ES2349292T3 - Procedimiento y servidor para proporcionar una clave de movilidad. - Google Patents
Procedimiento y servidor para proporcionar una clave de movilidad. Download PDFInfo
- Publication number
- ES2349292T3 ES2349292T3 ES06807632T ES06807632T ES2349292T3 ES 2349292 T3 ES2349292 T3 ES 2349292T3 ES 06807632 T ES06807632 T ES 06807632T ES 06807632 T ES06807632 T ES 06807632T ES 2349292 T3 ES2349292 T3 ES 2349292T3
- Authority
- ES
- Spain
- Prior art keywords
- network
- authentication
- origin
- place
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2807—Exchanging configuration information on appliance services in a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Automation & Control Theory (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Saccharide Compounds (AREA)
- Computer And Data Communications (AREA)
Abstract
Procedimiento para proporcionar al menos una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para un agente del lugar de origen con las siguientes etapas: (a) establecimiento de un enlace por radio entre un aparato terminal móvil de abonado (1) y una red de acceso (4), retransmitiendo un servidor de autentificación proxy (8C) de una red intermedia (9), para autentificar un abonado, al menos un mensaje de autentificación, que contiene una identidad del abonado, entre la red de acceso (4) y una red del lugar de origen (12) del abonado y, cuando tiene éxito la autentificación por parte de un servidor de autentificación (11) de la red del lugar de origen (12), memorizando la correspondiente identidad de abonado; (b) recepción de un mensaje de solicitud de registro procedente de un aparato terminal móvil de abonado, que contiene una identidad de abonado, mediante un agente del lugar de origen; (c) envío de un mensaje de solicitud de clave para una clave de movilidad desde el agente del lugar de origen (8B) al correspondiente servidor proxy de autentificación (8C); conteniendo el mensaje de solicitud de clave la identidad de abonado contenida en el mensaje de solicitud de registro; y (d) aportación de una clave de movilidad por parte del servidor proxy de autentificación (8C) para el agente del lugar de origen (8B), cuando la identidad del abonado contenida en el mensaje de solicitud de clave coincida con una de las identidades de abonado memorizadas por el servidor proxy de autentificación (8C).
Description
Procedimiento y servidor para proporcionar una
clave de movilidad.
La invención se refiere a un procedimiento y a
un servidor proxy (representante o intermediario) de autentificación
para proporcionar una clave de movilidad para el aseguramiento
criptográfico de mensajes de señalización de movilidad para un
agente del lugar de origen de una red de telefonía móvil.
Internet, con el protocolo TCP/IP, ofrece una
plataforma para el desarrollo de protocolos de más alto nivel para
el ámbito móvil. Puesto que los protocolos de Internet están muy
difundidos, puede incluirse con las correspondientes ampliaciones
de protocolo para entornos móviles un amplio círculo de usuarios. No
obstante, los protocolos de Internet tradicionales no están
concebidos en su origen para la utilización móvil. En la
conmutación por paquetes de la Internet tradicional se intercambian
los paquetes entre ordenadores fijos, que no modifican su dirección
de red ni migran entre distintas subredes. En redes de radio con
ordenadores móviles se integran a menudo ordenadores móviles MS en
distintas redes. El DHCP (Dynamic Host Configuration Protocol,
protocolo de configuración dinámica de host), posibilita con ayuda
del correspondiente servidor la asignación dinámica de una
dirección de IP y otros parámetros de configuración a un ordenador
en una red. Un ordenador que está integrado en una red, recibe
automáticamente una dirección de IP libre mediante el protocolo
DHCP. Si un ordenador móvil ha instalado DHCP, el mismo debe
simplemente entrar en el alcance de una red local que apoya la
configuración mediante el protocolo DHCP. En el protocolo DHCP es
posible una adjudicación dinámica de direcciones, es decir, se
asigna una dirección de IP libre automáticamente para un tiempo
determinado. Tras transcurrir este tiempo debe formularse de nuevo
la solicitud mediante el ordenador móvil o bien adjudicarse la
dirección de IP de otra manera.
Con DHCP puede integrarse un ordenador móvil sin
configuración manual en una red. Como condición previa debe
simplemente disponerse de un servidor DHCP. Un ordenador móvil puede
así utilizar servicios de la red local y por ejemplo utilizar
ficheros archivados centralmente. No obstante si un ordenador móvil
ofrece por si mismo servicios, es posible que un potencial usuario
de los servicios no encuentre el ordenador móvil, ya que su
dirección de IP se modifica en cada red en la que se aloja el
ordenador móvil. Lo mismo sucede cuando se modifica una dirección
de IP durante un enlace TCP existente. Esto da lugar a la
interrupción del enlace. Por ello en IP móvil se asigna a un
ordenador móvil una dirección de IP que el mismo mantiene también en
otra red. En un cambio de red de IP tradicional es necesario
adaptar correspondientemente los ajustes de las direcciones de IP.
Pero una adaptación permanente de configuraciones de IP y de
enrutamiento en el aparato terminal es casi imposible manualmente.
En los mecanismos de configuración automáticos tradicionales se
interrumpe el enlace existente cuando hay un cambio de la dirección
de IP. El protocolo MIP (RFC 2002, RFC 2977, RFC 3344, RFC 3846,
RFC 3957, RFC3775, RFC 3776, RFC4285) apoya la movilidad de aparatos
terminales móviles. En los protocolos de IP tradicionales debe
adaptar el aparato terminal móvil cada vez su dirección de IP cuando
cambia la subred de IP, para que los paquetes de datos
direccionados al aparato terminal móvil se enruten correctamente.
Para mantener un enlace TCP existente, debe conservar el aparato
terminal móvil su dirección de IP, ya que un cambio de dirección da
lugar a una interrupción del enlace. El protocolo MIP elimina este
conflicto al permitir a un aparato terminal móvil o bien a un nodo
móvil (MN) poseer dos direcciones de IP. El protocolo MIP
posibilita un enlace transparente entre ambas direcciones, es decir,
una dirección Home (del lugar de origen) permanente y una segunda
dirección care-of temporal o dinámica. La dirección
care-of es la dirección de IP bajo la cual puede
llegarse al aparato terminal móvil en ese momento.
Un agente del lugar de origen (Home Agent) es
quien representa al aparato terminal móvil siempre que el aparato
terminal móvil no se encuentre en la red del lugar de origen
inicial. El agente del lugar de origen está informado
permanentemente sobre el lugar de estancia actual del ordenador
móvil. El agente del lugar de origen es usualmente un componente de
un router (enrutador) en la red del lugar de origen del aparato
terminal móvil. Cuando el aparato terminal móvil se encuentra fuera
de la red del lugar de origen, proporciona el agente del lugar de
origen una función para que pueda anunciarse el aparato terminal
móvil. Entonces retransmite el agente del lugar de origen los
paquetes de datos direccionados al aparato terminal móvil a la
subred actual del aparato terminal
móvil.
móvil.
Un agente ajeno (Foreign Agent) se encuentra en
la subred en la que se mueve el aparato terminal móvil. El agente
ajeno retransmite los paquetes de datos que llegan al aparato
terminal móvil o bien al ordenador móvil. El agente ajeno se
encuentra en una llamada red ajena (Visited Network). El agente
ajeno es igualmente por lo general un componente de un enrutador.
El agente ajeno enruta todos los paquetes de datos móviles
administrativos entre el aparato terminal móvil y su agente del
lugar de origen. El agente ajeno desempaqueta los paquetes de datos
de IP tunelados enviados por el agente del lugar de origen y
retransmite sus datos al aparato terminal móvil.
La dirección del lugar de origen del aparato
terminal móvil es la dirección bajo la que puede llegarse
permanentemente al aparato terminal móvil. La dirección del lugar
de origen tiene el mismo prefijo de dirección que el agente del
lugar de origen. La dirección care-of es aquella
dirección de IP que utiliza el aparato terminal móvil en la red
ajena.
El agente del lugar de origen gestiona una
llamada tabla de enlace de movilidad (MBT: Mobility Binding Table).
Los registros en esta tabla sirven para asociar entre sí ambas
direcciones, es decir, la dirección del lugar de origen y la
dirección care-of de un aparato terminal móvil y
derivar correspondientemente los paquetes de datos. La tabla MBT
contiene registros sobre la dirección del lugar de origen, la
dirección care-of y una indicación sobre el espacio
de tiempo durante el que esta asociación es válida (life time o
tiempo de vida). La figura 1 muestra un ejemplo de una tabla de
enlace de mobilidad según el estado de la técnica.
El agente ajeno (FA) contiene una lista de
visitantes o Visitor List (VL: Visitor List) que contiene
informaciones sobre los aparatos terminales móviles que se
encuentran en ese momento en la red de IP del agente ajeno. La
figura 2 muestra un ejemplo de una tal lista de visitantes según el
estado de la técnica.
Para que un ordenador móvil pueda integrarse en
una red, debe primeramente saber si se encuentra en su red del
lugar de origen o en una red ajena. Adicionalmente debe saber el
aparato terminal móvil qué ordenador es en la subred el agente del
lugar de origen o el agente ajeno. Estas informaciones se averiguan
mediante un llamado Agent-Discovery (descubrimiento
de agente).
Mediante el subsiguiente registro, puede
comunicar el aparato terminal móvil su lugar de estancia actual a
su agente del lugar de origen. Para ello envía el ordenador móvil o
el aparato terminal móvil al agente del lugar de origen la
dirección care-of actual. Para su registro, envía el
ordenador móvil un Registration-Request o solicitud
de registro al agente del lugar de origen. El agente del lugar de
origen (HA) registra la dirección care-of en su
lista y responde con una Registration Reply o respuesta de registro.
Evidentemente existe aquí un problema de seguridad. Puesto que
básicamente cualquier ordenador puede enviar a un agente del lugar
de origen una solicitud de registro, podría alguien simular de
manera sencilla ante un agente del lugar de origen que un ordenador
se ha movido hasta otra red. Así podría tomar un ordenador ajeno
todos los paquetes de datos de un ordenador móvil o aparato
terminal móvil sin que un emisor se entere de ello. Para evitar
esto, disponen el ordenador móvil y el agente del lugar de origen
de claves comunes secretas. Cuando vuelve un ordenador móvil a su
red del lugar de origen, se borra el mismo del registro del agente
del lugar de origen, ya que el ordenador móvil puede tomar por sí
mismo directamente todos los paquetes de datos. Una red de radio
móvil debe presentar entre otras las siguientes características de
seguridad. Las informaciones sólo deben hacerse accesibles a los
interlocutores de comunicación deseados, es decir, los escuchantes
no deseados no deben obtener acceso alguno a los datos
transmitidos. Por lo tanto, la red de telefonía móvil debe disponer
de la característica de la confidencialidad (Confidentiality).
Además, debe existir autenticidad. La autenticidad (Authenticity)
permite a un interlocutor de comunicación detectar de forma
indudable si se ha establecido efectivamente una comunicación con
un interlocutor de comunicación deseado o si se hace pasar por
interlocutor de comunicación un tercero ajeno. Las
autentificaciones pueden realizarse por cada mensaje o por cada
enlace. Si se realiza la autentificación en base a enlaces,
entonces sólo se identifica el interlocutor de comunicación al
comienzo de una sesión. Para lo que sigue a continuación en la
sesión se supone que los siguientes mensajes siguen procediendo del
correspondiente emisor. Incluso cuando se ha fijado la identidad de
un interlocutor de comunicación, es decir, cuando el interlocutor
de comunicación está autentificado, puede presentarse el caso de que
este interlocutor de comunicación no tenga autorización para
acceder a todos los recursos o bien no tenga autorización para
utilizar todos los servicios a través de la red. Una correspondiente
autorización presupone en este caso una autentificación precedente
del interlocutor de comunicación.
En redes de datos móviles deben recorrer los
mensajes largos trayectos a través de interfaces de aire y con
ello son fácilmente accesibles para potenciales atacantes. En redes
inalámbricas y de datos móviles juegan por lo tanto los aspectos de
seguridad un papel especial. Un medio esencial para aumentar la
seguridad en redes de datos son las técnicas de encriptado.
Mediante el encriptado es posible transmitir datos a través de vías
de comunicación inseguras, por ejemplo a través de interfaces de
aire, sin que terceros no autorizados logren acceso a los datos.
Para el encriptado se transforman los datos, es decir, el llamado
texto claro o explícito, con ayuda de un algoritmo de codificación
en texto cifrado. El texto encriptado puede transportarse a través
del canal de transmisión de datos inseguro y a continuación
desencriptarse o descifrarse.
Como tecnología de acceso inalámbrica muy
prometedora se propone WiMax (Worldwide Interoperability for
Microwave Access, interoperabilidad mundial para acceso por
microondas) como nuevo estándar que para la transmisión por radio
utiliza IEEE 802.16. Con WiMax debe poder alimentarse con estaciones
emisoras una zona de hasta 50 km con velocidades de datos superiores
a 100 Mbit por segundo.
La figura 3 muestra un modelo de referencia para
una red de radio WiMax. Un aparato terminal móvil MS se encuentra
en la zona de una red de acceso (ASN: Access Serving Network). La
red de acceso ASN está conectada a través de al menos una red
visitada (Visited Connectivity Service Network VCSN, red de servicio
de conectividad visitada) o bien red intermedia con una red del
lugar de origen HCSN (Home Connectivity Service Network, red de
servicio de conectividad del lugar de origen). Las distintas redes
están conectadas entre sí mediante interfaces o bien puntos de
referencia R. El agente del lugar de origen HA de la estación móvil
MS se encuentra en la red del lugar de origen HCSN o en una de las
redes visitadas VCSN.
WiMax apoya dos variantes de realización de IP
móvil, la llamada Client MIP (CMIP), en la que la propia estación
móvil realiza la función de cliente MIP, y Proxy-MIP
(PMIP), en la que la función MIP-Client está
realizada por la red de acceso WiMax. La funcionalidad prevista
para ello en la ASN se denomina Proxy Mobile Node (PMN), nodo móvil
proxy o PMIP-Client. De esta manera puede utilizarse
MIP también con estaciones móviles que por sí mismas no apoyan
ningún MIP.
La figura 4 muestra el establecimiento del
enlace en Proxy-MIP, cuando el agente del lugar de
origen se encuentra en la red visitada, según el estado de la
técnica.
Tras establecerse el enlace por radio entre el
aparato terminal móvil y una estación de base, se realiza
primeramente una autentificación de acceso. La función de la
autentificación, de la autorización y de la contabilidad se realiza
mediante los dos servidores AAA (AAA: Authentication Authorization
and Accounting). Entre el aparato terminal móvil MS y el servidor
AAA de la red del lugar de origen (HAAA) se intercambian mensajes de
autentificación mediante los cuales se obtienen la dirección del
agente del lugar de origen y una clave de autentificación. El
servidor de autentificación en la red del lugar de origen contiene
los datos del perfil del abonado. El servidor AAA recibe un mensaje
de solicitud de autentificación, que contiene una identidad de
abonado correspondiente al aparato terminal móvil. El servidor AAA
genera, cuando ha tenido éxito la autentificación de acceso, una
clave MSK (MSK: Master Session Key, clave maestra de sesión) para
proteger la sección de transmisión de datos entre el aparato
terminal móvil MS y la estación de base de la red de acceso ASN.
Esta clave MSK es transmitida por el servidor AAA de la red del
lugar de origen a través de la red intermedia CSN a la red de acceso
ASN.
Tras la autentificación de acceso, tal como se
ve en la figura 4, se configura el servidor
DHCP-Proxy en la red de acceso ASN. En el caso de
que la dirección de IP y la configuración Host estén ya contenidos
en el mensaje de respuesta AAA, se descarga toda la información en
el servidor DHCP-Proxy.
Tras una autentificación y autorización con
éxito, envía la estación móvil o bien el aparato terminal móvil MS
un mensaje DHCP Discovery (descubrimiento DHCP) y se realiza una
asignación de direcciones de IP.
En el caso de que la red de acceso ASN apoye
tanto PMIP como también la movilidad CMIP, informa el agente ajeno
sobre la función de transferencia ASN
(ASN-Handover), enviando un mensaje de contexto de
movilidad R3. En redes que sólo apoyan PMIP puede renunciarse a
ello. Una vez que se ha leído la dirección del lugar de origen, se
retransmite la misma al PMIP-Client.
A continuación se realiza un registro MIP. En el
registro se informa al agente del lugar de origen sobre el lugar de
estancia actual del aparato terminal móvil. Para el registro envía
el ordenador móvil la solicitud de registro al agente del lugar de
origen que contiene la dirección care-of actual. El
agente del lugar de origen registra la dirección
care-of en una lista que él mismo gestiona y
contesta con una respuesta de registro (Registration Reply). Puesto
que básicamente cualquier ordenador puede enviar a un agente del
lugar de origen solicitudes de registro, podría simularse
fácilmente ante un agente del lugar de origen que un ordenador se
ha movido hasta otra red. Para evitar esto disponen tanto el
ordenador móvil como también el agente del lugar de origen de una
clave secreta común, es decir, una clave MIP. En el caso de que el
agente del lugar de origen (HA) no conozca la clave MIP, la
establece él mismo, para lo cual comunica con un servidor AAA del
lugar de origen.
Tras finalizar el establecimiento del enlace
representado en la figura 4, ha recibido ya el aparato terminal
móvil una dirección del lugar de origen y está registrado en el
agente del lugar de origen.
El establecimiento de un enlace representado en
la figura 4 no es posible, evidentemente, cuando el servidor AAA
del lugar de origen no aporta los atributos o datos esperados por el
protocolo WiMax. Si por ejemplo el servidor AAA del lugar de origen
es un servidor 3GPP o cualquier otro servidor AAA que no apoya WiMax
Interworking (interacción), entonces el mismo no está en
condiciones de proporcionar los atributos de datos necesarios para
el registro MIP, en particular la dirección del lugar de origen y
una clave criptográfica. El agente del lugar de origen HA no recibe
así ninguna clave MIP (MSK: Master Session Key) y rechaza al
abonado.
Un procedimiento para proporcionar una clave de
movilidad se conoce por el documento: NAKHJIRI Madjid, EAP based
Proxy Mobile IP Key bootstrapping for WIMAX, Internet Draft, enero
2005.
Es por lo tanto la tarea de la presente
invención lograr un procedimiento para proporcionar una clave de
movilidad para una red de telefonía móvil en la que el servidor de
autentificación de la red del lugar de origen no apoya ningún
registro MIP.
Esta tarea se resuelve según la invención
mediante un procedimiento con las características indicadas en la
reivindicación 1.
La invención logra un procedimiento para
proporcionar al menos una clave de movilidad para el aseguramiento
criptográfico de mensajes de señalización de movilidad para un
agente del lugar de origen con las siguientes etapas:
- -
- establecimiento de un enlace por radio entre un aparato terminal móvil de abonado y una red de acceso,
- retransmitiendo un servidor de autentificación proxy de una red intermedia, para autentificar un abonado, al menos un mensaje de autentificación, que contiene una identidad del abonado, entre la red de acceso y una red del lugar de origen del abonado y, cuando tiene éxito la autentificación por parte de un servidor de autentificación de la red del lugar de origen, memorizando la correspondiente identidad de abonado;
- -
- recepción de un mensaje de solicitud de registro procedente de un aparato terminal móvil de abonado, que contiene una identidad de abonado, mediante un agente del lugar de origen;
- -
- envío de un mensaje de solicitud de clave para una clave de movilidad desde el agente del lugar de origen al correspondiente servidor proxy de autentificación,
- conteniendo el mensaje de solicitud de clave la identidad de abonado contenida en el mensaje de solicitud de registro; y
- -
- aportación de una clave de movilidad por parte del servidor proxy de autentificación para el agente del lugar de origen, cuando la identidad del abonado contenida en el mensaje de solicitud de clave coincida con una de las identidades de abonado memorizadas por el servidor proxy de autentificación.
En una forma de ejecución preferente del
procedimiento correspondiente a la invención, se genera la clave de
movilidad aleatoriamente mediante el servidor proxy de
autentificación.
En una forma de ejecución preferente del
procedimiento correspondiente a la invención, transmite el servidor
de autentificación de la red del lugar de origen, cuando ha tenido
éxito la autentificación, una clave MSK contenida en un mensaje de
autentificación a través del servidor proxy de autentificación a un
cliente de autentificación de la red de acceso.
En una forma de ejecución alternativa del
procedimiento correspondiente a la invención, no genera la clave de
movilidad el servidor proxy de autentificación aleatoriamente, sino
mediante el servidor proxy de autentificación a partir de la clave
MSK transmitida.
En una forma de ejecución del procedimiento
correspondiente a la invención, forma la clave de movilidad una
parte de la clave MSK transmitida.
En una forma de ejecución alternativa del
procedimiento correspondiente a la invención, la clave de movilidad
es idéntica a la clave MSK transmitida.
En una forma de ejecución del procedimiento
correspondiente a la invención, se transmiten los mensajes de
autentificación según un protocolo de transmisión de datos
Radius.
En una forma de ejecución alternativa del
procedimiento correspondiente a la invención, se transmiten los
mensajes de autentificación según un protocolo de transmisión de
datos Diameter.
En una forma de ejecución preferente del
procedimiento correspondiente a la invención, se forma la red de
acceso mediante una red de acceso WiMax
ASN.
ASN.
En una forma de ejecución preferente del
procedimiento correspondiente a la invención, se forma la red
intermedia mediante una red intermedia WiMax CSN.
En una primera forma de ejecución del
procedimiento correspondiente a la invención, la red del lugar de
origen es una red 3GPP.
En una forma de ejecución alternativa del
procedimiento correspondiente a la invención, se forma la red del
lugar de origen mediante una red que proporciona una infraestructura
AAA para abonados WLAN (red WLAN).
En una forma de ejecución preferente del
procedimiento correspondiente a la invención, se forma la identidad
del abonado mediante un identificador de acceso a la red NAI Network
Access Identifier).
En una forma de ejecución alternativa del
procedimiento correspondiente a la invención, se forma la identidad
del abonado mediante una dirección del lugar de origen del
abonado.
En una forma de ejecución preferente del
procedimiento correspondiente a la invención se proporciona la clave
de movilidad adicionalmente a un cliente PMIP de la red de
acceso.
En una forma de ejecución preferente del
procedimiento correspondiente a la invención, se encuentran varias
redes intermedias entre la red de acceso y la red del lugar de
origen.
En una primera forma de ejecución del
procedimiento correspondiente a la invención, se encuentra el agente
del lugar de origen en la red del lugar de origen.
En una forma de ejecución alternativa del
procedimiento correspondiente a la invención, se encuentra el agente
del lugar de origen en una de las redes intermedias.
En una primera forma de ejecución del
procedimiento correspondiente a la invención se prevé el servidor
proxy de autentificación en la red del lugar de origen.
En una forma de ejecución alternativa del
procedimiento correspondiente a la invención está previsto el
servidor proxy de autentificación en una de las redes
intermedias.
La invención logra además un servidor proxy de
autentificación para proporcionar una clave de movilidad para un
aseguramiento criptográfico de mensajes de señalización de
movilidad, memorizando el servidor proxy de autentificación, una
vez realizada la autentificación de un abonado, su correspondiente
identidad de abonado y tras la recepción de un mensaje de solicitud
de clave para una clave de movilidad de un agente de movilidad,
proporciona una clave de movilidad cuando una identidad de abonado
contenida en el mensaje de solicitud de la clave coincide con una de
las identidades de abonado memorizadas.
A continuación se describen formas constructivas
preferentes del procedimiento correspondiente a la invención y del
servidor proxy de autentificación correspondiente a la invención con
referencia a las figuras adjuntas para describir características
esenciales para la invención. Se muestra en:
figura 1 un ejemplo de una tabla de enlace de
movilidad según el estado de la técnica;
figura 2 un ejemplo de una lista de visitantes
según el estado de la técnica;
figura 3 una estructura de red de referencia
para una red de radio WiMax;
figura 4 el establecimiento de un enlace en una
red WiMax tradicional según el estado de la técnica;
figura 5 una estructura de red según una forma
de ejecución preferente del procedimiento correspondiente a la
invención;
figura 6 un diagrama secuencial para describir
la forma de funcionamiento del procedimiento correspondiente a la
invención;
figura 7 otro diagrama secuencial para describir
la forma de funcionamiento del procedimiento correspondiente a la
invención;
figura 8 un diagrama para describir la forma de
funcionamiento del procedimiento correspondiente a la invención.
Tal como puede observarse en la figura 5, está
conectado un aparato terminal móvil 1 a través de una interfaz
inalámbrica 2 con una estación de base 3 de una red de acceso 4. El
aparato terminal móvil 1 es un aparato terminal móvil cualquiera,
por ejemplo un laptop, una PDA, un teléfono móvil u otro tipo de
aparato terminal móvil. La estación de base 3 de la red de acceso 4
está conectada mediante una línea de transmisión de datos 5 con una
pasarela (gateway) de la red de acceso 6. En el ordenador de la
pasarela de acceso 6 están integradas preferiblemente otras
funcionalidades, en particular un agente ajeno 6A, un cliente PMIP
6B, un servidor de cliente AAA 6C y un servidor proxy DHCP 6D. El
agente ajeno 6A es un enrutador, que proporciona servicios de
enrutamiento al aparato terminal móvil 1. Los paquetes de datos
dirigidos al aparato terminal móvil 1 son transmitidos tunelados y
son desempaquetados por el agente ajeno 6A.
La pasarela 6 de la red de acceso 4 está
conectada a través de una interfaz 7 con un ordenador 8 de una red
intermedia 9. El ordenador 8 contiene un servidor DHCP 8A, un agente
del lugar de origen 8B y un servidor proxy AAA 8C. El agente del
lugar de origen 8B es el representante del aparato terminal móvil 1
cuando éste no se encuentra en su red del lugar de origen inicial.
El agente del lugar de origen 8B está informado continuamente sobre
el lugar de estancia actual del ordenador móvil 1. Los paquetes de
datos para el aparato terminal móvil 1 se transmiten primeramente
al agente del lugar de origen y desde el agente del lugar de origen
se retransmiten tunelados al agente ajeno 6A. A la inversa, pueden
enviarse paquetes de datos emitidos por el aparato terminal móvil 1
directamente al correspondiente interlocutor de comunicación. Los
paquetes de datos del aparato terminal móvil 1 contienen entonces
la dirección del lugar de origen como dirección del remitente. La
dirección del lugar de origen tiene el mismo prefijo de dirección,
es decir, dirección de red y dirección de subred, que el agente del
lugar de origen 8B. Los paquetes de datos que se envían a la
dirección del lugar de origen del aparato terminal móvil 1 son
captados por el agente del lugar de origen 8B y tunelados desde el
agente del lugar de origen 8B a la dirección
care-of del aparato terminal móvil 1 y finalmente
recibidos en el punto terminal del túnel, es decir, por el agente
ajeno 6A o por el propio aparato terminal móvil.
El ordenador 8 de la red intermedia 9 está
conectado a través de otra interfaz 10 con un servidor de
autentificación 11 de una red del lugar de origen 12. La red del
lugar de origen es por ejemplo una red 3GPP para UMTS. En una forma
de ejecución alternativa, el servidor 11 es un servidor de
autentificación de una red WLAN. El servidor de autentificación 11
representado en la figura 5 no apoya ningún registro MIP.
Tan pronto como el servidor proxy AAA 8C del
ordenador 8 detecta que el servidor AAA 11 de la red del lugar de
origen 12 no apoya ningún MIP (CMIP/PMIP), se pone a disposición una
clave de movilidad para el aseguramiento criptográfico de mensajes
de señalización de movilidad para el agente del lugar de origen 8B
según el procedimiento correspondiente a la invención. El servidor
proxy AAA 8B detecta la falta de apoyo CMIP/PMIP por ejemplo en que
no se aporta ningún atributo MIP desde el servidor 11 de la red del
lugar de origen 12 a raíz de su consulta. Para el aseguramiento
criptográfico de mensajes de señalización de movilidad, se necesita
una clave de movilidad común (clave MIP) para el agente del lugar
de origen 8B y el aparato terminal móvil 1 para el caso del PMIP o
bien una clave de movilidad común para el agente del lugar de origen
8B y un cliente PMIP 6B para el caso del PMIP. Si la red del lugar
de origen 12 es capaz de Interworking WiMax, recibe el agente del
lugar de origen 8B esta clave MIP del servidor AAA de la red del
lugar de origen 12. Desde luego si, tal como se representa en la
figura 5, el servidor AAA 11 no está en condiciones de proporcionar
en base a la correspondiente consulta del agente del lugar de
origen 8B los atributos MIP necesarios, se activa el procedimiento
correspondiente a la invención. El servidor AAA 3GPP 11, tal como
se representa en la figura 5, no puede proporcionar ninguna clave
criptográfica correspondiente para asegurar mensajes de señalización
de movilidad, puesto que el mismo no puede interpretar la consulta
del agente del lugar de origen 8B. En el procedimiento
correspondiente a la invención se deja sin modificar el servidor de
autentificación 11 de la red del lugar de origen 12, que no es
capaz para WiMax, y se proporciona la clave de movilidad mediante el
servidor proxy AAA 8C al agente del lugar de origen 8B. Una vez que
se ha detectado que el servidor de autentificación 11 de la red del
lugar de origen 12 no proporciona ninguna clave de movilidad, se
activa una llamada funcionalidad
Proxy-Home-MIP y para esta sesión
AAA se crea un bloque de datos local por parte del servidor proxy de
autentificación 8C. La funcionalidad necesaria para PMIP/CMIP no es
puesta a disposición por lo tanto según la invención por el
servidor de autentificación 11 de la red del lugar de origen 12,
sino por el servidor proxy AAA de la red intermedia 9, que se
encuentra en la ruta de comunicación entre el servidor de
autentificación 11 de la red 3GPP y la pasarela 6 de la red de
acceso 4.
La figura 6 muestra un diagrama secuencial para
la autentificación de un aparato terminal móvil 1 en una forma de
ejecución del procedimiento correspondiente a la invención.
Tras la etapa de arranque S0, se establece en la
etapa S1 primeramente un enlace por radio entre el aparato terminal
móvil 1 y una estación de base 3 de la red de acceso 4 en la etapa
S1. A continuación se retransmiten en la etapa S2 mensajes de
autentificación entre la red de acceso 4 y la red del lugar de
origen 12 mediante el servidor proxy de autentificación 8C de la
red intermedia 9. Los mensajes de autentificación contienen una
identidad del abonado para identificar el correspondiente aparato
terminal móvil 1. La identidad de abonado es por ejemplo un
identificador del acceso a la red NAI. Alternativamente se forma la
identidad del abonado por ejemplo mediante una dirección del lugar
de origen del aparato terminal móvil 1. Los mensajes de
autentificación retransmitidos por el servidor proxy AAA 8C llegan
al servidor de autentificación 11 de la red del lugar de origen 12.
El servidor de autentificación 11 de la red del lugar de origen 12
ejecuta entonces la autentificación del abonado. Si la
autentificación tiene éxito, envía el servidor de autentificación 11
el correspondiente mensaje a través del servidor proxy de
autentificación 8C de la red intermedia 9 a la red de acceso 4. En
la etapa S3 comprueba el servidor PROXY de autentificación 8C de la
red intermedia 9 si la autentificación por parte del servidor de
autentificación 11 de la red del lugar de origen 12 ha terminado con
éxito. Esto lo detecta el mismo por ejemplo en base al
correspondiente aviso de éxito (Success) del servidor de
autentificación 11. Si detecta el servidor proxy de autentificación
8C en base a los mensajes transmitidos desde la red del lugar de
origen 12 a la red de acceso 4 que la autentificación de un abonado
ha terminado con éxito, se extrae y memoriza transitoriamente
mediante el servidor proxy de autentificación 8C en la etapa 4 la
correspondiente identidad de abonado.
El proceso finaliza en la etapa S5. El servidor
proxy AAA 8C memoriza así todas las identidades de abonado
correspondientes a abonados o bien aparatos terminales móviles 1
cuya autentificación ha terminado con éxito.
Tal como puede observarse en la figura 7, cuando
tras una etapa de arranque S6 recibe el agente del lugar de origen
8B en un instante posterior un mensaje de solicitud de registro,
envía el agente del lugar de origen 8B en la etapa S8 el
correspondiente mensaje de solicitud de clave a su servidor proxy de
autentificación 8C. En el mensaje de solicitud de registro recibido
está contenida la identidad de abonado de un aparato terminal móvil
1. El correspondiente mensaje de solicitud de clave generado en base
a ello por parte del agente del lugar de origen 8B en el servidor
proxy de autentificación 8C incluye igualmente esta identidad de
abonado. El servidor proxy de autentificación 8C comprueba en la
etapa S9 si la identidad de abonado incluida en el mensaje de
solicitud de clave coincide con una de las identidades de abonado
que él ha memorizado en la etapa S4. Si es éste el caso,
proporciona el servidor Proxy de autentificación 8C en la etapa S10
una clave de movilidad para el aseguramiento criptográfico de
mensajes de aseguramiento de movilidad. El servidor proxy de
autentificación 8C transmite la clave de movilidad proporcionada al
agente del lugar de origen 8B. Preferiblemente se transmite también
la clave de movilidad a un servidor de cliente de autentificación 6D
de la red de acceso 4. El proceso finaliza en la etapa S11.
La clave de movilidad proporcionada en la etapa
S10 se genera aleatoriamente en una primera forma de ejecución del
procedimiento correspondiente a la invención mediante el servidor
proxy de autentificación 8C.
En una forma de ejecución alternativa, deriva el
servidor proxy de autentificación 8C la clave de movilidad (clave
MIP) de una clave MSK (Master Session Key), que ha retransmitido el
servidor proxy de autentificación 8C a la red de acceso 4. Entonces
puede derivarse la clave MIP de la clave MSK según una función
cualquiera de derivación de claves, por ejemplo mediante una
función Hash. La función Hash reduce datos de cualquier tamaño a
una llamada huella digital. Un ejemplo de una tal función Hash es
SHA-1. Al respecto se reproducen datos de un máximo
de 2^{64} bits a 160 bits. Una función Hash alternativa es MD5.
MD5 divide, al igual que SHA-1, la entrada en
bloques de un tamaño de 500 bits y genera valores Hash de un tamaño
de 128 bits.
En una forma de ejecución alternativa se forma
la clave de movilidad proporcionada mediante una parte de la clave
MSK 12 recibida del servidor proxy de autentificación 8C.
En otra forma de ejecución alternativa la clave
de movilidad proporcionada es idéntica a la clave MSK
transmitida.
Los mensajes de autentificación se transmiten en
formas de ejecución preferentes según el protocolo Radius o
Diameter.
En el procedimiento correspondiente a la
invención ofrece la red intermedia 9 la funcionalidad MIP del lugar
de origen, en el caso de que la misma no sea apoyada por la red del
lugar de origen 12. De esta manera es posible, incluso en redes del
lugar de origen que no apoyan ningún MIP, por ejemplo en redes 3GPP,
la macromovilidad basada en MIP. MIP se utiliza dentro de la red de
acceso 4 y de la red intermedia 9 para realizar una transferencia
(handover) entre distintas redes de acceso 4. En el registro MIP del
agente ajeno 6a consulta el agente del lugar de origen 8B de la red
intermedia 9 la clave de movilidad al correspondiente servidor proxy
de autentificación 8C. El mismo utiliza entonces la correspondiente
identidad de abonado, es decir, por ejemplo una identificación de
acceso a red NAI (Network Access Identifier) o la dirección del
lugar de origen del aparato terminal móvil 1. Este mensaje de
solicitud de clave es respondido por el servidor proxy de
autentificación 8C, en el caso de que esté establecido el
correspondiente bloque de datos. Para que el servidor proxy de
autentificación 8C pueda proporcionar la correspondiente clave,
está diseñado tal que el mismo interpreta los mensajes que se
intercambian entre el servidor de autentificación 11 de la red del
lugar de origen 12 y un autentificador en la red de acceso 4 durante
la autentificación del aparato terminal móvil 1.
El agente del lugar de origen 8B se encuentra
preferiblemente, tal como se representa en la figura 5, en la red
intermedia 9. En una forma de ejecución alternativa, se encuentra el
agente del lugar de origen 8B en la red del lugar de origen 12.
En una forma de ejecución alternativa del
procedimiento correspondiente a la invención, se utiliza como
funcionalidad de IP móvil IPV6 móvil [RFC3775].
En una forma de ejecución preferente del
procedimiento correspondiente a la invención, la clave de movilidad
es consultada por el agente del lugar de origen 8B sólo una vez
mediante un mensaje de solicitud de clave del servidor proxy de
autentificación 8C.
Con el procedimiento correspondiente a la
invención es posible la utilización de servidores AAA Legacy
(heredados), como por ejemplo servidores WLAN o 3GPP para redes
WiMax, aun cuando estos servidores no proporcionan la funcionalidad
CMIP/PMIP esperada de redes WiMax. Con el procedimiento
correspondiente a la invención es posible una macromovilidad basada
en PMIP pese a la utilización de servidores AAA Legacy en la red del
lugar de origen 12. Un operador de red de una red WLAN o 3GPP no
tiene por lo tanto que apoyar por sí mismo en general PMIP y puede
no obstante posibilitar a su cliente un Roaming/Interworking
(itinerancia/interoperación) con redes de radio WiMax. Con el
procedimiento correspondiente a la invención es en particular
posible con el apoyo PMIP permitir también Interworking a aparatos
terminales sin el apoyo de IP WiMax móvil. En particular, posibilita
el procedimiento correspondiente a la invención un interworking
WiMax-3GPP análogo al acceso WLAN directo IP
especificado actualmente.
La figura 8 muestra un diagrama de flujo de
mensajes de una forma de ejecución preferente del procedimiento
correspondiente a la invención. Cuando durante la autentificación de
acceso el servidor de autentificación de la red del lugar de
origen, por ejemplo de una red 3GPP, no aporta ninguna dirección del
agente del lugar de origen, entonces crea el servidor de
autentificación de la red visitada la dirección del lugar de origen
para el agente del lugar de origen de la red intermedia y crea un
estado para la posterior solicitud de la clave de movilidad por
parte del agente del lugar de origen 8B de la red intermedia. Los
datos de estado contienen una identidad de abonado. Las etapas 16b,
17a representadas en la figura 4, es decir, la solicitud de la clave
de movilidad por parte del agente del lugar de origen 8B al
servidor de autentificación 11 de la red del lugar de origen 12 y
la correspondiente respuesta, se suprimen en el procedimiento
correspondiente a la invención. El mensaje de solicitud de clave,
que contiene la identidad del abonado, se contesta en el
procedimiento correspondiente a la invención mediante el servidor
proxy de autentificación 8C de la red intermedia 9. El procedimiento
correspondiente a la invención posibilita así una gestión de
macromovilidad en redes WiMax sin el apoyo de la red del lugar de
origen.
Claims (26)
1. Procedimiento para proporcionar al menos una
clave de movilidad para el aseguramiento criptográfico de mensajes
de señalización de movilidad para un agente del lugar de origen con
las siguientes
etapas:
etapas:
- (a)
- establecimiento de un enlace por radio entre un aparato terminal móvil de abonado (1) y una red de acceso (4),
- retransmitiendo un servidor de autentificación proxy (8C) de una red intermedia (9), para autentificar un abonado, al menos un mensaje de autentificación, que contiene una identidad del abonado, entre la red de acceso (4) y una red del lugar de origen (12) del abonado y, cuando tiene éxito la autentificación por parte de un servidor de autentificación (11) de la red del lugar de origen (12), memorizando la correspondiente identidad de abonado;
- (b)
- recepción de un mensaje de solicitud de registro procedente de un aparato terminal móvil de abonado, que contiene una identidad de abonado, mediante un agente del lugar de origen;
- (c)
- envío de un mensaje de solicitud de clave para una clave de movilidad desde el agente del lugar de origen (8B) al correspondiente servidor proxy de autentificación (8C);
- conteniendo el mensaje de solicitud de clave la identidad de abonado contenida en el mensaje de solicitud de registro; y
- (d)
- aportación de una clave de movilidad por parte del servidor proxy de autentificación (8C) para el agente del lugar de origen (8B), cuando la identidad del abonado contenida en el mensaje de solicitud de clave coincida con una de las identidades de abonado memorizadas por el servidor proxy de autentificación (8C).
2. Procedimiento según la reivindicación 1,
en el que la clave de movilidad se genera
automáticamente mediante el servidor proxy de autentificación
(8C).
3. Procedimiento según la reivindicación 1,
en el que el servidor de autentificación (11) de
la red del lugar de origen (12), cuando ha tenido éxito la
autentificación, transmite una clave MSK contenida en un mensaje de
autentificación mediante el servidor proxy de autentificación (8C) a
un cliente de autentificación (6C) de la red de acceso (4).
4. Procedimiento según la reivindicación 3,
en el que el servidor proxy de autentificación
(8C) deriva la clave de movilidad a partir de la clave MSK
transmitida.
5. Procedimiento según la reivindicación 4,
en el que la clave de movilidad constituye una
parte de la clave MSK transmitida.
6. Procedimiento según la reivindicación 4,
en el que la clave de movilidad es idéntica a la
clave MSK transmitida.
7. Procedimiento según la reivindicación 4,
en el que la clave de movilidad se deriva
mediante una función de derivación de clave criptográfica o mediante
una función Hash criptográfica.
8. Procedimiento según la reivindicación 1,
en el que los mensajes de autentificación se
transmiten según un protocolo de transmisión de datos RADIUS.
9. Procedimiento según la reivindicación 1,
en el que los mensajes de autentificación se
transmiten según un protocolo de transmisión de datos Diameter.
10. Procedimiento según la reivindicación 1,
en el que la red de acceso (4) está formada por
una red de acceso WIMAX (ASN).
11. Procedimiento según la reivindicación 1,
en el que la red intermedia (9) está formada por
una red intermedia WIMAX (CSN).
12. Procedimiento según la reivindicación 1,
en el que la red del lugar de origen (12) está
formada por una red 3GPP.
13. Procedimiento según la reivindicación 1,
en el que la red del lugar de origen está
formada por una red WLAN.
14. Procedimiento según la reivindicación 1,
en el que la identidad del abonado está formada
por un identificador de acceso a la red NAI.
15. Procedimiento según la reivindicación 1,
en el que la identidad del abonado se forma
mediante una dirección del lugar de origen del abonado.
16. Procedimiento según la reivindicación 1,
en el que la clave de movilidad se pone a
disposición adicionalmente de un cliente PMIP (6B) de la red de
acceso (4).
17. Procedimiento según la reivindicación 1,
en el que varias redes intermedias (9) se
encuentran entre la red de acceso (4) y la red del lugar de origen
(12).
18. Procedimiento según la reivindicación
17,
en el que el agente del lugar de origen (8B)
está previsto en la red del lugar de origen (12) o en una de las
redes intermedias (9).
19. Procedimiento según la reivindicación
17,
en el que el servidor proxy de autentificación
(8C) está previsto en la red del lugar de origen (12) o en una de
las redes intermedias (9).
20. Servidor proxy de autentificación (8C) para
proporcionar una clave de movilidad para un aseguramiento
criptográfico de mensajes de señalización de movilidad,
en el que el servidor proxy de autentificación
(8C) está configurado tal que una vez realizada con éxito la
autentificación de un abonado, memoriza su correspondiente identidad
de abonado y tras recibir un mensaje de solicitud de clave para una
clave de movilidad desde un agente de movilidad (8B), proporciona
una clave de movilidad cuando una identidad de abonado contenida en
el mensaje de solicitud de la clave coincide con una de las
identidades de abonado memorizadas.
21. Servidor proxy de autentificación según la
reivindicación 20,
en el que el servidor proxy de autentificación
(8C) está configurado tal que genera aleatoriamente la clave de
movilidad.
22. Servidor proxy de autentificación según la
reivindicación 20,
en el que el servidor proxy de autentificación
(8C) está conectado con un servidor de autentificación (11) de una
red del lugar de origen (12).
23. Servidor proxy de autentificación según la
reivindicación 20,
en el que el servidor proxy de autentificación
(8C) está configurado tal que deriva la clave de movilidad de una
clave MSK dada por el servidor de autentificación (11) de la red del
lugar de origen (12).
24. Servidor proxy de autentificación según la
reivindicación 20,
en el que la red del lugar de origen (12) es una
red 3GPP.
25. Servidor proxy de autentificación según la
reivindicación 20,
en el que la red del lugar de origen (12) es una
red WLAN.
26. Servidor proxy de autentificación según la
reivindicación 20,
en el que el servidor proxy de autentificación
(8C) es un servidor proxy de autentificación WIMAX.
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102005052718 | 2005-11-04 | ||
DE102005052718 | 2005-11-04 | ||
DE102006004868 | 2006-02-02 | ||
DE102006004868A DE102006004868B4 (de) | 2005-11-04 | 2006-02-02 | Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2349292T3 true ES2349292T3 (es) | 2010-12-29 |
Family
ID=37722717
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES06807632T Active ES2349292T3 (es) | 2005-11-04 | 2006-10-27 | Procedimiento y servidor para proporcionar una clave de movilidad. |
Country Status (10)
Country | Link |
---|---|
US (1) | US8533471B2 (es) |
EP (1) | EP1943855B1 (es) |
JP (1) | JP4806028B2 (es) |
KR (1) | KR100960747B1 (es) |
CN (1) | CN101300889B (es) |
AT (1) | ATE475279T1 (es) |
DE (2) | DE102006004868B4 (es) |
ES (1) | ES2349292T3 (es) |
PL (1) | PL1943855T3 (es) |
WO (1) | WO2007051768A1 (es) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1914960B1 (en) * | 2006-10-16 | 2013-01-09 | Nokia Siemens Networks GmbH & Co. KG | Method for transmission of DHCP messages |
ES2362444T3 (es) * | 2007-01-04 | 2011-07-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Método y aparato para determinar un procedimiento de autentificación. |
KR101341720B1 (ko) | 2007-05-21 | 2013-12-16 | 삼성전자주식회사 | 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법 |
ES2379059B1 (es) * | 2007-12-03 | 2013-01-29 | Zte U.S.A., Inc. | Método y sistemas para negociar y autorizar uno o más servicios del protocolo internet (ip) entre una pluralidad de entidades de red en un sistema de comunicación inalámbrico, el correspondiente sistema de comunicación inalámbrico y estación móvil asociada a dicho sistema. |
CN101557590A (zh) * | 2008-04-07 | 2009-10-14 | 华为技术有限公司 | 一种移动终端接入网络的安全验证方法、系统和装置 |
WO2009147468A2 (en) * | 2008-05-27 | 2009-12-10 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for backwards compatible multi-access with proxy mobile internet protocol |
US8432922B2 (en) * | 2008-06-03 | 2013-04-30 | Xtera Communications, Inc. | Method for managing IP tunnels |
KR101556906B1 (ko) * | 2008-12-29 | 2015-10-06 | 삼성전자주식회사 | 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법 |
US9775027B2 (en) * | 2009-12-31 | 2017-09-26 | Alcatel Lucent | Method for interworking among wireless technologies |
US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
CN105900375B (zh) | 2014-01-13 | 2020-02-07 | 维萨国际服务协会 | 用于在认证交易中保护身份的设备、系统和方法 |
WO2015169552A1 (en) | 2014-05-05 | 2015-11-12 | Telefonaktiebolaget L M Ericsson (Publ) | Protecting wlcp message exchange between twag and ue |
EP3860041B1 (en) | 2014-06-18 | 2023-03-15 | Visa International Service Association | Efficient methods for authenticated communication |
US9813245B2 (en) | 2014-08-29 | 2017-11-07 | Visa International Service Association | Methods for secure cryptogram generation |
US10461933B2 (en) | 2015-01-27 | 2019-10-29 | Visa International Service Association | Methods for secure credential provisioning |
CN106304064A (zh) * | 2015-05-28 | 2017-01-04 | 中兴通讯股份有限公司 | 漫游方法、漫游服务器、移动终端及系统 |
AU2016369606A1 (en) | 2015-12-16 | 2018-05-31 | Visa International Service Association | Systems and methods for secure multi-party communications using a proxy |
US10972257B2 (en) | 2016-06-07 | 2021-04-06 | Visa International Service Association | Multi-level communication encryption |
CN106097167A (zh) * | 2016-06-07 | 2016-11-09 | 深圳心驰技术有限公司 | 一种金融押运信息服务系统 |
US10098043B2 (en) * | 2017-02-24 | 2018-10-09 | Verizon Patent And Licensing Inc. | System and method for handover management for wireless device |
GB201809887D0 (en) * | 2018-06-15 | 2018-08-01 | Iothic Ltd | Decentralised authentication |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FI102235B1 (fi) * | 1996-01-24 | 1998-10-30 | Nokia Telecommunications Oy | Autentikointiavainten hallinta matkaviestinjärjestelmässä |
EP0939571B1 (en) * | 1998-02-27 | 2007-05-09 | Telefonaktiebolaget LM Ericsson (publ) | Authentication method and authentication device for secured communications between an ATM mobile terminal and an ATM access node of a wireless ATM radio communication network |
KR100420265B1 (ko) | 2001-11-15 | 2004-03-02 | 한국전자통신연구원 | 무선 인터넷 망간 접속 방법 |
US7475241B2 (en) * | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
US6978317B2 (en) * | 2003-12-24 | 2005-12-20 | Motorola, Inc. | Method and apparatus for a mobile device to address a private home agent having a public address and a private address |
JP3955025B2 (ja) * | 2004-01-15 | 2007-08-08 | 松下電器産業株式会社 | 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ |
US20060182061A1 (en) * | 2005-02-17 | 2006-08-17 | Nokia Corporation | Interworking between wireless WAN and other networks |
US7313394B2 (en) * | 2005-07-15 | 2007-12-25 | Intel Corporation | Secure proxy mobile apparatus, systems, and methods |
US7626963B2 (en) * | 2005-10-25 | 2009-12-01 | Cisco Technology, Inc. | EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure |
-
2006
- 2006-02-02 DE DE102006004868A patent/DE102006004868B4/de not_active Expired - Fee Related
- 2006-10-27 ES ES06807632T patent/ES2349292T3/es active Active
- 2006-10-27 US US12/092,690 patent/US8533471B2/en active Active
- 2006-10-27 PL PL06807632T patent/PL1943855T3/pl unknown
- 2006-10-27 AT AT06807632T patent/ATE475279T1/de active
- 2006-10-27 DE DE502006007501T patent/DE502006007501D1/de active Active
- 2006-10-27 CN CN2006800412058A patent/CN101300889B/zh active Active
- 2006-10-27 WO PCT/EP2006/067895 patent/WO2007051768A1/de active Application Filing
- 2006-10-27 EP EP06807632A patent/EP1943855B1/de active Active
- 2006-10-27 JP JP2008539393A patent/JP4806028B2/ja active Active
- 2006-10-27 KR KR1020087013534A patent/KR100960747B1/ko active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
EP1943855B1 (de) | 2010-07-21 |
US8533471B2 (en) | 2013-09-10 |
JP4806028B2 (ja) | 2011-11-02 |
ATE475279T1 (de) | 2010-08-15 |
WO2007051768A1 (de) | 2007-05-10 |
JP2009515448A (ja) | 2009-04-09 |
PL1943855T3 (pl) | 2010-12-31 |
US20080270794A1 (en) | 2008-10-30 |
EP1943855A1 (de) | 2008-07-16 |
CN101300889B (zh) | 2012-07-04 |
KR20080074956A (ko) | 2008-08-13 |
DE502006007501D1 (de) | 2010-09-02 |
KR100960747B1 (ko) | 2010-06-01 |
DE102006004868B4 (de) | 2010-06-02 |
DE102006004868A1 (de) | 2007-05-10 |
CN101300889A (zh) | 2008-11-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2349292T3 (es) | Procedimiento y servidor para proporcionar una clave de movilidad. | |
ES2662591T3 (es) | Procedimiento y servidor para la facilitación de una clave de movilidad | |
US10425808B2 (en) | Managing user access in a communications network | |
ES2609257T3 (es) | Procedimiento y sistema para proporcionar una clave específica de acceso | |
US8549294B2 (en) | Securing home agent to mobile node communication with HA-MN key | |
US9043599B2 (en) | Method and server for providing a mobility key | |
ES2321878T3 (es) | Activacion forzada especifica para un abonado de proxy mobiles ip (pmip) en lugar de client mobile ip (cmip). | |
US8611543B2 (en) | Method and system for providing a mobile IP key | |
Georgiades et al. | Distributed authentication protocol for the security of binding updates in mobile IPv6 |