método de señalización en una red 3GPP, que comprende los pasos de:
-
autenticar a un usuario (UE) según un método de arquitectura de autenticación genérica (GAA);
-
señalizar a un servidor de aplicaciones (AS) que acceda al servicio provisto por el servidor de aplicaciones (AS);
-
identificar al usuario (UE) en el servidor de aplicaciones (AS);
-
transmitir reglas de servicio específicas de usuario a un servicio de autenticación tal como un proxy de autenticación (AP);
-
transmitir desde el AP reglas de servicio específicas de usuario a función o funciones apropiadas de reglas de servicio dentro de la red 3GPP; y
-
transmitir reglas de servicio específicas de usuario desde la función de reglas de servicio a un nodo de soporte de comunicación tal como un nodo de servicio GPRS de pasarela (GGSN: Gateway GPRS Serving Node).
En el método de señalización, la función de reglas de servicio puede comprender una función de reglas de cargo (CRF) y/o una función de decisión de directrices (PDF). Un usuario puede ser un usuario individual o parte de una sesión de servicio de multidifusión multimedia (MBMS) que usa una dirección de multidifusión IP.
Otra realización preferida de la presente invención proporciona una red de comunicación inalámbrica basada en paquetes, tal como una red de comunicación 3GPP, capaz de manejar un equipo (UE) de un usuario, comprendiendo la red:
-
un nodo de soporte de comunicación tal como un nodo de servicio GPRS de pasarela (GGSN);
-
un servicio de autenticación tal como un proxy de autenticación (AP);
-
al menos un servidor de aplicaciones (AS);
en la que el usuario es autenticado usando un método de arquitectura de autenticación genérica (GAA), el usuario es identificado en el servidor de aplicaciones (AS) y el AS provee al proxy de autenticación (AP) de reglas de servicio específicas de usuario, el AP transmite las reglas de servicio específicas de usuario a una función apropiada de reglas de servicio dentro de la red 3GPP y la función apropiada de reglas de servicio transmite reglas de servicio específicas de usuario al GGSN.
En la red de comunicación, la función de reglas de servicio puede comprende una función de reglas de cargo (CRF) y/o una función de decisión de directrices (PDF). Asimismo, un usuario puede ser un usuario individual o parte de una sesión de servicio de multidifusión multimedia (MBMS) que usa una dirección de multidifusión IP.
En otra realización preferida más de la presente invención, se proporciona un método de intercambio de protocolo de comunicación en una red de comunicación inalámbrica basada en paquetes, tal como una red 3GPP, en la que el protocolo comprende los pasos de:
-
enviar un número IP de usuario y un número de identificación de usuario a un servicio de autenticación tal como un proxy de autenticación (AP);
-
autenticar al usuario según un método de arquitectura de autenticación genérica (GAA);
-
enviar datos de autenticación a un servicio solicitado por el usuario;
-
enviar reglas de servicio para el usuario específico a un nodo de soporte de comunicación tal como un nodo de soporte GPRS de pasarela (GGSN).
El número de identificación de usuario puede ser preferiblemente un número de identificador internacional de abonado móvil (IMSI) provisto en una red 3GPP estándar, y la función de reglas de servicio puede comprender una función de reglas de cargo (CFR) y/o una función de decisión de directrices (PDF).
En otra realización preferida de la presente invención, se proporciona un método de facturación en una red de comunicación inalámbrica basada en paquetes, comprendiendo el método de facturación:
-
autenticar a un usuario según un método de arquitectura de autenticación genérica (GAA);
-
señalizar a un servidor de aplicaciones (AS) que acceda al servicio provisto por el servidor de aplicaciones (AS);
-
identificar al usuario (UE) en el servidor de aplicaciones (AS);
-
transmitir reglas de cargo específicas de usuario a un servicio de autenticación;
-
transmitir desde el servicio de autenticación reglas de cargo específicas de usuario a la función o funciones de reglas de cargo dentro de la red;
-
transmitir reglas de cargo específicas de usuario desde la función de reglas de cargo al nodo apropiado de soporte de comunicación; y
-
facturar al usuario por el uso según las reglas de cargo.
La red en el método de facturación antes mencionado puede ser una red 3GPP.
El nodo de soporte de comunicación puede ser un nodo de servicio GPRS de pasarela (GGSN). El servicio de autenticación puede ser un proxy de autenticación (AP) y la función de reglas de cargo puede ser una función de reglas de cargo (CRF) según la normalización de 3GPP.
En otra realización preferida más de la presente invención, se proporciona un conjunto de instrucciones para vincular funciones de servicio en la red de comunicación antes mencionada con una función de autenticación, el conjunto de instrucciones comprende:
-
un procedimiento para enviar un número IP de usuario y un número de identificación de usuario a un servicio de autenticación;
-
un procedimiento para autenticar al usuario según un método de arquitectura de autenticación genérica (GAA);
-
un procedimiento para enviar datos de autenticación a un servicio solicitado por el usuario; y
-
un procedimiento para enviar reglas de servicio para el usuario específico a un nodo de soporte de comunicación.
Para aumentar más la aplicabilidad de la realización de conjunto de instrucciones, el número de identificación de usuario puede ser un número de identificador internacional de abonado móvil (IMSI), el servicio de autenticación puede ser un proxy de autenticación (AP) y el nodo de soporte de comunicación puede ser un nodo de soporte GPRS de pasarela (GGSN).
En otra realización preferida de la presente invención, se proporciona un servidor de aplicaciones para uso en una red de comunicación inalámbrica basada en paquetes, comprendiendo el servidor de aplicaciones:
-
una unidad de memoria, siendo dicha memoria provista para almacenar conjuntos de instrucciones antes mencionados;
-
una unidad de procesamiento que está provista para manejar el conjunto de instrucciones; y
-
una unidad de comunicación que está provista para manejar la comunicación con nodos y unidades en dicha red.
\vskip1.000000\baselineskip
Descripción breve de los dibujos
En lo siguiente, la invención será descrita de un modo no limitativo y con más detalle con referencia a realizaciones ejemplares ilustradas en los dibujos adjuntos, en los que:
La Figura 1 muestra un diagrama de bloques esquemático de un esquema de autenticación según la arquitectura de autenticación genérica (GAA).
la Figura 2 muestra un diagrama de bloques esquemático de cargo basado en flujo según la normalización actual.
la Figura 3 muestra un diagrama de bloques esquemático del método integrado de arquitectura de autenticación genérica (GAA) y cargo basado en flujo (FBC) según la presente invención.
La Figura 4 ilustra una vista esquemática de una organización de red según normas 3GPP.
\vskip1.000000\baselineskip
Descripción detallada de la invención
Los diferentes componentes funcionales implicados han sido especificados en la literatura, por ejemplo en el foro de normalización oficial de 3GPP. Sin embargo, una descripción breve de los componentes más apropiados será dada aquí para proporcionar una comprensión mejor de la interconexión entre ellos en la presente invención.
Referente a la Figura 1, en la que el método de arquitectura de autenticación genérica (GAA) estándar es mostrado esquemáticamente, un usuario 101 (UE) tiene interés es establecer contacto con un servidor de aplicaciones (AS) 105, 106 y 107 para obtener un servicio desde el proveedor de red o un proveedor de servicios de tercero (105, 106, 107). El procedimiento en la normalización actual (como de la versión 1.2.1 de 3GPP TS 33.220) tiene la arquitectura siguiente (donde la numeración de paso también representa el número de procedimiento en orden):
1.
El equipo de usuario (UE) 101 envía credenciales de identificación (ID) (por ejemplo, el número de identidad internacional de estación móvil: IMSI) a una función de arranque (BSF) 102.
2.
La BSF 102 envía la identificación a un sistema de abonados de origen (HSS) 103
3.
El HSS 103 proporciona un vector de autenticación (AV) a la BSF 102.
4.
La BSF 102 autentica el equipo de usuario (UE) 101 basado en el módulo universal de identidad de abonado (USIM: Universal Subscriber Identity Module) y los métodos UMTS-AKA (Universal Mobile Telecommunication System-Authentication and Key Agreement) y envía un identificador de transacción (TID) al UE 101.
5.
La BSF 102 envía el TID junto con el IMSI, la contraseña y una lista de identificaciones de usuarios públicos (por ejemplo, George@vfe.com o similar) a un proxy de autenticación (AP) 104 y además a un servidor de aplicaciones (AS) 105, 106 y 107.
6.
El UE 101 envía el identificador de transacción (TID) junto con la contraseña, las identificaciones de usuarios pertinentes (por ejemplo, el IMSI), la identificación de usuario público (una o más) y el IMSI al proxy de autenticación (AP) 104. El AP 104 hace coincidir la contraseña y el IMSI recibidos en el identificador de transacción (TID) correspondiente desde la función de arranque (BSF) 102 y concluye si el UE 101 es autenticado. La identificación de usuario público provista es aceptada si está incluida en la lista recibida desde la BSF 102.
7.
La identificación de usuario público es usada hacia el AS 105, 106 y 107 para acceder al servicio deseado.
Preferiblemente, el servidor de aplicaciones comprende una memoria para almacenar instrucciones, un procesador para procesar datos (de instrucción) y la interfaz de comunicación.
En un modelo de cargo basado en flujo, los modos siguientes están implicados como puede verse en la Figura 2.
GGSN 205: La función de plano de tráfico (TPF) en el GGSN cuenta y comunica paquetes de flujos IP según los flujos definidos en el filtro de flujos IP.
Una función de reglas de cargo (CRF) 204 proporciona reglas de cargo, incluyendo filtros de flujos IP, al GGSN por la interfaz Gx 209. Los filtros pueden ser recibidos dinámicamente desde una función de aplicación (AF) 203 por el punto 210 de referencia Rx.
Una función de pasarela de cargo (CGF) 201 recibe registros de datos de cargo (CDRs) desde el GGSN 205 para cargo fuera de línea por la interfaz Gz 206.
\global\parskip0.900000\baselineskip
Un sistema de cargo en línea (OCS) 202 proporciona servicio de tarificación y crédito, en el caso de cargo en línea, al GGSN por la interfaz Gy 208.
El procedimiento de función de decisión de directrices (PDF) implica al GGSN 205 que comunica con la PDF por la interfaz Go y una función de aplicación específica comunica con la PDF usando la interfaz Gq. Los recursos de pasarela son usados por la función de aplicación para proporcionar un control de directrices basado en servicios. En conjunción con la Figura 2, la función de decisión de directrices (PDF) puede ser ilustrada con la posición arquitectónica 204 para la norma actual.
Una realización preferida de la presente invención es ilustrada en la Figura 3 que muestra un diagrama de bloques esquemáticos de los nodos implicados y la secuencia de señalización entre los nodos implicados en una arquitectura integrada en una realización preferida con una combinación de cargo basado en flujo (FBC) y arquitectura de autenticación genérica (GAA).
La nueva arquitectura integrada es mostrada en la Figura 3. El punto de referencia de Rx es provisto por una interfaz 210 entre el proxy de autenticación (AP) 104, definido en la GAA, y la función de reglas de cargo (CFR) 204, después la comunicación es expedida más allá por la interfaz 112, 113 y 114 entre el AP y los servidores de aplicaciones (AS) 105, 106 y 107. Esta señalización asegura que es posible proporcionar la información de flujo IP desde la capa de servicio a la capa de red, y que la información está enlazada a un usuario específico que es autenticado por el AP 104. El AP 104 asegura que la información no solo está vinculada a la dirección IP del equipo de usuario (UE) 101 (que puede ser falsificada fácilmente) sino también al identificador internacional de abonado móvil (IMSI) autenticado de UE, asegurando así la autenticación del usuario en un nivel de infraestructura.
Si el AP 04 no está implicado, por ejemplo si los servidores de aplicaciones (AS) 105, 106 y 107 proporcionan información de filtración directamente a la CRF 204, solo podría haber una identificación de usuario basada en la dirección IP y no en el IMSI puesto que los servidores de aplicaciones (AS) 105, 106 y 107, siendo en algunos casos un servidor ordinario en Internet 301, solo tienen acceso a la dirección IP de usuario.
La presente invención asegura que hay una vinculación entre el usuario autenticado 101 y las reglas de cargo provistas para ese usuario específico 101.
La Figura 3 muestra una secuencia de señalización típica:
1.
El equipo de usuario (UE) 101 autentica al proxy de autenticación (AP) 104 según el método GAA.
2.
El UE 101 señaliza a los servidores de aplicaciones (AS) 105, 106 y 107 que accedan al servicio provisto por los AS 105, 106 y 107.
3.
Los AS 105, 106 y 107 evalúan al usuario. Por ejemplo, puede ser que este usuario 101 sea identificado como perteneciente a un segmento que debería ser seleccionado como objetivo con este servicio nuevo. En el caso de que una oferta especial esté disponible para este usuario, las reglas de cargo específicas de usuario (filtros y método de cargo, por ejemplo indicación de tarificación nula, período de validez ...) son devueltas al AP 104.
4.
El AP 104 envía las reglas de cargo específicas de usuario a la función de reglas de cargo (CFR) 204.
5.
La CRF 204 expide el filtro/las reglas de cargo específicas de usuario para ser usados por la función de plano de tráfico (TPF) en el GGSN 205. Y en el caso de que, por ejemplo, el usuario especifique tarificación nula, el GGSN 205 puede dejar que el tráfico filtrado para este usuario pase sin cargo. Por ejemplo, la oferta también puede ser que un volumen de, por ejemplo, 10 Mbytes de servicio sea gratis, o el acceso al servicio las primeras N veces sea sin cargo, o acceso libre durante X horas.
La realización preferida de método "combinado" de señalización de cargo basado en flujo (FBC) y arquitectura de autenticación genérica (GAA) reduce el riesgo de que un usuario pueda falsificar su identificación o dirección IP hacia un servidor de aplicaciones (AS) 105, 106 y 107 y obtener servicios con una cuota de cargo incorrecta.
De una forma similar, la presente invención sugiere una combinación de función de decisión de directrices (PDF) y arquitectura de autenticación genérica (GAA), permitiendo que sean tomadas decisiones de directrices específicas de aplicación y usuario. Esto permite que el sistema diferencie las directrices de portadores dependiendo de los servicios necesarios, tal como el nivel de calidad de servicio dependiendo del usuario y la aplicación. Por ejemplo, un usuario avanzado que paga más por acceso de alta velocidad puede, durante una sesión de video continuo, obtener un nivel aumentado de calidad del servicio. Para reducir el riesgo de que alguien erróneo obtenga una calidad de servicio más alta, la autenticación de sistema del usuario puede hacerse disponible para la aplicación específica. La aplicación puede ser tanto una aplicación provista por el proveedor de red como puede ser una aplicación provista por un proveedor de servicios de tercero. La presente invención asegura que el usuario autenticado es el usuario correcto con acceso a servicios específicos de usuario para todas las aplicaciones que confían en el proveedor/operador de red.
\global\parskip1.000000\baselineskip
Muchas configuraciones diferentes de servicios de usuario pueden ser utilizadas y muchas situaciones de aplicaciones diferentes pueden ser combinadas en este esquema.
La presente invención también asegura que la autenticación de usuario de nivel 3GPP es aplicada también para aplicaciones externas o internas puestas en servicio para el usuario y la invención garantiza que solo el usuario deseado puede acceder al servicio solicitado, por ejemplo solo el usuario correcto debería obtener acceso y pagar por los servicios solicitados, obtener un cierto nivel de calidad de servicio o vinculaciones similares de usuarios/servicios.
La presente invención es aplicable independientemente de si el usuario es un usuario individual que accede a un servicio usando una dirección IP individual o es parte de una sesión de servicio de multidifusión multimedia (MBMS) que usa una dirección de multidifusión IP.
La persona experta en la técnica debería comprende que funciones de servicio diferentes pueden ser usadas solas o en combinación entre si; por ejemplo, las realizaciones ejemplificadas antes pueden ser combinadas en transacciones donde reglas de cargo especiales son aplicables para una sesión de cierta calidad de servicio, vinculando filtros de cargo y decisiones de directrices con diferentes servidores de aplicaciones.
El servidor de aplicaciones específico usado en la transacción puede ser un servidor públicamente disponible, por ejemplo situado en Internet, o puede ser un servidor provisto por el proveedor/operador de red que maneja la red física o virtual. En una realización preferida de la presente invención, el servidor de aplicaciones (AS) 105, 106 y 107 está situado en una infraestructura de red IP. Sin embargo, la persona experta en la técnica ha de comprender que pueden ser posibles otras arquitecturas de red tal como, pero no limitada a, una red X25.
La presente invención se abre para modelos comerciales nuevos, interesantes y más eficientes para proveedores/operadores de redes. Por ejemplo, los operadores pueden ofrecer un servicio cotizado de firma (inscripción) única y puede cargar posiblemente por este servicio de valor añadido hacia usuarios y/o proveedores de servicios de aplicaciones. Otras oportunidades comerciales que pueden ser facilitadas con la presente invención son las soluciones de voz por IP (VoIP: Voice over IP) donde dos o más usuarios (UE) situados dentro de la misma red usarán servicios de voz por IP para comunicar entre sí. En este caso, el sistema establecerá el nivel correcto de calidad de servicio y/o las reglas de cargo mientras que autentica a los usuarios y asegura que las partes correctas y una cantidad correcta serán cargadas.
Estos nuevos modelos comerciales también pueden ser ejemplificados por, pero no limitados a, modelos de cargo específicos de usuarios tales como permitir una cierta magnitud de tráfico gratis y, en un límite especificado por el usuario, el tráfico adicional empieza a costar dinero. También puede ser configurado de tal modo que las N primeras veces que un usuario específico accede a un servicio especifico es gratis. De una forma similar, un usuario puede tener un nivel específico de calidad de servicio cuando usa un servicio específico por un cierto número de veces y/o por un coste específico. Muchas combinaciones y modelos comerciales diferentes pueden ser utilizados a partir de la presente invención y, como es ejemplificado anteriormente, están disponibles varios ofrecimientos o reglas diferentes:
\ding{72}
una oferta de tiempo en la que el servicio de aplicación está disponible durante un tiempo específico;
\ding{72}
una oferta de coste en la que el servicio de aplicación está disponible por un coste específico;
\ding{72}
una oferte de número en el que el servicio de aplicación está disponible un número de veces específico; y
\ding{72}
una oferta de calidad de servicio en la que el servicio de aplicación está disponible con un nivel específico de calidad de servicio.
Estos ofrecimientos pueden ser combinados y/o cambiados dinámicamente dependiendo de criterios predeterminados. Por ejemplo, con respecto a un ofrecimiento o regla de coste, un usuario puede obtener gratis los primeros 10 megabytes (MB) de tráfico por mes, los 10 MB siguientes a un coste específico y los 10 MB siguientes a otro coste, etc. Lo mismo es aplicable también a los otros ejemplos de ofrecimientos. Otros tipos de ofrecimientos o reglas también pueden estar disponibles como debería ser apreciado por la persona experta en la técnica.
El sistema también puede manejar casos diferentes que usan filtros de servicio autenticados, tal como para filtros de carga, por ejemplo un caso puede ser que un usuario ha gastado su cuota gratis de transferencia de MB para el mes y una nueva regla de cargo debería ser establecida dinámicamente durante la sesión.
Una de las ventajas principales de la presente invención es que será mucho más difícil para el fraude de red puesto que la propia red de infraestructura básica asegura la autenticidad del usuario hacia servidores de aplicaciones (tanto servidores específicos de tercero externo como de operador interno), que usan funciones incorporadas de red de comunicación y credenciales de identificación únicas tal como el sistema de identificador internacional de abonado móvil (IMSI) estándar bien comprobado. La presente invención es especialmente aplicable para cuotas de cargo dinámicas y/o individuales o acceso a nivel de calidad de servicio cuando se accede a servidores de aplicaciones.
La Figura 4 ilustra esquemáticamente la topología básica de una red 3GPP. Un usuario 401 se conecta a la infraestructura de comunicación usando un microteléfono 402 denominado frecuentemente un equipo de usuario (UE). Una solicitud IP procedente del usuario 401 es transferida por la infraestructura 408 de red y especialmente a través de un nodo GGSN 405 a un servidor 407 de aplicaciones (AS) por vía, por ejemplo, de una red IP externa 406, tal como Internet.
Todas las funciones y métodos antes mencionados pueden ser implementados en software como conjuntos de instrucciones en una memoria de uno o varios dispositivos computacionales que comprenden al menos una unidad de memoria, unidad de procesamiento, unidad de comunicación y otras unidades opcionales como pueden ser halladas en ordenadores o dispositivos incrustados de aplicaciones de ordenadores.
La persona experta en la técnica debería comprender que otras funciones de autenticación pueden ser usadas, por ejemplo la presente invención no está limitada al sistema de identificador internacional de abonado móvil (IMSI) sino que pueden ser usadas otras credenciales de identificación única.
La persona experta en la técnica también debería comprender que las realizaciones antes mencionadas han sido ilustradas para una red 3GPP pero los mismos conceptos pueden ser aplicables a otras redes de comunicación inalámbrica basadas en paquetes.
Aunque la invención ha sido descrita con detalle con fines de ilustración, ha de comprenderse que tal detalle es únicamente para ese fin y que pueden ser efectuadas variaciones en ella por los expertos en la técnica sin apartarse del alcance de la invención excepto como puede ser limitado por las reivindicaciones siguientes.

Claims (17)

1. Una infraestructura de red de comunicación inalámbrica basada en paquetes, capaz de manejar equipo UE (101, 402) de un usuario, comprendiendo la red:
-
una interfaz de comunicación para comunicar con dicho equipo de usuario (UE);
-
un nodo (205, 405) de soporte de comunicación que recibe comunicación desde dicho UE;
-
un servicio (104) de autenticación en comunicación con dicho nodo de soporte de comunicación y dispuesto para comunicar con un equipo de usuario y al menos un servidor AS de aplicaciones, estando dispuesto dicho servicio de autenticación con una unidad para autenticar a dicho usuario (101, 402),
caracterizada porque dicho servicio (104) de autenticación está dispuesto además para recibir reglas de servicio específicas de usuario desde dicho servidor AS de aplicaciones (105, 106, 107, 407) para dicho usuario; comprendiendo además la infraestructura de red una función de reglas de servicio para recibir dichas reglas de servicio específicas de usuario desde dicho servicio de autenticación y transmitir dichas reglas de servicio específicas de usuario a dicho nodo (205, 405) de soporte de comunicación.
2. La red de comunicación según la reivindicación 1, en la que dicha infraestructura de red es una red 3GPP (Third Generation Partnership Project = Proyecto de Asociación de Tercera Generación).
3. La red de comunicación según la reivindicación 1, en la que dicho nodo de soporte de comunicación es un nodo de servicio GPRS de pasarela (GGSN: Gateway GPRS Serving Node) (205, 405).
4. La red de comunicación según la reivindicación 1, en la que dicho servicio de autenticación es un proxy de autenticación (AP) (104).
5. La red de comunicación según la reivindicación 1, en la que dicha función de reglas de servicio comprende una funcionalidad de reglas de cargo (CRF) (204).
6. La red de comunicación según la reivindicación 1, en la que dicha función de reglas de servicio comprende una funcionalidad de decisión de directrices (PDF).
7. La red de comunicación según cualquiera de las reivindicaciones1 a 6, en la que un usuario es un usuario individual (401) o parte de una sesión de servicio de multidifusión multimedia (MBMS: Multimedia Broadcast Multicast Service) que usa una dirección de multidifusión IP.
8. Un método de intercambio de protocolo de comunicación en una red de telecomunicación, en el que el método de intercambio comprende los pasos de:
-
enviar un número IP de usuario y un número de identificación de usuario a un servicio (104) de autenticación;
-
autenticar a dicho usuario (401) según el método de arquitectura de autenticación genérica en dicho servicio (104) de autenticación;
-
enviar datos de autenticación desde dicho servicio (104) de autenticación a un servidor (105, 106, 107, 407) solicitado por dicho usuario (401); y
-
enviar reglas de servicio para dicho usuario específico desde dicho servicio a un nodo (205, 405) de soporte de comunicación por vía de dicho servicio (104) de autenticación y una función (204) de reglas de servicio.
9. El método de intercambio de protocolo de comunicación según la reivindicación 8, en el que dicho nodo de soporte de comunicación es un nodo de soporte GPRS de pasarela (GGSN: Gateway GPRS Support Node) (205, 405).
10. El método de intercambio de protocolo de comunicación según la reivindicación 8, en el que dicho servicio de autenticación es un proxy de autenticación (AP) (104).
11. El método de intercambio de protocolo de comunicación según la reivindicación 8, en el que dicho número de identificación de usuario es un número de identificador internacional de abonado móvil (IMSI).
12. El método de intercambio de protocolo de comunicación según la reivindicación 8, en el que dicha función de reglas de servicio comprende una funcionalidad de reglas de cargo (CRF) (204).
13. El método de intercambio de protocolo de comunicación según la reivindicación 12, que comprende además los pasos de:
-
transmitir desde un servidor AS de aplicaciones (105, 106, 107, 407) reglas de cargo específicas de usuario a dicho servicio de autenticación (104);
-
transmitir desde dicho servicio de autenticación (104) reglas de cargo específicas de usuario a una función (204) de reglas de cargo dentro de dicha red;
-
transmitir reglas de cargo específicas de usuario desde dicha función (204) de reglas de cargo a un nodo (205) de soporte de comunicación; y
-
facturar al usuario por el uso según dichas reglas de cargo.
14. El método de intercambio de protocolo de comunicación según la reivindicación 8, en el que dicha función de reglas de servicio comprende una funcionalidad de decisión de directrices (PDF).
15. El método de intercambio de protocolo de comunicación según la reivindicación 8, en el que dicho método comprende además los pasos de:
-
enviar reglas de servicio para dicho servidor (105, 106, 107, 407) para dicho usuario a dicho nodo (205, 405) de soporte de comunicación desde dicho servicio (104) de autenticación, y en el que dicho servicio de autenticación comunica la autenticidad de dicho usuario hacia cualquier servidor (105, 106, 107, 407) que es solicitado por dicho usuario (401).
16. El método según la reivindicación 8, en el que un usuario (401) puede ser un usuario individual (401) o parte de una sesión de servicio de multidifusión multimedia (MBMS: Multimedia Broadcast Multicast Service) que usa una dirección de multidifusión IP.
17. Un servicio de autenticación para uso en una infraestructura de red de telecomunicación, que comprende:
-
una interfaz de comunicación para comunicar con un usuario;
-
una interfaz de comunicación para comunicar con una red externa (406);
-
una unidad de memoria que es provista para almacenar conjuntos de instrucciones para:
\bullet
recibir un número IP de usuario y un número de identificación de usuario;
\bullet
autenticar a dicho usuario usando dichos número IP y número de identificación según un método de arquitectura de autenticación genérica;
\bullet
enviar datos de autenticación a un servicio solicitado por dicho usuario, estando dicho servicio situado en dicha red externa (406);
\bullet
recibir reglas de servicio desde dicho servicio solicitado; y
\bullet
enviar dichas reglas de servicio a un nodo de soporte de comunicación.
ES04732322T 2004-05-12 2004-05-12 Sistema de autenticacion. Expired - Lifetime ES2311821T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2004/005107 WO2005109938A1 (en) 2004-05-12 2004-05-12 Authentication system

Publications (1)

Publication Number Publication Date
ES2311821T3 true ES2311821T3 (es) 2009-02-16

Family

ID=34957706

Family Applications (1)

Application Number Title Priority Date Filing Date
ES04732322T Expired - Lifetime ES2311821T3 (es) 2004-05-12 2004-05-12 Sistema de autenticacion.

Country Status (6)

Country Link
US (1) US8621582B2 (es)
EP (1) EP1745667B1 (es)
AT (1) ATE405123T1 (es)
DE (1) DE602004015854D1 (es)
ES (1) ES2311821T3 (es)
WO (1) WO2005109938A1 (es)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1302636C (zh) * 2004-05-12 2007-02-28 华为技术有限公司 一种完善基于业务数据流在线计费的处理方法
CN1299537C (zh) * 2004-06-28 2007-02-07 华为技术有限公司 应用通用鉴权框架对接入拜访网络的用户实现管理的方法
US7916700B2 (en) * 2004-06-30 2011-03-29 Nokia Corporation Dynamic service information for the access network
CN1319317C (zh) * 2004-08-11 2007-05-30 华为技术有限公司 一种基于分组数据流计费的对话建立方法
US8046824B2 (en) 2005-04-11 2011-10-25 Nokia Corporation Generic key-decision mechanism for GAA
CN100379315C (zh) * 2005-06-21 2008-04-02 华为技术有限公司 对用户终端进行鉴权的方法
DE102005037868A1 (de) * 2005-08-10 2007-02-15 Siemens Ag Verfahren und Anordnung zur Vergebührung und Zugangskontrolle in einem Kommunikationsnetzwerk
CN100459734C (zh) * 2006-03-31 2009-02-04 华为技术有限公司 移动通信网络中业务信息决策方法
US8325889B2 (en) * 2006-12-22 2012-12-04 Mobileaxept As Efficient authentication of a user for conduct of a transaction initiated via mobile telephone
US8769284B2 (en) * 2006-12-29 2014-07-01 Nokia Corporation Securing communication
ATE447304T1 (de) * 2007-02-27 2009-11-15 Lucent Technologies Inc Drahtloses kommunikationsverfahren zur steuerung eines mittels sicherheitsvorrichtung gewährten zugangs
CN101110766B (zh) * 2007-03-23 2010-04-21 华为技术有限公司 一种信令ip流承载事件上报的控制方法和功能实体
CN101400059B (zh) * 2007-09-28 2010-12-08 华为技术有限公司 一种active状态下的密钥更新方法和设备
WO2009124587A1 (en) * 2008-04-09 2009-10-15 Nokia Siemens Networks Oy Service reporting
WO2013065037A1 (en) * 2011-09-26 2013-05-10 Elta Systems Ltd. A mobile communication system implementing integration of multiple logins of mobile device applications
RU2012101303A (ru) 2008-06-17 2013-07-27 Диджигейдж Лтд. Система для изменения виртуальных видов
CN101951595A (zh) * 2010-08-23 2011-01-19 中兴通讯股份有限公司 空口引导设置处理方法及系统
CN103002592B (zh) 2011-09-16 2015-08-19 华为技术有限公司 一种回收逆向授予中传输机会控制权的方法及装置
US9009806B2 (en) 2013-04-12 2015-04-14 Globoforce Limited System and method for mobile single sign-on integration
US10681086B2 (en) * 2014-03-11 2020-06-09 Telefonaktiebolaget Lm Ericsson (Publ) Methods, devices and computer programs for subjecting traffic associated with a service to a specific treatment
US20150288659A1 (en) * 2014-04-03 2015-10-08 Bitdefender IPR Management Ltd. Systems and Methods for Mutual Integrity Attestation Between A Network Endpoint And A Network Appliance
GB201512043D0 (en) 2015-07-09 2015-08-19 Microsoft Technology Licensing Llc Client confirmation method and system

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5809141A (en) * 1996-07-30 1998-09-15 Ericsson Inc. Method and apparatus for enabling mobile-to-mobile calls in a communication system
SE520137C2 (sv) * 1997-03-11 2003-06-03 Ericsson Telefon Ab L M Metod och anordning för att från en Internetansluten dator sända sitt telefonnummer till en uppringd telefon med hjälp av en tjänst i en nod
US6608832B2 (en) * 1997-09-25 2003-08-19 Telefonaktiebolaget Lm Ericsson Common access between a mobile communications network and an external network with selectable packet-switched and circuit-switched and circuit-switched services
KR20010099946A (ko) * 1998-12-23 2001-11-09 추후제출 음성/ip를 지원하는 무선 로컬 루프 시스템
FI111208B (fi) * 2000-06-30 2003-06-13 Nokia Corp Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä
US20020099775A1 (en) * 2001-01-25 2002-07-25 Anoop Gupta Server system supporting collaborative messaging based on electronic mail
US20020176377A1 (en) * 2001-05-22 2002-11-28 Hamilton Thomas E. Service platform on wireless network
DE60209858T2 (de) * 2002-01-18 2006-08-17 Nokia Corp. Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
SE0200939D0 (sv) 2002-03-26 2002-03-26 Ericsson Telefon Ab L M A system, an arrangement and a method relating to IP-addressing
US7418596B1 (en) * 2002-03-26 2008-08-26 Cellco Partnership Secure, efficient, and mutually authenticated cryptographic key distribution
US20030226037A1 (en) * 2002-05-31 2003-12-04 Mak Wai Kwan Authorization negotiation in multi-domain environment
ATE352955T1 (de) * 2003-04-04 2007-02-15 Siemens Ag Verfahren zur kontrolle und steuerung mehrerer zur verfügung stehender dezentraler ip-budgets eines teilnehmers in einem paket-basierten kommunikationsnetz bei einer online-vergebührung mit grenzwertüberwachung von datenübertragungen
US7421732B2 (en) * 2003-05-05 2008-09-02 Nokia Corporation System, apparatus, and method for providing generic internet protocol authentication
US7522613B2 (en) * 2003-05-07 2009-04-21 Nokia Corporation Multiplexing media components of different sessions
EP1620995A1 (en) * 2003-05-07 2006-02-01 Nokia Corporation Access flow based charging for ims/poc services
CA2527501A1 (en) * 2003-05-28 2004-12-09 Caymas Systems, Inc. Multilayer access control security system

Also Published As

Publication number Publication date
EP1745667A1 (en) 2007-01-24
ATE405123T1 (de) 2008-08-15
DE602004015854D1 (de) 2008-09-25
WO2005109938A1 (en) 2005-11-17
US8621582B2 (en) 2013-12-31
US20070274522A1 (en) 2007-11-29
EP1745667B1 (en) 2008-08-13

Similar Documents

Publication Publication Date Title
ES2311821T3 (es) Sistema de autenticacion.
US11973746B2 (en) Connecting IMSI-less devices to the EPC
CN104067591B (zh) 用于全球实时远程通信的设备、系统及方法
ES2350365T3 (es) Un método, sistema de comunicación y controlador de recogida que permite la influencia de un tercero en la provisión de un servicio a una estación de usuario.
ES2307047T3 (es) Procedimiento y sistema para la facturacion en base a contenidos en redes ip.
ES2282461T3 (es) Procedimiento y sistema de facturacion gsm para itinerancia wlan.
ES2327902T3 (es) Organizacion de la facturacion de abonados en un sistema de telecomunicacion.
CA2530891C (en) Apparatus and method for a single sign-on authentication through a non-trusted access network
US7054843B2 (en) Method and apparatus in a telecommunications system
US20070177562A1 (en) Method, apparatus and article to remotely associate wireless communications devices with subscriber identities and/or proxy wireless communications devices
US20030206533A1 (en) Terminal and repository in a telecommunications system
EP2120392A1 (en) Certificate authenticating method, certificate issuing device, and authentication device
JP2008500666A (ja) 無線サービスを提供する方法
KR20100102695A (ko) 과금 및 인증 제어 제공 방법 및 장치
ES2288490T3 (es) Metodo y sistema que permiten un servicio de prepago en una red todo-ip.
CN112449316B (zh) 一种漫游计费的处理方法、装置及系统
US7336941B1 (en) System and method for unified accounting for wireless communication networks
KR20180069470A (ko) 이동통신 로밍 요금 정산 방법 및 장치
US7292840B2 (en) Method for ascertaining a billing tariff for a data transfer
WO2004034671A1 (en) Controlling delivery of certificates in a mobile communication system
US7310510B2 (en) Method for ascertaining a billing tariff for billing for a data transfer
US10299121B2 (en) System and method for providing differential service scheme
WO2007140700A1 (fr) Procédé et appareil pour transmettre des informations de facturation
Poikselktä IMS Concepts
ITRM20010039A1 (it) Metodo di autenticazione mediante carta sim per accesso da rete fissa, a servizi telematici.