ES2349292T3 - Procedimiento y servidor para proporcionar una clave de movilidad. - Google Patents

Procedimiento y servidor para proporcionar una clave de movilidad. Download PDF

Info

Publication number
ES2349292T3
ES2349292T3 ES06807632T ES06807632T ES2349292T3 ES 2349292 T3 ES2349292 T3 ES 2349292T3 ES 06807632 T ES06807632 T ES 06807632T ES 06807632 T ES06807632 T ES 06807632T ES 2349292 T3 ES2349292 T3 ES 2349292T3
Authority
ES
Spain
Prior art keywords
network
authentication
origin
place
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES06807632T
Other languages
English (en)
Inventor
Maximilian Riegel
Dirk Kroselberg
Rainer Falk
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Application granted granted Critical
Publication of ES2349292T3 publication Critical patent/ES2349292T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2807Exchanging configuration information on appliance services in a home automation network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Automation & Control Theory (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Saccharide Compounds (AREA)
  • Computer And Data Communications (AREA)

Abstract

Procedimiento para proporcionar al menos una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para un agente del lugar de origen con las siguientes etapas: (a) establecimiento de un enlace por radio entre un aparato terminal móvil de abonado (1) y una red de acceso (4), retransmitiendo un servidor de autentificación proxy (8C) de una red intermedia (9), para autentificar un abonado, al menos un mensaje de autentificación, que contiene una identidad del abonado, entre la red de acceso (4) y una red del lugar de origen (12) del abonado y, cuando tiene éxito la autentificación por parte de un servidor de autentificación (11) de la red del lugar de origen (12), memorizando la correspondiente identidad de abonado; (b) recepción de un mensaje de solicitud de registro procedente de un aparato terminal móvil de abonado, que contiene una identidad de abonado, mediante un agente del lugar de origen; (c) envío de un mensaje de solicitud de clave para una clave de movilidad desde el agente del lugar de origen (8B) al correspondiente servidor proxy de autentificación (8C); conteniendo el mensaje de solicitud de clave la identidad de abonado contenida en el mensaje de solicitud de registro; y (d) aportación de una clave de movilidad por parte del servidor proxy de autentificación (8C) para el agente del lugar de origen (8B), cuando la identidad del abonado contenida en el mensaje de solicitud de clave coincida con una de las identidades de abonado memorizadas por el servidor proxy de autentificación (8C).

Description

Procedimiento y servidor para proporcionar una clave de movilidad.
La invención se refiere a un procedimiento y a un servidor proxy (representante o intermediario) de autentificación para proporcionar una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para un agente del lugar de origen de una red de telefonía móvil.
Internet, con el protocolo TCP/IP, ofrece una plataforma para el desarrollo de protocolos de más alto nivel para el ámbito móvil. Puesto que los protocolos de Internet están muy difundidos, puede incluirse con las correspondientes ampliaciones de protocolo para entornos móviles un amplio círculo de usuarios. No obstante, los protocolos de Internet tradicionales no están concebidos en su origen para la utilización móvil. En la conmutación por paquetes de la Internet tradicional se intercambian los paquetes entre ordenadores fijos, que no modifican su dirección de red ni migran entre distintas subredes. En redes de radio con ordenadores móviles se integran a menudo ordenadores móviles MS en distintas redes. El DHCP (Dynamic Host Configuration Protocol, protocolo de configuración dinámica de host), posibilita con ayuda del correspondiente servidor la asignación dinámica de una dirección de IP y otros parámetros de configuración a un ordenador en una red. Un ordenador que está integrado en una red, recibe automáticamente una dirección de IP libre mediante el protocolo DHCP. Si un ordenador móvil ha instalado DHCP, el mismo debe simplemente entrar en el alcance de una red local que apoya la configuración mediante el protocolo DHCP. En el protocolo DHCP es posible una adjudicación dinámica de direcciones, es decir, se asigna una dirección de IP libre automáticamente para un tiempo determinado. Tras transcurrir este tiempo debe formularse de nuevo la solicitud mediante el ordenador móvil o bien adjudicarse la dirección de IP de otra manera.
Con DHCP puede integrarse un ordenador móvil sin configuración manual en una red. Como condición previa debe simplemente disponerse de un servidor DHCP. Un ordenador móvil puede así utilizar servicios de la red local y por ejemplo utilizar ficheros archivados centralmente. No obstante si un ordenador móvil ofrece por si mismo servicios, es posible que un potencial usuario de los servicios no encuentre el ordenador móvil, ya que su dirección de IP se modifica en cada red en la que se aloja el ordenador móvil. Lo mismo sucede cuando se modifica una dirección de IP durante un enlace TCP existente. Esto da lugar a la interrupción del enlace. Por ello en IP móvil se asigna a un ordenador móvil una dirección de IP que el mismo mantiene también en otra red. En un cambio de red de IP tradicional es necesario adaptar correspondientemente los ajustes de las direcciones de IP. Pero una adaptación permanente de configuraciones de IP y de enrutamiento en el aparato terminal es casi imposible manualmente. En los mecanismos de configuración automáticos tradicionales se interrumpe el enlace existente cuando hay un cambio de la dirección de IP. El protocolo MIP (RFC 2002, RFC 2977, RFC 3344, RFC 3846, RFC 3957, RFC3775, RFC 3776, RFC4285) apoya la movilidad de aparatos terminales móviles. En los protocolos de IP tradicionales debe adaptar el aparato terminal móvil cada vez su dirección de IP cuando cambia la subred de IP, para que los paquetes de datos direccionados al aparato terminal móvil se enruten correctamente. Para mantener un enlace TCP existente, debe conservar el aparato terminal móvil su dirección de IP, ya que un cambio de dirección da lugar a una interrupción del enlace. El protocolo MIP elimina este conflicto al permitir a un aparato terminal móvil o bien a un nodo móvil (MN) poseer dos direcciones de IP. El protocolo MIP posibilita un enlace transparente entre ambas direcciones, es decir, una dirección Home (del lugar de origen) permanente y una segunda dirección care-of temporal o dinámica. La dirección care-of es la dirección de IP bajo la cual puede llegarse al aparato terminal móvil en ese momento.
Un agente del lugar de origen (Home Agent) es quien representa al aparato terminal móvil siempre que el aparato terminal móvil no se encuentre en la red del lugar de origen inicial. El agente del lugar de origen está informado permanentemente sobre el lugar de estancia actual del ordenador móvil. El agente del lugar de origen es usualmente un componente de un router (enrutador) en la red del lugar de origen del aparato terminal móvil. Cuando el aparato terminal móvil se encuentra fuera de la red del lugar de origen, proporciona el agente del lugar de origen una función para que pueda anunciarse el aparato terminal móvil. Entonces retransmite el agente del lugar de origen los paquetes de datos direccionados al aparato terminal móvil a la subred actual del aparato terminal
móvil.
Un agente ajeno (Foreign Agent) se encuentra en la subred en la que se mueve el aparato terminal móvil. El agente ajeno retransmite los paquetes de datos que llegan al aparato terminal móvil o bien al ordenador móvil. El agente ajeno se encuentra en una llamada red ajena (Visited Network). El agente ajeno es igualmente por lo general un componente de un enrutador. El agente ajeno enruta todos los paquetes de datos móviles administrativos entre el aparato terminal móvil y su agente del lugar de origen. El agente ajeno desempaqueta los paquetes de datos de IP tunelados enviados por el agente del lugar de origen y retransmite sus datos al aparato terminal móvil.
La dirección del lugar de origen del aparato terminal móvil es la dirección bajo la que puede llegarse permanentemente al aparato terminal móvil. La dirección del lugar de origen tiene el mismo prefijo de dirección que el agente del lugar de origen. La dirección care-of es aquella dirección de IP que utiliza el aparato terminal móvil en la red ajena.
El agente del lugar de origen gestiona una llamada tabla de enlace de movilidad (MBT: Mobility Binding Table). Los registros en esta tabla sirven para asociar entre sí ambas direcciones, es decir, la dirección del lugar de origen y la dirección care-of de un aparato terminal móvil y derivar correspondientemente los paquetes de datos. La tabla MBT contiene registros sobre la dirección del lugar de origen, la dirección care-of y una indicación sobre el espacio de tiempo durante el que esta asociación es válida (life time o tiempo de vida). La figura 1 muestra un ejemplo de una tabla de enlace de mobilidad según el estado de la técnica.
El agente ajeno (FA) contiene una lista de visitantes o Visitor List (VL: Visitor List) que contiene informaciones sobre los aparatos terminales móviles que se encuentran en ese momento en la red de IP del agente ajeno. La figura 2 muestra un ejemplo de una tal lista de visitantes según el estado de la técnica.
Para que un ordenador móvil pueda integrarse en una red, debe primeramente saber si se encuentra en su red del lugar de origen o en una red ajena. Adicionalmente debe saber el aparato terminal móvil qué ordenador es en la subred el agente del lugar de origen o el agente ajeno. Estas informaciones se averiguan mediante un llamado Agent-Discovery (descubrimiento de agente).
Mediante el subsiguiente registro, puede comunicar el aparato terminal móvil su lugar de estancia actual a su agente del lugar de origen. Para ello envía el ordenador móvil o el aparato terminal móvil al agente del lugar de origen la dirección care-of actual. Para su registro, envía el ordenador móvil un Registration-Request o solicitud de registro al agente del lugar de origen. El agente del lugar de origen (HA) registra la dirección care-of en su lista y responde con una Registration Reply o respuesta de registro. Evidentemente existe aquí un problema de seguridad. Puesto que básicamente cualquier ordenador puede enviar a un agente del lugar de origen una solicitud de registro, podría alguien simular de manera sencilla ante un agente del lugar de origen que un ordenador se ha movido hasta otra red. Así podría tomar un ordenador ajeno todos los paquetes de datos de un ordenador móvil o aparato terminal móvil sin que un emisor se entere de ello. Para evitar esto, disponen el ordenador móvil y el agente del lugar de origen de claves comunes secretas. Cuando vuelve un ordenador móvil a su red del lugar de origen, se borra el mismo del registro del agente del lugar de origen, ya que el ordenador móvil puede tomar por sí mismo directamente todos los paquetes de datos. Una red de radio móvil debe presentar entre otras las siguientes características de seguridad. Las informaciones sólo deben hacerse accesibles a los interlocutores de comunicación deseados, es decir, los escuchantes no deseados no deben obtener acceso alguno a los datos transmitidos. Por lo tanto, la red de telefonía móvil debe disponer de la característica de la confidencialidad (Confidentiality). Además, debe existir autenticidad. La autenticidad (Authenticity) permite a un interlocutor de comunicación detectar de forma indudable si se ha establecido efectivamente una comunicación con un interlocutor de comunicación deseado o si se hace pasar por interlocutor de comunicación un tercero ajeno. Las autentificaciones pueden realizarse por cada mensaje o por cada enlace. Si se realiza la autentificación en base a enlaces, entonces sólo se identifica el interlocutor de comunicación al comienzo de una sesión. Para lo que sigue a continuación en la sesión se supone que los siguientes mensajes siguen procediendo del correspondiente emisor. Incluso cuando se ha fijado la identidad de un interlocutor de comunicación, es decir, cuando el interlocutor de comunicación está autentificado, puede presentarse el caso de que este interlocutor de comunicación no tenga autorización para acceder a todos los recursos o bien no tenga autorización para utilizar todos los servicios a través de la red. Una correspondiente autorización presupone en este caso una autentificación precedente del interlocutor de comunicación.
En redes de datos móviles deben recorrer los mensajes largos trayectos a través de interfaces de aire y con ello son fácilmente accesibles para potenciales atacantes. En redes inalámbricas y de datos móviles juegan por lo tanto los aspectos de seguridad un papel especial. Un medio esencial para aumentar la seguridad en redes de datos son las técnicas de encriptado. Mediante el encriptado es posible transmitir datos a través de vías de comunicación inseguras, por ejemplo a través de interfaces de aire, sin que terceros no autorizados logren acceso a los datos. Para el encriptado se transforman los datos, es decir, el llamado texto claro o explícito, con ayuda de un algoritmo de codificación en texto cifrado. El texto encriptado puede transportarse a través del canal de transmisión de datos inseguro y a continuación desencriptarse o descifrarse.
Como tecnología de acceso inalámbrica muy prometedora se propone WiMax (Worldwide Interoperability for Microwave Access, interoperabilidad mundial para acceso por microondas) como nuevo estándar que para la transmisión por radio utiliza IEEE 802.16. Con WiMax debe poder alimentarse con estaciones emisoras una zona de hasta 50 km con velocidades de datos superiores a 100 Mbit por segundo.
La figura 3 muestra un modelo de referencia para una red de radio WiMax. Un aparato terminal móvil MS se encuentra en la zona de una red de acceso (ASN: Access Serving Network). La red de acceso ASN está conectada a través de al menos una red visitada (Visited Connectivity Service Network VCSN, red de servicio de conectividad visitada) o bien red intermedia con una red del lugar de origen HCSN (Home Connectivity Service Network, red de servicio de conectividad del lugar de origen). Las distintas redes están conectadas entre sí mediante interfaces o bien puntos de referencia R. El agente del lugar de origen HA de la estación móvil MS se encuentra en la red del lugar de origen HCSN o en una de las redes visitadas VCSN.
WiMax apoya dos variantes de realización de IP móvil, la llamada Client MIP (CMIP), en la que la propia estación móvil realiza la función de cliente MIP, y Proxy-MIP (PMIP), en la que la función MIP-Client está realizada por la red de acceso WiMax. La funcionalidad prevista para ello en la ASN se denomina Proxy Mobile Node (PMN), nodo móvil proxy o PMIP-Client. De esta manera puede utilizarse MIP también con estaciones móviles que por sí mismas no apoyan ningún MIP.
La figura 4 muestra el establecimiento del enlace en Proxy-MIP, cuando el agente del lugar de origen se encuentra en la red visitada, según el estado de la técnica.
Tras establecerse el enlace por radio entre el aparato terminal móvil y una estación de base, se realiza primeramente una autentificación de acceso. La función de la autentificación, de la autorización y de la contabilidad se realiza mediante los dos servidores AAA (AAA: Authentication Authorization and Accounting). Entre el aparato terminal móvil MS y el servidor AAA de la red del lugar de origen (HAAA) se intercambian mensajes de autentificación mediante los cuales se obtienen la dirección del agente del lugar de origen y una clave de autentificación. El servidor de autentificación en la red del lugar de origen contiene los datos del perfil del abonado. El servidor AAA recibe un mensaje de solicitud de autentificación, que contiene una identidad de abonado correspondiente al aparato terminal móvil. El servidor AAA genera, cuando ha tenido éxito la autentificación de acceso, una clave MSK (MSK: Master Session Key, clave maestra de sesión) para proteger la sección de transmisión de datos entre el aparato terminal móvil MS y la estación de base de la red de acceso ASN. Esta clave MSK es transmitida por el servidor AAA de la red del lugar de origen a través de la red intermedia CSN a la red de acceso ASN.
Tras la autentificación de acceso, tal como se ve en la figura 4, se configura el servidor DHCP-Proxy en la red de acceso ASN. En el caso de que la dirección de IP y la configuración Host estén ya contenidos en el mensaje de respuesta AAA, se descarga toda la información en el servidor DHCP-Proxy.
Tras una autentificación y autorización con éxito, envía la estación móvil o bien el aparato terminal móvil MS un mensaje DHCP Discovery (descubrimiento DHCP) y se realiza una asignación de direcciones de IP.
En el caso de que la red de acceso ASN apoye tanto PMIP como también la movilidad CMIP, informa el agente ajeno sobre la función de transferencia ASN (ASN-Handover), enviando un mensaje de contexto de movilidad R3. En redes que sólo apoyan PMIP puede renunciarse a ello. Una vez que se ha leído la dirección del lugar de origen, se retransmite la misma al PMIP-Client.
A continuación se realiza un registro MIP. En el registro se informa al agente del lugar de origen sobre el lugar de estancia actual del aparato terminal móvil. Para el registro envía el ordenador móvil la solicitud de registro al agente del lugar de origen que contiene la dirección care-of actual. El agente del lugar de origen registra la dirección care-of en una lista que él mismo gestiona y contesta con una respuesta de registro (Registration Reply). Puesto que básicamente cualquier ordenador puede enviar a un agente del lugar de origen solicitudes de registro, podría simularse fácilmente ante un agente del lugar de origen que un ordenador se ha movido hasta otra red. Para evitar esto disponen tanto el ordenador móvil como también el agente del lugar de origen de una clave secreta común, es decir, una clave MIP. En el caso de que el agente del lugar de origen (HA) no conozca la clave MIP, la establece él mismo, para lo cual comunica con un servidor AAA del lugar de origen.
Tras finalizar el establecimiento del enlace representado en la figura 4, ha recibido ya el aparato terminal móvil una dirección del lugar de origen y está registrado en el agente del lugar de origen.
El establecimiento de un enlace representado en la figura 4 no es posible, evidentemente, cuando el servidor AAA del lugar de origen no aporta los atributos o datos esperados por el protocolo WiMax. Si por ejemplo el servidor AAA del lugar de origen es un servidor 3GPP o cualquier otro servidor AAA que no apoya WiMax Interworking (interacción), entonces el mismo no está en condiciones de proporcionar los atributos de datos necesarios para el registro MIP, en particular la dirección del lugar de origen y una clave criptográfica. El agente del lugar de origen HA no recibe así ninguna clave MIP (MSK: Master Session Key) y rechaza al abonado.
Un procedimiento para proporcionar una clave de movilidad se conoce por el documento: NAKHJIRI Madjid, EAP based Proxy Mobile IP Key bootstrapping for WIMAX, Internet Draft, enero 2005.
Es por lo tanto la tarea de la presente invención lograr un procedimiento para proporcionar una clave de movilidad para una red de telefonía móvil en la que el servidor de autentificación de la red del lugar de origen no apoya ningún registro MIP.
Esta tarea se resuelve según la invención mediante un procedimiento con las características indicadas en la reivindicación 1.
La invención logra un procedimiento para proporcionar al menos una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para un agente del lugar de origen con las siguientes etapas:
-
establecimiento de un enlace por radio entre un aparato terminal móvil de abonado y una red de acceso,
retransmitiendo un servidor de autentificación proxy de una red intermedia, para autentificar un abonado, al menos un mensaje de autentificación, que contiene una identidad del abonado, entre la red de acceso y una red del lugar de origen del abonado y, cuando tiene éxito la autentificación por parte de un servidor de autentificación de la red del lugar de origen, memorizando la correspondiente identidad de abonado;
-
recepción de un mensaje de solicitud de registro procedente de un aparato terminal móvil de abonado, que contiene una identidad de abonado, mediante un agente del lugar de origen;
-
envío de un mensaje de solicitud de clave para una clave de movilidad desde el agente del lugar de origen al correspondiente servidor proxy de autentificación,
conteniendo el mensaje de solicitud de clave la identidad de abonado contenida en el mensaje de solicitud de registro; y
-
aportación de una clave de movilidad por parte del servidor proxy de autentificación para el agente del lugar de origen, cuando la identidad del abonado contenida en el mensaje de solicitud de clave coincida con una de las identidades de abonado memorizadas por el servidor proxy de autentificación.
En una forma de ejecución preferente del procedimiento correspondiente a la invención, se genera la clave de movilidad aleatoriamente mediante el servidor proxy de autentificación.
En una forma de ejecución preferente del procedimiento correspondiente a la invención, transmite el servidor de autentificación de la red del lugar de origen, cuando ha tenido éxito la autentificación, una clave MSK contenida en un mensaje de autentificación a través del servidor proxy de autentificación a un cliente de autentificación de la red de acceso.
En una forma de ejecución alternativa del procedimiento correspondiente a la invención, no genera la clave de movilidad el servidor proxy de autentificación aleatoriamente, sino mediante el servidor proxy de autentificación a partir de la clave MSK transmitida.
En una forma de ejecución del procedimiento correspondiente a la invención, forma la clave de movilidad una parte de la clave MSK transmitida.
En una forma de ejecución alternativa del procedimiento correspondiente a la invención, la clave de movilidad es idéntica a la clave MSK transmitida.
En una forma de ejecución del procedimiento correspondiente a la invención, se transmiten los mensajes de autentificación según un protocolo de transmisión de datos Radius.
En una forma de ejecución alternativa del procedimiento correspondiente a la invención, se transmiten los mensajes de autentificación según un protocolo de transmisión de datos Diameter.
En una forma de ejecución preferente del procedimiento correspondiente a la invención, se forma la red de acceso mediante una red de acceso WiMax
ASN.
En una forma de ejecución preferente del procedimiento correspondiente a la invención, se forma la red intermedia mediante una red intermedia WiMax CSN.
En una primera forma de ejecución del procedimiento correspondiente a la invención, la red del lugar de origen es una red 3GPP.
En una forma de ejecución alternativa del procedimiento correspondiente a la invención, se forma la red del lugar de origen mediante una red que proporciona una infraestructura AAA para abonados WLAN (red WLAN).
En una forma de ejecución preferente del procedimiento correspondiente a la invención, se forma la identidad del abonado mediante un identificador de acceso a la red NAI Network Access Identifier).
En una forma de ejecución alternativa del procedimiento correspondiente a la invención, se forma la identidad del abonado mediante una dirección del lugar de origen del abonado.
En una forma de ejecución preferente del procedimiento correspondiente a la invención se proporciona la clave de movilidad adicionalmente a un cliente PMIP de la red de acceso.
En una forma de ejecución preferente del procedimiento correspondiente a la invención, se encuentran varias redes intermedias entre la red de acceso y la red del lugar de origen.
En una primera forma de ejecución del procedimiento correspondiente a la invención, se encuentra el agente del lugar de origen en la red del lugar de origen.
En una forma de ejecución alternativa del procedimiento correspondiente a la invención, se encuentra el agente del lugar de origen en una de las redes intermedias.
En una primera forma de ejecución del procedimiento correspondiente a la invención se prevé el servidor proxy de autentificación en la red del lugar de origen.
En una forma de ejecución alternativa del procedimiento correspondiente a la invención está previsto el servidor proxy de autentificación en una de las redes intermedias.
La invención logra además un servidor proxy de autentificación para proporcionar una clave de movilidad para un aseguramiento criptográfico de mensajes de señalización de movilidad, memorizando el servidor proxy de autentificación, una vez realizada la autentificación de un abonado, su correspondiente identidad de abonado y tras la recepción de un mensaje de solicitud de clave para una clave de movilidad de un agente de movilidad, proporciona una clave de movilidad cuando una identidad de abonado contenida en el mensaje de solicitud de la clave coincide con una de las identidades de abonado memorizadas.
A continuación se describen formas constructivas preferentes del procedimiento correspondiente a la invención y del servidor proxy de autentificación correspondiente a la invención con referencia a las figuras adjuntas para describir características esenciales para la invención. Se muestra en:
figura 1 un ejemplo de una tabla de enlace de movilidad según el estado de la técnica;
figura 2 un ejemplo de una lista de visitantes según el estado de la técnica;
figura 3 una estructura de red de referencia para una red de radio WiMax;
figura 4 el establecimiento de un enlace en una red WiMax tradicional según el estado de la técnica;
figura 5 una estructura de red según una forma de ejecución preferente del procedimiento correspondiente a la invención;
figura 6 un diagrama secuencial para describir la forma de funcionamiento del procedimiento correspondiente a la invención;
figura 7 otro diagrama secuencial para describir la forma de funcionamiento del procedimiento correspondiente a la invención;
figura 8 un diagrama para describir la forma de funcionamiento del procedimiento correspondiente a la invención.
Tal como puede observarse en la figura 5, está conectado un aparato terminal móvil 1 a través de una interfaz inalámbrica 2 con una estación de base 3 de una red de acceso 4. El aparato terminal móvil 1 es un aparato terminal móvil cualquiera, por ejemplo un laptop, una PDA, un teléfono móvil u otro tipo de aparato terminal móvil. La estación de base 3 de la red de acceso 4 está conectada mediante una línea de transmisión de datos 5 con una pasarela (gateway) de la red de acceso 6. En el ordenador de la pasarela de acceso 6 están integradas preferiblemente otras funcionalidades, en particular un agente ajeno 6A, un cliente PMIP 6B, un servidor de cliente AAA 6C y un servidor proxy DHCP 6D. El agente ajeno 6A es un enrutador, que proporciona servicios de enrutamiento al aparato terminal móvil 1. Los paquetes de datos dirigidos al aparato terminal móvil 1 son transmitidos tunelados y son desempaquetados por el agente ajeno 6A.
La pasarela 6 de la red de acceso 4 está conectada a través de una interfaz 7 con un ordenador 8 de una red intermedia 9. El ordenador 8 contiene un servidor DHCP 8A, un agente del lugar de origen 8B y un servidor proxy AAA 8C. El agente del lugar de origen 8B es el representante del aparato terminal móvil 1 cuando éste no se encuentra en su red del lugar de origen inicial. El agente del lugar de origen 8B está informado continuamente sobre el lugar de estancia actual del ordenador móvil 1. Los paquetes de datos para el aparato terminal móvil 1 se transmiten primeramente al agente del lugar de origen y desde el agente del lugar de origen se retransmiten tunelados al agente ajeno 6A. A la inversa, pueden enviarse paquetes de datos emitidos por el aparato terminal móvil 1 directamente al correspondiente interlocutor de comunicación. Los paquetes de datos del aparato terminal móvil 1 contienen entonces la dirección del lugar de origen como dirección del remitente. La dirección del lugar de origen tiene el mismo prefijo de dirección, es decir, dirección de red y dirección de subred, que el agente del lugar de origen 8B. Los paquetes de datos que se envían a la dirección del lugar de origen del aparato terminal móvil 1 son captados por el agente del lugar de origen 8B y tunelados desde el agente del lugar de origen 8B a la dirección care-of del aparato terminal móvil 1 y finalmente recibidos en el punto terminal del túnel, es decir, por el agente ajeno 6A o por el propio aparato terminal móvil.
El ordenador 8 de la red intermedia 9 está conectado a través de otra interfaz 10 con un servidor de autentificación 11 de una red del lugar de origen 12. La red del lugar de origen es por ejemplo una red 3GPP para UMTS. En una forma de ejecución alternativa, el servidor 11 es un servidor de autentificación de una red WLAN. El servidor de autentificación 11 representado en la figura 5 no apoya ningún registro MIP.
Tan pronto como el servidor proxy AAA 8C del ordenador 8 detecta que el servidor AAA 11 de la red del lugar de origen 12 no apoya ningún MIP (CMIP/PMIP), se pone a disposición una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para el agente del lugar de origen 8B según el procedimiento correspondiente a la invención. El servidor proxy AAA 8B detecta la falta de apoyo CMIP/PMIP por ejemplo en que no se aporta ningún atributo MIP desde el servidor 11 de la red del lugar de origen 12 a raíz de su consulta. Para el aseguramiento criptográfico de mensajes de señalización de movilidad, se necesita una clave de movilidad común (clave MIP) para el agente del lugar de origen 8B y el aparato terminal móvil 1 para el caso del PMIP o bien una clave de movilidad común para el agente del lugar de origen 8B y un cliente PMIP 6B para el caso del PMIP. Si la red del lugar de origen 12 es capaz de Interworking WiMax, recibe el agente del lugar de origen 8B esta clave MIP del servidor AAA de la red del lugar de origen 12. Desde luego si, tal como se representa en la figura 5, el servidor AAA 11 no está en condiciones de proporcionar en base a la correspondiente consulta del agente del lugar de origen 8B los atributos MIP necesarios, se activa el procedimiento correspondiente a la invención. El servidor AAA 3GPP 11, tal como se representa en la figura 5, no puede proporcionar ninguna clave criptográfica correspondiente para asegurar mensajes de señalización de movilidad, puesto que el mismo no puede interpretar la consulta del agente del lugar de origen 8B. En el procedimiento correspondiente a la invención se deja sin modificar el servidor de autentificación 11 de la red del lugar de origen 12, que no es capaz para WiMax, y se proporciona la clave de movilidad mediante el servidor proxy AAA 8C al agente del lugar de origen 8B. Una vez que se ha detectado que el servidor de autentificación 11 de la red del lugar de origen 12 no proporciona ninguna clave de movilidad, se activa una llamada funcionalidad Proxy-Home-MIP y para esta sesión AAA se crea un bloque de datos local por parte del servidor proxy de autentificación 8C. La funcionalidad necesaria para PMIP/CMIP no es puesta a disposición por lo tanto según la invención por el servidor de autentificación 11 de la red del lugar de origen 12, sino por el servidor proxy AAA de la red intermedia 9, que se encuentra en la ruta de comunicación entre el servidor de autentificación 11 de la red 3GPP y la pasarela 6 de la red de acceso 4.
La figura 6 muestra un diagrama secuencial para la autentificación de un aparato terminal móvil 1 en una forma de ejecución del procedimiento correspondiente a la invención.
Tras la etapa de arranque S0, se establece en la etapa S1 primeramente un enlace por radio entre el aparato terminal móvil 1 y una estación de base 3 de la red de acceso 4 en la etapa S1. A continuación se retransmiten en la etapa S2 mensajes de autentificación entre la red de acceso 4 y la red del lugar de origen 12 mediante el servidor proxy de autentificación 8C de la red intermedia 9. Los mensajes de autentificación contienen una identidad del abonado para identificar el correspondiente aparato terminal móvil 1. La identidad de abonado es por ejemplo un identificador del acceso a la red NAI. Alternativamente se forma la identidad del abonado por ejemplo mediante una dirección del lugar de origen del aparato terminal móvil 1. Los mensajes de autentificación retransmitidos por el servidor proxy AAA 8C llegan al servidor de autentificación 11 de la red del lugar de origen 12. El servidor de autentificación 11 de la red del lugar de origen 12 ejecuta entonces la autentificación del abonado. Si la autentificación tiene éxito, envía el servidor de autentificación 11 el correspondiente mensaje a través del servidor proxy de autentificación 8C de la red intermedia 9 a la red de acceso 4. En la etapa S3 comprueba el servidor PROXY de autentificación 8C de la red intermedia 9 si la autentificación por parte del servidor de autentificación 11 de la red del lugar de origen 12 ha terminado con éxito. Esto lo detecta el mismo por ejemplo en base al correspondiente aviso de éxito (Success) del servidor de autentificación 11. Si detecta el servidor proxy de autentificación 8C en base a los mensajes transmitidos desde la red del lugar de origen 12 a la red de acceso 4 que la autentificación de un abonado ha terminado con éxito, se extrae y memoriza transitoriamente mediante el servidor proxy de autentificación 8C en la etapa 4 la correspondiente identidad de abonado.
El proceso finaliza en la etapa S5. El servidor proxy AAA 8C memoriza así todas las identidades de abonado correspondientes a abonados o bien aparatos terminales móviles 1 cuya autentificación ha terminado con éxito.
Tal como puede observarse en la figura 7, cuando tras una etapa de arranque S6 recibe el agente del lugar de origen 8B en un instante posterior un mensaje de solicitud de registro, envía el agente del lugar de origen 8B en la etapa S8 el correspondiente mensaje de solicitud de clave a su servidor proxy de autentificación 8C. En el mensaje de solicitud de registro recibido está contenida la identidad de abonado de un aparato terminal móvil 1. El correspondiente mensaje de solicitud de clave generado en base a ello por parte del agente del lugar de origen 8B en el servidor proxy de autentificación 8C incluye igualmente esta identidad de abonado. El servidor proxy de autentificación 8C comprueba en la etapa S9 si la identidad de abonado incluida en el mensaje de solicitud de clave coincide con una de las identidades de abonado que él ha memorizado en la etapa S4. Si es éste el caso, proporciona el servidor Proxy de autentificación 8C en la etapa S10 una clave de movilidad para el aseguramiento criptográfico de mensajes de aseguramiento de movilidad. El servidor proxy de autentificación 8C transmite la clave de movilidad proporcionada al agente del lugar de origen 8B. Preferiblemente se transmite también la clave de movilidad a un servidor de cliente de autentificación 6D de la red de acceso 4. El proceso finaliza en la etapa S11.
La clave de movilidad proporcionada en la etapa S10 se genera aleatoriamente en una primera forma de ejecución del procedimiento correspondiente a la invención mediante el servidor proxy de autentificación 8C.
En una forma de ejecución alternativa, deriva el servidor proxy de autentificación 8C la clave de movilidad (clave MIP) de una clave MSK (Master Session Key), que ha retransmitido el servidor proxy de autentificación 8C a la red de acceso 4. Entonces puede derivarse la clave MIP de la clave MSK según una función cualquiera de derivación de claves, por ejemplo mediante una función Hash. La función Hash reduce datos de cualquier tamaño a una llamada huella digital. Un ejemplo de una tal función Hash es SHA-1. Al respecto se reproducen datos de un máximo de 2^{64} bits a 160 bits. Una función Hash alternativa es MD5. MD5 divide, al igual que SHA-1, la entrada en bloques de un tamaño de 500 bits y genera valores Hash de un tamaño de 128 bits.
En una forma de ejecución alternativa se forma la clave de movilidad proporcionada mediante una parte de la clave MSK 12 recibida del servidor proxy de autentificación 8C.
En otra forma de ejecución alternativa la clave de movilidad proporcionada es idéntica a la clave MSK transmitida.
Los mensajes de autentificación se transmiten en formas de ejecución preferentes según el protocolo Radius o Diameter.
En el procedimiento correspondiente a la invención ofrece la red intermedia 9 la funcionalidad MIP del lugar de origen, en el caso de que la misma no sea apoyada por la red del lugar de origen 12. De esta manera es posible, incluso en redes del lugar de origen que no apoyan ningún MIP, por ejemplo en redes 3GPP, la macromovilidad basada en MIP. MIP se utiliza dentro de la red de acceso 4 y de la red intermedia 9 para realizar una transferencia (handover) entre distintas redes de acceso 4. En el registro MIP del agente ajeno 6a consulta el agente del lugar de origen 8B de la red intermedia 9 la clave de movilidad al correspondiente servidor proxy de autentificación 8C. El mismo utiliza entonces la correspondiente identidad de abonado, es decir, por ejemplo una identificación de acceso a red NAI (Network Access Identifier) o la dirección del lugar de origen del aparato terminal móvil 1. Este mensaje de solicitud de clave es respondido por el servidor proxy de autentificación 8C, en el caso de que esté establecido el correspondiente bloque de datos. Para que el servidor proxy de autentificación 8C pueda proporcionar la correspondiente clave, está diseñado tal que el mismo interpreta los mensajes que se intercambian entre el servidor de autentificación 11 de la red del lugar de origen 12 y un autentificador en la red de acceso 4 durante la autentificación del aparato terminal móvil 1.
El agente del lugar de origen 8B se encuentra preferiblemente, tal como se representa en la figura 5, en la red intermedia 9. En una forma de ejecución alternativa, se encuentra el agente del lugar de origen 8B en la red del lugar de origen 12.
En una forma de ejecución alternativa del procedimiento correspondiente a la invención, se utiliza como funcionalidad de IP móvil IPV6 móvil [RFC3775].
En una forma de ejecución preferente del procedimiento correspondiente a la invención, la clave de movilidad es consultada por el agente del lugar de origen 8B sólo una vez mediante un mensaje de solicitud de clave del servidor proxy de autentificación 8C.
Con el procedimiento correspondiente a la invención es posible la utilización de servidores AAA Legacy (heredados), como por ejemplo servidores WLAN o 3GPP para redes WiMax, aun cuando estos servidores no proporcionan la funcionalidad CMIP/PMIP esperada de redes WiMax. Con el procedimiento correspondiente a la invención es posible una macromovilidad basada en PMIP pese a la utilización de servidores AAA Legacy en la red del lugar de origen 12. Un operador de red de una red WLAN o 3GPP no tiene por lo tanto que apoyar por sí mismo en general PMIP y puede no obstante posibilitar a su cliente un Roaming/Interworking (itinerancia/interoperación) con redes de radio WiMax. Con el procedimiento correspondiente a la invención es en particular posible con el apoyo PMIP permitir también Interworking a aparatos terminales sin el apoyo de IP WiMax móvil. En particular, posibilita el procedimiento correspondiente a la invención un interworking WiMax-3GPP análogo al acceso WLAN directo IP especificado actualmente.
La figura 8 muestra un diagrama de flujo de mensajes de una forma de ejecución preferente del procedimiento correspondiente a la invención. Cuando durante la autentificación de acceso el servidor de autentificación de la red del lugar de origen, por ejemplo de una red 3GPP, no aporta ninguna dirección del agente del lugar de origen, entonces crea el servidor de autentificación de la red visitada la dirección del lugar de origen para el agente del lugar de origen de la red intermedia y crea un estado para la posterior solicitud de la clave de movilidad por parte del agente del lugar de origen 8B de la red intermedia. Los datos de estado contienen una identidad de abonado. Las etapas 16b, 17a representadas en la figura 4, es decir, la solicitud de la clave de movilidad por parte del agente del lugar de origen 8B al servidor de autentificación 11 de la red del lugar de origen 12 y la correspondiente respuesta, se suprimen en el procedimiento correspondiente a la invención. El mensaje de solicitud de clave, que contiene la identidad del abonado, se contesta en el procedimiento correspondiente a la invención mediante el servidor proxy de autentificación 8C de la red intermedia 9. El procedimiento correspondiente a la invención posibilita así una gestión de macromovilidad en redes WiMax sin el apoyo de la red del lugar de origen.

Claims (26)

1. Procedimiento para proporcionar al menos una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para un agente del lugar de origen con las siguientes
etapas:
(a)
establecimiento de un enlace por radio entre un aparato terminal móvil de abonado (1) y una red de acceso (4),
retransmitiendo un servidor de autentificación proxy (8C) de una red intermedia (9), para autentificar un abonado, al menos un mensaje de autentificación, que contiene una identidad del abonado, entre la red de acceso (4) y una red del lugar de origen (12) del abonado y, cuando tiene éxito la autentificación por parte de un servidor de autentificación (11) de la red del lugar de origen (12), memorizando la correspondiente identidad de abonado;
(b)
recepción de un mensaje de solicitud de registro procedente de un aparato terminal móvil de abonado, que contiene una identidad de abonado, mediante un agente del lugar de origen;
(c)
envío de un mensaje de solicitud de clave para una clave de movilidad desde el agente del lugar de origen (8B) al correspondiente servidor proxy de autentificación (8C);
conteniendo el mensaje de solicitud de clave la identidad de abonado contenida en el mensaje de solicitud de registro; y
(d)
aportación de una clave de movilidad por parte del servidor proxy de autentificación (8C) para el agente del lugar de origen (8B), cuando la identidad del abonado contenida en el mensaje de solicitud de clave coincida con una de las identidades de abonado memorizadas por el servidor proxy de autentificación (8C).
2. Procedimiento según la reivindicación 1,
en el que la clave de movilidad se genera automáticamente mediante el servidor proxy de autentificación (8C).
3. Procedimiento según la reivindicación 1,
en el que el servidor de autentificación (11) de la red del lugar de origen (12), cuando ha tenido éxito la autentificación, transmite una clave MSK contenida en un mensaje de autentificación mediante el servidor proxy de autentificación (8C) a un cliente de autentificación (6C) de la red de acceso (4).
4. Procedimiento según la reivindicación 3,
en el que el servidor proxy de autentificación (8C) deriva la clave de movilidad a partir de la clave MSK transmitida.
5. Procedimiento según la reivindicación 4,
en el que la clave de movilidad constituye una parte de la clave MSK transmitida.
6. Procedimiento según la reivindicación 4,
en el que la clave de movilidad es idéntica a la clave MSK transmitida.
7. Procedimiento según la reivindicación 4,
en el que la clave de movilidad se deriva mediante una función de derivación de clave criptográfica o mediante una función Hash criptográfica.
8. Procedimiento según la reivindicación 1,
en el que los mensajes de autentificación se transmiten según un protocolo de transmisión de datos RADIUS.
9. Procedimiento según la reivindicación 1,
en el que los mensajes de autentificación se transmiten según un protocolo de transmisión de datos Diameter.
10. Procedimiento según la reivindicación 1,
en el que la red de acceso (4) está formada por una red de acceso WIMAX (ASN).
11. Procedimiento según la reivindicación 1,
en el que la red intermedia (9) está formada por una red intermedia WIMAX (CSN).
12. Procedimiento según la reivindicación 1,
en el que la red del lugar de origen (12) está formada por una red 3GPP.
13. Procedimiento según la reivindicación 1,
en el que la red del lugar de origen está formada por una red WLAN.
14. Procedimiento según la reivindicación 1,
en el que la identidad del abonado está formada por un identificador de acceso a la red NAI.
15. Procedimiento según la reivindicación 1,
en el que la identidad del abonado se forma mediante una dirección del lugar de origen del abonado.
16. Procedimiento según la reivindicación 1,
en el que la clave de movilidad se pone a disposición adicionalmente de un cliente PMIP (6B) de la red de acceso (4).
17. Procedimiento según la reivindicación 1,
en el que varias redes intermedias (9) se encuentran entre la red de acceso (4) y la red del lugar de origen (12).
18. Procedimiento según la reivindicación 17,
en el que el agente del lugar de origen (8B) está previsto en la red del lugar de origen (12) o en una de las redes intermedias (9).
19. Procedimiento según la reivindicación 17,
en el que el servidor proxy de autentificación (8C) está previsto en la red del lugar de origen (12) o en una de las redes intermedias (9).
20. Servidor proxy de autentificación (8C) para proporcionar una clave de movilidad para un aseguramiento criptográfico de mensajes de señalización de movilidad,
en el que el servidor proxy de autentificación (8C) está configurado tal que una vez realizada con éxito la autentificación de un abonado, memoriza su correspondiente identidad de abonado y tras recibir un mensaje de solicitud de clave para una clave de movilidad desde un agente de movilidad (8B), proporciona una clave de movilidad cuando una identidad de abonado contenida en el mensaje de solicitud de la clave coincide con una de las identidades de abonado memorizadas.
21. Servidor proxy de autentificación según la reivindicación 20,
en el que el servidor proxy de autentificación (8C) está configurado tal que genera aleatoriamente la clave de movilidad.
22. Servidor proxy de autentificación según la reivindicación 20,
en el que el servidor proxy de autentificación (8C) está conectado con un servidor de autentificación (11) de una red del lugar de origen (12).
23. Servidor proxy de autentificación según la reivindicación 20,
en el que el servidor proxy de autentificación (8C) está configurado tal que deriva la clave de movilidad de una clave MSK dada por el servidor de autentificación (11) de la red del lugar de origen (12).
24. Servidor proxy de autentificación según la reivindicación 20,
en el que la red del lugar de origen (12) es una red 3GPP.
25. Servidor proxy de autentificación según la reivindicación 20,
en el que la red del lugar de origen (12) es una red WLAN.
26. Servidor proxy de autentificación según la reivindicación 20,
en el que el servidor proxy de autentificación (8C) es un servidor proxy de autentificación WIMAX.
ES06807632T 2005-11-04 2006-10-27 Procedimiento y servidor para proporcionar una clave de movilidad. Active ES2349292T3 (es)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE102005052718 2005-11-04
DE102005052718 2005-11-04
DE102006004868 2006-02-02
DE102006004868A DE102006004868B4 (de) 2005-11-04 2006-02-02 Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels

Publications (1)

Publication Number Publication Date
ES2349292T3 true ES2349292T3 (es) 2010-12-29

Family

ID=37722717

Family Applications (1)

Application Number Title Priority Date Filing Date
ES06807632T Active ES2349292T3 (es) 2005-11-04 2006-10-27 Procedimiento y servidor para proporcionar una clave de movilidad.

Country Status (10)

Country Link
US (1) US8533471B2 (es)
EP (1) EP1943855B1 (es)
JP (1) JP4806028B2 (es)
KR (1) KR100960747B1 (es)
CN (1) CN101300889B (es)
AT (1) ATE475279T1 (es)
DE (2) DE102006004868B4 (es)
ES (1) ES2349292T3 (es)
PL (1) PL1943855T3 (es)
WO (1) WO2007051768A1 (es)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1914960B1 (en) * 2006-10-16 2013-01-09 Nokia Siemens Networks GmbH & Co. KG Method for transmission of DHCP messages
ES2362444T3 (es) * 2007-01-04 2011-07-05 Telefonaktiebolaget Lm Ericsson (Publ) Método y aparato para determinar un procedimiento de autentificación.
KR101341720B1 (ko) 2007-05-21 2013-12-16 삼성전자주식회사 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법
ES2379059B1 (es) * 2007-12-03 2013-01-29 Zte U.S.A., Inc. Método y sistemas para negociar y autorizar uno o más servicios del protocolo internet (ip) entre una pluralidad de entidades de red en un sistema de comunicación inalámbrico, el correspondiente sistema de comunicación inalámbrico y estación móvil asociada a dicho sistema.
CN101557590A (zh) * 2008-04-07 2009-10-14 华为技术有限公司 一种移动终端接入网络的安全验证方法、系统和装置
WO2009147468A2 (en) * 2008-05-27 2009-12-10 Telefonaktiebolaget L M Ericsson (Publ) System and method for backwards compatible multi-access with proxy mobile internet protocol
US8432922B2 (en) * 2008-06-03 2013-04-30 Xtera Communications, Inc. Method for managing IP tunnels
KR101556906B1 (ko) * 2008-12-29 2015-10-06 삼성전자주식회사 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법
US9775027B2 (en) * 2009-12-31 2017-09-26 Alcatel Lucent Method for interworking among wireless technologies
US9167427B2 (en) * 2013-03-15 2015-10-20 Alcatel Lucent Method of providing user equipment with access to a network and a network configured to provide access to the user equipment
CN105900375B (zh) 2014-01-13 2020-02-07 维萨国际服务协会 用于在认证交易中保护身份的设备、系统和方法
WO2015169552A1 (en) 2014-05-05 2015-11-12 Telefonaktiebolaget L M Ericsson (Publ) Protecting wlcp message exchange between twag and ue
EP3860041B1 (en) 2014-06-18 2023-03-15 Visa International Service Association Efficient methods for authenticated communication
US9813245B2 (en) 2014-08-29 2017-11-07 Visa International Service Association Methods for secure cryptogram generation
US10461933B2 (en) 2015-01-27 2019-10-29 Visa International Service Association Methods for secure credential provisioning
CN106304064A (zh) * 2015-05-28 2017-01-04 中兴通讯股份有限公司 漫游方法、漫游服务器、移动终端及系统
AU2016369606A1 (en) 2015-12-16 2018-05-31 Visa International Service Association Systems and methods for secure multi-party communications using a proxy
US10972257B2 (en) 2016-06-07 2021-04-06 Visa International Service Association Multi-level communication encryption
CN106097167A (zh) * 2016-06-07 2016-11-09 深圳心驰技术有限公司 一种金融押运信息服务系统
US10098043B2 (en) * 2017-02-24 2018-10-09 Verizon Patent And Licensing Inc. System and method for handover management for wireless device
GB201809887D0 (en) * 2018-06-15 2018-08-01 Iothic Ltd Decentralised authentication

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI102235B1 (fi) * 1996-01-24 1998-10-30 Nokia Telecommunications Oy Autentikointiavainten hallinta matkaviestinjärjestelmässä
EP0939571B1 (en) * 1998-02-27 2007-05-09 Telefonaktiebolaget LM Ericsson (publ) Authentication method and authentication device for secured communications between an ATM mobile terminal and an ATM access node of a wireless ATM radio communication network
KR100420265B1 (ko) 2001-11-15 2004-03-02 한국전자통신연구원 무선 인터넷 망간 접속 방법
US7475241B2 (en) * 2002-11-22 2009-01-06 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US6978317B2 (en) * 2003-12-24 2005-12-20 Motorola, Inc. Method and apparatus for a mobile device to address a private home agent having a public address and a private address
JP3955025B2 (ja) * 2004-01-15 2007-08-08 松下電器産業株式会社 移動無線端末装置、仮想私設網中継装置及び接続認証サーバ
US20060182061A1 (en) * 2005-02-17 2006-08-17 Nokia Corporation Interworking between wireless WAN and other networks
US7313394B2 (en) * 2005-07-15 2007-12-25 Intel Corporation Secure proxy mobile apparatus, systems, and methods
US7626963B2 (en) * 2005-10-25 2009-12-01 Cisco Technology, Inc. EAP/SIM authentication for mobile IP to leverage GSM/SIM authentication infrastructure

Also Published As

Publication number Publication date
EP1943855B1 (de) 2010-07-21
US8533471B2 (en) 2013-09-10
JP4806028B2 (ja) 2011-11-02
ATE475279T1 (de) 2010-08-15
WO2007051768A1 (de) 2007-05-10
JP2009515448A (ja) 2009-04-09
PL1943855T3 (pl) 2010-12-31
US20080270794A1 (en) 2008-10-30
EP1943855A1 (de) 2008-07-16
CN101300889B (zh) 2012-07-04
KR20080074956A (ko) 2008-08-13
DE502006007501D1 (de) 2010-09-02
KR100960747B1 (ko) 2010-06-01
DE102006004868B4 (de) 2010-06-02
DE102006004868A1 (de) 2007-05-10
CN101300889A (zh) 2008-11-05

Similar Documents

Publication Publication Date Title
ES2349292T3 (es) Procedimiento y servidor para proporcionar una clave de movilidad.
ES2662591T3 (es) Procedimiento y servidor para la facilitación de una clave de movilidad
US10425808B2 (en) Managing user access in a communications network
ES2609257T3 (es) Procedimiento y sistema para proporcionar una clave específica de acceso
US8549294B2 (en) Securing home agent to mobile node communication with HA-MN key
US9043599B2 (en) Method and server for providing a mobility key
ES2321878T3 (es) Activacion forzada especifica para un abonado de proxy mobiles ip (pmip) en lugar de client mobile ip (cmip).
US8611543B2 (en) Method and system for providing a mobile IP key
Georgiades et al. Distributed authentication protocol for the security of binding updates in mobile IPv6