ES2368566T3 - Conexión rápida a red. - Google Patents

Conexión rápida a red. Download PDF

Info

Publication number
ES2368566T3
ES2368566T3 ES04766569T ES04766569T ES2368566T3 ES 2368566 T3 ES2368566 T3 ES 2368566T3 ES 04766569 T ES04766569 T ES 04766569T ES 04766569 T ES04766569 T ES 04766569T ES 2368566 T3 ES2368566 T3 ES 2368566T3
Authority
ES
Spain
Prior art keywords
mobile node
access
access router
router
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES04766569T
Other languages
English (en)
Inventor
Jari Arkko
Pekka Nikander
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of ES2368566T3 publication Critical patent/ES2368566T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/087Mobility data transfer for preserving data network PoA address despite hand-offs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Procedimiento para facilitar un acceso de protocolo de Internet por parte de un nodo móvil a una red de acceso, comprendiendo el procedimiento: enviar una solicitud de conexión desde el nodo móvil a un enrutador de acceso de la red de acceso, conteniendo la solicitud un identificador de nodo móvil y un identificador de interfaz o medios para derivar un identificador de interfaz, y estando firmada por el nodo móvil usando una clave privada de un par de claves privada-pública, para permitir que el mensaje sea autenticado como procedente de ese nodo móvil, y recibir la solicitud en el enrutador de acceso y autenticar el mensaje en el mismo, usando la firma y la clave pública de dicho par de claves privada-pública, en respuesta a la recepción y autenticación del mensaje, realizar un conjunto predefinido de tareas delegadas al enrutador de acceso y que son necesarias para autorizar al nodo móvil y facilitar, de esta manera, dicho acceso, y devolver un acuse de recibo desde el enrutador de acceso al nodo móvil, confirmando el permiso de acceso, conteniendo el acuse de recibo un prefijo de enrutamiento de red y medios para autenticar el enrutador de acceso al nodo móvil.

Description

Conexión rápida a red.
Campo de la invención
La presente invención se refiere a un mecanismo de conexión rápida a red para una red inalámbrica móvil.
Antecedentes de la invención
En el contexto de una red inalámbrica de comunicaciones móviles, el término "conexión" se refiere al procedimiento mediante el cual un dispositivo de usuario se conecta a una red inalámbrica doméstica (tal como un punto de acceso LAN inalámbrico) y es capaz de usar al menos algunos de los servicios ofrecidos por esa red. En la práctica, este procedimiento implica múltiples capas de protocolos relacionadas, por ejemplo, con la identificación de las frecuencias de radio correctas, negociación de capa de radio para permitir las comunicaciones con el punto de acceso, procedimientos de autorización y autenticación de acceso a red, iniciación de protección de seguridad de la capa de enlace, búsqueda de enrutadores y direcciones en la capa IP, y restablecimiento de los mecanismos de movilidad a una nueva dirección IP. Desafortunadamente, estas tareas requieren tiempo para completarse, y la interacción y los efectos generales de las tareas individuales no se comprenden bien, porque la mayoría del trabajo sobre temas de acceso inalámbrico se ha centrado sólo en un aspecto particular.
Un área con probabilidades de sufrir particularmente un fallo debido a temas de interrelación de múltiples protocolos es el de la movilidad entre diferentes tipos de redes. Por ejemplo, los investigadores en esta área han tendido a ignorar los efectos de tener que tener un control de acceso en el enlace (necesario debido a requerimientos legales y/o de negocios). Los usuarios reales están sólo empezando a aprovechar la movilidad entre diferentes tipos de redes y, por lo tanto, los problemas asociados no han sido vistos o apreciados completamente.
IP móvil es un conjunto de protocolos que permiten la itinerancia de los abonados entre redes de acceso, mientras que al mismo tiempo aseguran que los abonados son accesibles por nodos correspondientes que no conocen las ubicaciones actuales de los abonados. La Figura 1 ilustra esquemáticamente una arquitectura de red para la implementación de IP móvil. Un abonado 1 está conectado a un enrutador 2 de acceso de una red 3 de acceso. Es fundamental para IP móvil la provisión de un agente 4 doméstico en una red 5 doméstica del abonado, el cual conoce la ubicación actual del abonado 1 (la ubicación actual se define por una dirección IP conocida como "dirección dinámica") y es capaz de enrutar los mensajes dirigidos a la dirección IP fija del abonado a la ubicación actual. Se usan mensajes de actualización de unión para permitir que el abonado 1 actualice su dirección dinámica en el agente 4 doméstico, por ejemplo, en el caso en el que el abonado realiza una itinerancia a una nueva red de acceso. Cuando un abonado cambia su dirección dinámica, un procedimiento de optimización de ruta puede ser invocado para garantizar que los paquetes enviados posteriormente desde los servidores 6 correspondientes conectados a las redes 7 de acceso respectivas son enrutados al abonado a través de la ruta óptima. Un servidor 8 de autenticación, autorización y contabilidad (AAA), situado en la red 5 doméstica, se comunica con el agente 4 doméstico.
En el caso del protocolo de Internet, versión 6 (IPv6), el procedimiento de conexión a red en un enlace inalámbrico típico es el siguiente:
Conexión de capa de enlace, tal como la detección y la conexión a un punto de acceso de una red de área local inalámbrica (LAN) específica.
Procedimientos de control de acceso. Para ello, se usan mecanismos tales como 802.1 X y EAP. Típicamente, esto implica tres mensajes de control EAP (solicitud de identidad, respuesta y éxito, encapsulados en el mensaje EAPOL-éxito), y un procedimiento de autenticación específico. Los procedimientos de autenticación sencillos se completan en dos mensajes, pero muchos procedimientos requieren más.
Búsqueda de enrutador. Este es el procedimiento de búsqueda del enrutador por defecto para el nodo y la determinación de los prefijos de enrutamiento para este enlace. En el caso más simple, esto requiere dos mensajes, con un período de espera entre los mismos.
Detección de direcciones duplicadas (Duplicate Address Detection, DAD). Esto se usa para garantizar que la dirección que el nodo móvil selecciona para su uso en este enlace es única. Típicamente, esto implica un mensaje y un período de espera.
Procedimientos de gestión de movilidad. Estos incluyen una mensajería con un agente doméstico y, posiblemente, con los nodos correspondientes y un enrutador previo. La mensajería consiste, típicamente, en dos mensajes intercambiados entre el terminal de usuario y el agente doméstico, cinco mensajes (parcialmente simultáneos) con cada nodo correspondiente y un mensaje con el enrutador previo.
El protocolo de Internet, versión 4 (Ipv4), se comporta, en gran medida, de la misma manera que el IPv6. Sin embargo, la búsqueda de enrutador, la búsqueda de vecindad y la autoconfiguración de direcciones son reemplazadas por el protocolo de control de servidor dinámico (Dynamic Host Control Protocol, DHCP), y no hay soporte para DAD. DHCP requiere, típicamente, cuatro mensajes. IPv4 móvil no tiene optimización de ruta y, por lo tanto, implica sólo dos mensajes adicionales relacionados con la movilidad. En IPv4 no hay soporte para un traspaso suave desde un enrutador de acceso antiguo a uno nuevo.
En resumen, con Ipv6, hay al menos 16 mensajes en el caso completo, suponiendo que hay sólo un nodo correspondiente, y dos períodos de espera distintos (aunque cuatro de los mensajes pueden ser enviados en paralelo). En el caso de IPv4, el número de mensajes es algo menor debido a la menor funcionalidad de IPv4 y al papel central de DHCP. Sin embargo, todavía se necesitan al menos 11 mensajes.
Se está trabajando para tratar de optimizar algunos de los procedimientos de señalización expuestos anteriormente. En particular:
La denominada DAD “optimizada" intenta evitar los retrasos asociados con DAD, y puede permitir también el uso de la dirección provisional antes de que DAD se haya completado. El beneficio potencial de este enfoque es la eliminación de un período de espera, y un posible paralelismo adicional en la secuencia de mensajes. Otro enfoque propuesto usa el enrutador de acceso para ayudar en el procedimiento DAD.
Detección optimizada de movimiento intenta hacer que se detecte más rápidamente cuándo se ha producido un movimiento (de un terminal de usuario), y para identificar los parámetros de red en la nueva red. Esto implica nuevos algoritmos para la reducción de los periodos de espera asociados con la publicidad del enrutador IPv6, pero no reduce la cantidad total de mensajes.
IP móvil jerárquica (HMIP) intenta localizar movimientos, de manera que el número de actualizaciones de ubicación enviadas al agente doméstico y a los nodos correspondientes pueda ser minimizado.
Estos enfoques de optimización se refieren principalmente a la eliminación de tiempos de espera innecesarios. No parecen tener un impacto significativo en la cantidad de señalización necesaria, con la excepción de HMIP. Sin embargo, HMIP no reduce la cantidad de señalización básica de acceso a la red, sólo acorta el camino que debe tomar esta señalización.
El documento WO01/76134 describe un procedimiento de autenticación y acuerdo de clave para permitir a un nodo móvil y a una red de datos por paquetes generar un clave de sesión secreta, compartida.
Resumen de la invención
Un objeto de la presente invención es reducir el número de mensajes necesarios para facilitar un acceso a red de un nodo móvil. Esto se consigue delegando, de manera segura, determinadas tareas, realizadas actualmente por el nodo móvil, a un enrutador de acceso de la red de acceso.
Un objeto de la invención es proporcionar un esquema conocido como esquema de seguridad basado en delegación, en lugar de enviar mensajes extremo a extremo entre el nodo móvil y cualquier entidad de red troncal con la que tiene que hablar, envía certificados desde el nodo móvil a un enrutador de acceso, que delega algunas de las tareas al enrutador de acceso, que de otra manera tendrían que ser realizadas por el nodo móvil.
Según un primer aspecto de la presente invención, se proporciona un procedimiento para facilitar un acceso de protocolo de Internet por un nodo móvil a una red de acceso, comprendiendo el procedimiento:
enviar una solicitud de conexión desde el nodo móvil a un enrutador de acceso de la red de acceso, conteniendo la solicitud un identificador de nodo móvil y un identificador de interfaz o medios para derivar un identificador de interfaz, y estando firmada por el nodo móvil usando una calve privada de un par de claves privada-pública, para permitir que el mensaje sea autenticado como procedente de un nodo móvil, y
recibir la solicitud en el enrutador de acceso y autenticar el mensaje en el mismo, usando la firma y la clave pública de dicho par de claves privada-pública, caracterizado porque
en respuesta a la recepción y autenticación del mensaje, realiza un conjunto predefinido de tareas delegadas al enrutador de acceso y que son necesarias para autorizar el nodo móvil y facilitar, de esta manera, dicho acceso, y
devolver un acuse de recibo desde el enrutador de acceso al nodo móvil, confirmando el permiso de acceso, conteniendo el acuse de recibo un prefijo de enrutamiento de red y medios para autenticar el enrutador de acceso al nodo móvil.
La aplicación de la presente invención puede resultar en una reducción considerable en el número de mensajes de señalización necesarios para proporcionar una conexión a red para un nodo móvil, mediante la aplicación de un enfoque holístico en lugar de centrarse en tareas y protocolos particulares. Mejora las posibilidades de una itinerancia casi transparente entre redes de acceso.
Preferentemente, la solicitud de conexión contiene uno o más de los elementos siguientes:
identificador de acceso a red (NAI) del nodo móvil, clave pública propia del nodo móvil, una raíz de confianza para cualquier enrutador de acceso que el nodo móvil desea aceptar, una dirección del agente
doméstico del nodo móvil, direcciones de los nodos correspondientes con los que el nodo móvil desea establecer una optimización de ruta, un identificador de interfaz (IID), construido mediante generación criptográfica de direcciones (Cryptographically
Generated Address, CGA), la identidad del enrutador de acceso (si se conoce), los parámetros deseados para la conexión de enlace inalámbrico (si es necesario), una cookie, calculada en una manera conocida sólo por el nodo móvil, una firma, firmada con la clave privada del nodo móvil. Preferentemente, la recepción de la solicitud de conexión en el enrutador de acceso desencadena uno o más de los
procedimientos siguientes en el enrutador de acceso: Conexión en capa de enlace; Un procedimiento de control de acceso; Búsqueda de enrutador; Generación de dirección IP: Detección de direcciones duplicadas Preferentemente, dicho conjunto predefinido de tareas comprende: Implementar un procedimiento de acceso, autorización y contabilidad con una infraestructura adecuada (AAA
servidor) en la red doméstica del nodo móvil; Realizar una actualización de unión en nombre del nodo móvil con un agente doméstico del nodo móvil; Realizar una optimización de ruta con uno o más nodos correspondientes del nodo móvil. Según un segundo aspecto de la presente invención, se proporciona un procedimiento de funcionamiento de un
nodo móvil para facilitar un acceso de protocolo de Internet por parte del nodo móvil a una red de acceso, comprendiendo el procedimiento el envío de una solicitud de conexión desde el nodo móvil a un enrutador de acceso de la red de acceso, conteniendo la solicitud un identificador de nodo móvil y un identificador de interfaz o medios para derivar un identificador de interfaz, y estando firmada por el nodo móvil usando una clave privada de un par de claves privada-pública, para permitir que el mensaje sea autenticado por el enrutador de acceso como procedente de ese nodo móvil, caracterizado porque el mensaje contiene una autorización para el enrutador de acceso para realizar un conjunto predefinido de tareas delegadas al enrutador de acceso y que son necesarias para autorizar al nodo móvil y, de esta manera, facilitar dicho acceso
Según un tercer aspecto de la presente invención, se proporciona un procedimiento de funcionamiento de un enrutador de acceso dispuesto para facilitar el acceso de protocolo de Internet por parte de un nodo móvil a una red de acceso, comprendiendo el procedimiento:
recibir una solicitud de acceso en el enrutador de acceso y autenticar el mensaje en el mismo usando la firma y una clave pública de un par de claves privada-pública, y,
en respuesta a la recepción y autenticación del mensaje, caracterizado por las etapas de realizar un conjunto predefinido de tareas delegadas al enrutador de acceso, las cuales son necesarias para autorizar al nodo móvil y facilitar, de esta manera, dicho acceso, y
devolver un acuse de recibo desde el enrutador de acceso al nodo móvil, confirmando el permiso de acceso, conteniendo el acuse de recibo un prefijo de red (enrutamiento) y medios para autenticar el enrutador de acceso al nodo móvil.
Otros aspectos de la invención se exponen en las reivindicaciones adjuntas.
Breve descripción de los dibujos
La Figura 1 ilustra esquemáticamente una arquitectura de sistema de comunicación móvil que emplea IP móvil, y
La Figura 2 muestra una señalización asociada a un procedimiento de conexión rápida a red.
Descripción detallada de ciertas realizaciones
Al optimizar el procedimiento de conexión a red para un nodo móvil, deben tenerse en cuenta una serie de requisitos básicos. Desde el punto de vista del nodo móvil, el nodo móvil necesita demostrar a la red de acceso que tiene un derecho de acceso. También necesita demostrar al agente doméstico que tiene un derecho a actualizar su información de unión almacenada en el mismo, y a los nodos correspondientes que está accesible en la dirección doméstica y en la dirección dinámica. Finalmente, el nodo móvil necesita demostrar a otros nodos en la red visitada que es propietario de su dirección dinámica. Otros requisitos son:
El enrutador doméstico necesita demostrar su autoridad al nodo móvil, tanto en términos de autenticación de acceso como en términos de capacidad de actuar como un enrutador.
La infraestructura de acceso, autorización y contabilidad (AAA) necesita tener una prueba de que el nodo móvil es quien dice ser (para garantizar la seguridad y confirmar que se realizará el pago).
El agente doméstico necesita tener una prueba de que el nodo móvil ha solicitado, de hecho, una actualización de ubicación.
El procedimiento de conexión a red eficiente propuesto en la presente memoria se basa en las construcciones siguientes:
Una única solicitud (junto con sus credenciales asociadas) para que la red de acceso pueda ser usada para adquirir el permiso necesario desde el enrutador de acceso, el agente doméstico y, opcionalmente, la infraestructura AAA.
La creación de una dirección para un nodo móvil puede realizarse en dos etapas por nodos separados: el nodo móvil puede crear la parte identificador de interfaz (IID) de la dirección y asegurar su propiedad de la IID por medio de direcciones generadas criptográficamente (véase GB2367986) o los certificados de dirección EUI-64. El enrutador de acceso puede crear la parte prefijo de la dirección.
Los agentes domésticos (o servidores AAA domésticos) pueden actuar en nombre de los nodos móviles para verificar la confianza hacia el enrutador de acceso, y la exactitud de la construcción de dirección dinámica.
Los agentes domésticos pueden actuar en nombre de los nodos móviles para adquirir tokens “keygen” domésticos que son los valores criptográficos necesarios para realizar una optimización de rutas con los nodos correspondientes.
De manera similar, el enrutador de acceso puede actuar en nombre de los nodos móviles para adquirir tokens keygen dinámicos.
La prevención del ataque denegación de servicio sólo necesita ser empleada cuando los nodos implicados están siendo atacados, de lo contrario, los procedimientos de prevención solo causan un retardo extra.
Hay una serie de maneras diferentes para crear un protocolo de enlace inalámbrico basado en las construcciones anteriores. Una solución consiste en la secuencia de mensajes siguiente:
1. En algunos tipos de capas de enlace, puede ser posible para el nodo móvil recibir un mensaje "baliza" o de publicidad antes de que intente una conexión. Cuando dicho mensaje está disponible, contiene la información siguiente:
la identidad del enrutador de acceso, y,
opcionalmente, las capacidades y las propiedades del enrutador de acceso.
2. Cuando el nodo móvil está preparado para conectarse a un enlace, envía un "mensaje de nueva conexión" al enrutador de acceso apropiado. Este mensaje es una declaración firmada desde el nodo móvil, quizás en forma de un certificado. La declaración indica que el nodo móvil desea acceder, y contiene la información siguiente:
identificador de acceso a red (NAI) del nodo móvil,
la clave pública propia del nodo móvil,
una raíz de confianza para cualquier enrutador de acceso que aceptará el nodo móvil, la dirección del agente doméstico del nodo móvil,
las direcciones de los nodos correspondientes con los que el nodo móvil desea establecer una optimización de rutas,
un identificador de interfaz (IID), construido e mediante generación criptográfica de direcciones (CGA),
la identidad del enrutador de acceso (si se conoce),
los parámetros deseados para la conexión de enlace inalámbrico (si es necesario),
una cookie, calculada en una manera conocida sólo por el nodo móvil,
una firma, firmada con la clave privada del nodo móvil.
3. Una vez que el enrutador de acceso ha verificado la solicitud de acceso (los detalles de esto se exponen más adelante), envía un acuse de recibo al nodo móvil y le permite acceder a la red. Este acuse de recibo es una declaración firmada desde el enrutador de acceso de que ha realizado las tareas que le han sido delegadas. Además, el acuse de recibo transporta una declaración firmada desde la red AAA doméstica de que ha registrado la solicitud de acceso y ha verificado que la red de acceso es de confianza. El acuse de recibo transporta una declaración firmada similar desde el agente doméstico del nodo móvil de que ha registrado la nueva ubicación del nodo móvil, y ha verificado también que el enrutador de acceso es de confianza. El acuse de recibo contiene la información siguiente:
la cookie desde el nodo móvil,
el prefijo de red asignado para el nodo móvil,
la identidad y la clave pública del enrutador de acceso,
una firma del enrutador de acceso,
una firma de la red AAA doméstica del usuario,
y una firma del agente doméstico del usuario.
4.
El nodo móvil verifica que la cookie contenida en el acuse de recibo fue producida por él mismo, y verifica las firmas en el mensaje (para ello, puede usar las claves públicas conocidas). Suponiendo que las firmas son correctas, el nodo móvil empieza a enviar paquetes de datos.
5.
Una vez que el enrutador de acceso, el agente doméstico y un nodo correspondiente han concluido la necesaria señalización de movilidad necesaria para establecer la optimización de rutas, el enrutador de acceso envía un mensaje al nodo móvil, que contiene la información siguiente:
la cookie desde el nodo móvil,
la dirección del nodo correspondiente,
una firma del enrutador de acceso.
6. El nodo móvil verifica de nuevo que la cookie contenida en este mensaje fue producida por él mismo, y verifica la firma en el mensaje. Suponiendo que la información es correcta, el nodo móvil procede a usar la optimización de rutas en los paquetes de datos que envía al nodo correspondiente en cuestión.
Una vez completado este procedimiento, el nodo móvil ha sido autenticado a la red doméstica (con los posibles registros contables creados), se ha registrado con su agente doméstico y se ha registrado con todos sus nodos correspondientes.
Los paquetes de datos pueden fluir cuando el nodo móvil (a) ha recibido un acuse de recibo desde el enrutador de acceso de que se han realizado todas las etapas 1. a 6., (b) ha recibido al menos la información de prefijo, en cuyo caso podría empezar (de manera optimista) a enviar datos, o (c) inmediatamente si el enrutador de acceso "rellena" la parte prefijo de la dirección IP de origen en los paquetes del nodo móvil.
El uso de un único mensaje de solicitud -respuesta con la criptografía de clave pública tiene, potencialmente, una vulnerabilidad de tipo denegación de servicio (DoS). Un atacante podría generar un gran número de solicitudes, y el receptor, por ejemplo, el enrutador de acceso, debe realizar una gran cantidad de cálculos antes de que pueda determinar que las solicitudes no son válidas. La defensa normal tomada contra este ataque DoS es el intercambio de algunos paquetes verificados (débilmente) antes de realizar cálculos realmente pesados. Por ejemplo, el procedimiento de intercambio de clave de Internet (IKE) intercambia cookies y comprueba que el homólogo puede, de hecho, recibir paquetes en la dirección IP reivindicada antes de realizar cualquiera de los cálculos Diffie-Hellman
o RSA.
Una defensa similar puede ser usada en el procedimiento descrito en la presente memoria (que implica, típicamente, enviar una cookie desde la red de acceso al nodo móvil, y la inclusión de esta cookie en la solicitud de acceso inicial enviada por el nodo móvil), pero con el fin de evitar un retraso para un problema relativamente raro, los nodos implicados no invocan normalmente el intercambio extra. Por el contrario, lo invocan sólo cuando se consideran ellos mismos bajo una carga pesada o un potencial ataque de denegación de servicio. Específicamente, en dicha situación, el enrutador de acceso o la infraestructura subyacente puede negarse a verificar las firmas inmediatamente. En su lugar, puede enviar un mensaje de respuesta preliminar que contiene el mensaje original y la cookie del emisor, y adjuntar su propia cookie. Si la solicitud era real, el emisor recibirá este mensaje y responderá reenviando la solicitud con la cookie adicional del mensaje de respuesta preliminar. Esto garantiza que al menos el nodo en cuestión existe en una dirección IP conocida, y es capaz de enviar y recibir paquetes. En este caso, la secuencia de señalización es la siguiente:
1.
El nodo móvil envía un "mensaje de nueva conexión" cuando se conecta a un nuevo enlace.
2.
El enrutador de acceso o un nodo de infraestructura subyacente solicita una verificación adicional. El mensaje contiene la información siguiente:
la cookie desde el nodo móvil,
la cookie o las cookies desde el nodo o nodos enrutador de acceso (e infraestructura).
3.
El nodo móvil verifica que la cookie contenida en su interior fue producida por él mismo, y reenvía su solicitud original con un parámetro adicional, concretamente, la cookie o las cookies desde el nodo o los nodos enrutador de acceso (e infraestructura).
4.
A partir de este punto, el procedimiento continúa tal como se ha descrito anteriormente.
La parte infraestructura del procedimiento de conexión a red puede ser implementada en un número de maneras diferentes, dependiendo de si pueden emplearse nuevos protocolos o pueden reusarse unos existentes. En adelante, en la presente memoria, se proporciona solo una visión general de la provisión de la funcionalidad deseada en el enrutador de acceso, y cómo puede contactar con la infraestructura AAA, el agente doméstico y los nodos correspondientes, usando los protocolos existentes.
1.
La infraestructura AAA puede ser contactada usando mecanismos de autenticación existentes. Por ejemplo, el enrutador de acceso podría ejecutar EAP-TLS dentro de un protocolo RADIUS, y usar su propia clave para la autenticación de TLS cliente. Al incluir la solicitud de acceso firmada del nodo móvil en forma de certificado, la infraestructura AAA puede determinar que el nodo móvil ha delegado la tarea de autenticación al enrutador de acceso.
2.
El enrutador de acceso puede verificar la IID enviada por el nodo móvil, o bien manteniendo su propia base de datos de IIDs usadas en la actualidad en este enlace, o bien enviando una solicitud DAD IPv6 en el enlace en nombre del nodo móvil.
3.
El enrutador de acceso puede autenticarse a sí mismo al agente doméstico del nodo móvil usando su propia clave pública, y al igual que anteriormente, incluye la solicitud firmada del nodo móvil como un certificado. Además, el enrutador de acceso puede proporcionar la información de prefijo de red. A continuación, el agente doméstico puede determinar la nueva ubicación y verificar que, realmente, el nodo móvil ha hecho la solicitud para ser movido. Dependiendo de si el nodo móvil conocía o no la identidad del enrutador de acceso antes de realizar su solicitud, el agente doméstico puede ser capaz también de comprobar que el nodo móvil, el enrutador de acceso y el agente doméstico están de acuerdo, todos ellos, acerca de la identidad del enrutador de acceso.
4.
Una vez que el enrutador de acceso ha recibido una respuesta desde la infraestructura AAA y desde el agente doméstico, y ha verificado las firmas y las cookies recibidas, puede proceder al envío de un acuse de recibo al nodo móvil y permitirle acceder a la red.
5.
Cuando el agente doméstico ha aprobado la solicitud de acceso, el mismo puede enviar, en paralelo, un número de mensajes “init” de comprobación doméstica IPv6 móvil a los nodos correspondientes de la lista. De manera similar, el enrutador de acceso puede enviar un número de mensajes “init” comprobación dinámica a los mismos nodos correspondientes. Las respuestas a los mensajes de comprobación doméstica serán enviadas al enrutador de acceso desde el agente doméstico. Cuando se ha respondido a ambos mensajes de comprobación doméstica y dinámica, el enrutador de acceso puede combinar los valores de los mismos para enviar una actualización de unión al nodo correspondiente. (A diferencia de otros nodos implicados en este intercambio, el nodo correspondiente no necesita las declaraciones firmadas, ya que opera únicamente en base a comprobaciones de accesibilidad de dirección, que tienen éxito debido al agente doméstico y al enrutador de acceso que los realizan.)
Un resumen del flujo de mensajes se ilustra en la Figura 2.
Se apreciará que el procedimiento ilustrado puede ser optimizado aún más incluyendo la invocación paralela de los mensajes a los diferentes nodos de infraestructura.
El modelo presentado puede actuar también como un mecanismo de seguridad de una capa de enlace (enlace inalámbrico), por ejemplo, para permitir una encriptación entre el servidor y el enrutador de acceso. El intercambio criptográfico necesario para derivar las claves de sesión necesarias puede estar incluido en el "mensaje de nueva
5 conexión" y su acuse de recibo. Por ejemplo, puede realizarse un intercambio Diffie-Hellman con el fin de llegar a un acuerdo acerca de las claves de sesión.
En su mínima expresión, el procedimiento descrito en la presente memoria permite un mecanismo seguro de conexión a red, con un único mensaje, en el enlace inalámbrico, suponiendo, por supuesto, que pueden enviarse, de manera optimista, paquetes de datos antes de recibir un acuse de recibo. En cualquier caso, el mecanismo descrito
10 requiere como máximo 3 mensajes en el enlace inalámbrico para realizar una conexión a red para un nodo móvil.

Claims (12)

  1. REIVINDICACIONES
    1. Procedimiento para facilitar un acceso de protocolo de Internet por parte de un nodo móvil a una red de acceso, comprendiendo el procedimiento:
    enviar una solicitud de conexión desde el nodo móvil a un enrutador de acceso de la red de acceso, conteniendo la solicitud un identificador de nodo móvil y un identificador de interfaz o medios para derivar un identificador de interfaz, y estando firmada por el nodo móvil usando una clave privada de un par de claves privada-pública, para permitir que el mensaje sea autenticado como procedente de ese nodo móvil, y
    recibir la solicitud en el enrutador de acceso y autenticar el mensaje en el mismo, usando la firma y la clave pública de dicho par de claves privada-pública,
    en respuesta a la recepción y autenticación del mensaje, realizar un conjunto predefinido de tareas delegadas al enrutador de acceso y que son necesarias para autorizar al nodo móvil y facilitar, de esta manera, dicho acceso, y
    devolver un acuse de recibo desde el enrutador de acceso al nodo móvil, confirmando el permiso de acceso, conteniendo el acuse de recibo un prefijo de enrutamiento de red y medios para autenticar el enrutador de acceso al nodo móvil.
  2. 2.
    Procedimiento según la reivindicación 1, en el que la solicitud de conexión contiene uno o más de los siguientes: el identificador de acceso a red del nodo móvil, la clave pública propia del nodo móvil, una raíz de confianza para cualquier enrutador de acceso que el nodo móvil está dispuesto a aceptar, una dirección del agente doméstico del nodo móvil, las direcciones de los nodos correspondientes con los que el nodo móvil desea establecer una optimización de rutas, un identificador de interfaz, construido mediante generación criptográfica de direcciones, la identidad del enrutador de acceso, los parámetros deseados para la conexión de enlace inalámbrico, una cookie, calculada de una manera conocida sólo por el nodo móvil, una firma, firmada con la clave privada del nodo móvil.
  3. 3.
    Procedimiento según la reivindicación 1 ó 2, en el que la recepción de la solicitud de conexión en el enrutador de acceso desencadena uno o más de los procedimientos siguientes en el enrutador de acceso: Conexión en capa de enlace; Un procedimiento de control de acceso; Búsqueda de enrutador;
    Creación de dirección IP: Detección de direcciones duplicadas
  4. 4.
    Procedimiento según una cualquiera de las reivindicaciones anteriores, en el que dicho conjunto predefinido de
    tareas comprende: Implementar un procedimiento de acceso, autorización y contabilidad con una infraestructura apropiada en la red doméstica del nodo móvil;
    Realizar una actualización de unión en nombre del nodo móvil con un agente doméstico del nodo móvil; Realizar una optimización de rutas con uno o más nodos correspondientes del nodo móvil.
  5. 5.
    Procedimiento de funcionamiento de un nodo móvil para facilitar un acceso de protocolo de Internet por parte del nodo móvil a una red de acceso, comprendiendo el procedimiento enviar una solicitud de conexión desde el nodo móvil a un enrutador de acceso de la red de acceso, conteniendo la solicitud un identificador de nodo móvil y un identificador de interfaz o medios para derivar un identificador de interfaz, y estando firmada por el nodo móvil usando una clave privada de un par de claves privada-pública, para permitir que el mensaje sea autenticado como procedente de ese nodo móvil, conteniendo el mensaje una autorización para que el enrutador de acceso realice un
    conjunto predefinido de tareas delegadas al enrutador de acceso y que se requieren para autorizar el nodo móvil y facilitar, de esta manera, dicho acceso
  6. 6.
    Procedimiento de funcionamiento de un enrutador de acceso dispuesto para facilitar un acceso de protocolo de Internet por parte de un nodo móvil a una red de acceso, comprendiendo el procedimiento:
    recibir una solicitud de acceso en el enrutador de acceso y autenticar el mensaje en el mismo, usando la firma y una clave pública de un par de claves privada-pública, y en respuesta a la recepción y autenticación del mensaje, las etapa de realizar un conjunto predefinido de tareas delegadas al enrutador de acceso y que se requieren para autorizar el nodo móvil y facilitar, de esta manera, dicho acceso, y
    devolver un acuse de recibo desde el enrutador de acceso al nodo móvil confirmando el permiso de acceso, conteniendo el acuse de recibo un prefijo de red (enrutamiento) y medios para autenticar el enrutador de acceso al nodo móvil.
  7. 7.
    Procedimiento según la reivindicación 1, en el que una de dichas tareas comprende realizar un procedimiento de acceso, autorización y contabilidad con una infraestructura apropiada en una red doméstica del nodo móvil.
  8. 8.
    Enrutador de acceso dispuesto para facilitar un acceso de protocolo de Internet por parte de un nodo móvil a una red de acceso, comprendiendo el enrutador de acceso:
    medios para recibir una solicitud de conexión en el enrutador de acceso y autenticar la solicitud en el mismo, usando la firma y una clave pública de un par de claves privada-pública,
    estos medios son dispuestos adicionalmente, en respuesta a la recepción y autenticación de la solicitud, para realizar un conjunto predefinido de tareas delegadas al enrutador de acceso y que se requieren para autorizar el nodo móvil y facilitar, de esta manera, dicho acceso, y
    medios para devolver un acuse de recibo desde el enrutador de acceso al nodo móvil confirmando el permiso de acceso, conteniendo el acuse de recibo un prefijo de red (enrutamiento) y medios para autenticar el enrutador de acceso al nodo móvil.
  9. 9.
    Enrutador de acceso según la reivindicación 8, dispuesto para gestionar una solicitud de conexión que contiene uno o más de los siguientes: identificador de acceso a red del nodo móvil, clave pública propia del nodo móvil, una raíz de confianza para cualquier enrutador de acceso que el nodo móvil está dispuesto a aceptar, una dirección del agente doméstico del nodo móvil, las direcciones de los nodos correspondientes con los que el nodo móvil desea establecer una optimización de rutas, un identificador de interfaz, construido mediante generación criptográfica de direcciones, la identidad del enrutador de acceso, los parámetros deseados para la conexión de enlace inalámbrico,
    una cookie, calculada en una manera conocida solo por el nodo móvil, una firma, firmada con la clave privada del nodo móvil.
  10. 10.
    Enrutador de acceso según la reivindicación 8 ó 9, que comprende medios para desencadenar uno o más de los procedimientos siguientes en respuesta a una recepción y autenticación de la solicitud: Conexión en capa de enlace, Un procedimiento de control de acceso,
    Búsqueda de enrutador, Generación de dirección IP,
    Detección de direcciones duplicadas.
  11. 11. Enrutador de acceso según una cualquiera de las reivindicaciones 8 a 10, en el que dicho conjunto de tareas predefinidas comprende:
    Implementar un procedimiento de acceso, autorización y contabilidad con una infraestructura apropiada en la red 5 doméstica del nodo móvil;
    Realizar una actualización de unión en nombre del nodo móvil con un agente doméstico del nodo móvil;
    Realizar una optimización de ruta con uno o más nodos correspondientes del nodo móvil.
  12. 12. Nodo móvil dispuesto para comunicarse con una red de acceso para facilitar el acceso de protocolo de Internet, comprendiendo el nodo:
    10 medios para enviar una solicitud de conexión desde el nodo móvil a un enrutador de acceso de la red de acceso, conteniendo la solicitud un identificador de nodo móvil y un identificador de interfaz o medios para derivar un identificador de interfaz, y estando firmada por el nodo móvil usando una clave privada de un par de claves privadapública, para permitir que el mensaje sea autenticado por el enrutador de acceso como procedente de ese nodo móvil, conteniendo el mensaje una autorización para que el enrutador de acceso realice un conjunto predefinido de
    15 tareas delegadas al enrutador de acceso y que se requieren para autorizar el nodo móvil y facilitar, de esta manera, dicho acceso.
ES04766569T 2004-08-20 2004-08-20 Conexión rápida a red. Expired - Lifetime ES2368566T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2004/051871 WO2006018045A1 (en) 2004-08-20 2004-08-20 Fast network attachment

Publications (1)

Publication Number Publication Date
ES2368566T3 true ES2368566T3 (es) 2011-11-18

Family

ID=34958642

Family Applications (1)

Application Number Title Priority Date Filing Date
ES04766569T Expired - Lifetime ES2368566T3 (es) 2004-08-20 2004-08-20 Conexión rápida a red.

Country Status (8)

Country Link
US (1) US8000704B2 (es)
EP (1) EP1782574B1 (es)
JP (1) JP4585002B2 (es)
CN (1) CN101006682B (es)
AT (1) ATE516640T1 (es)
CA (1) CA2577142A1 (es)
ES (1) ES2368566T3 (es)
WO (1) WO2006018045A1 (es)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE0003440D0 (sv) * 2000-09-26 2000-09-26 Landala Naet Ab Kommunikationssystem
US20060095546A1 (en) * 2004-10-07 2006-05-04 Nokia Corporation Method and system for locating services in proximity networks for legacy application
US7886076B2 (en) 2005-01-12 2011-02-08 International Business Machines Corporation Bypassing routing stacks using mobile internet protocol
US7765305B2 (en) * 2005-04-07 2010-07-27 Microsoft Corporation Retry request overload protection
US20070101408A1 (en) * 2005-10-31 2007-05-03 Nakhjiri Madjid F Method and apparatus for providing authorization material
WO2007061121A1 (en) * 2005-11-22 2007-05-31 Matsushita Electric Industrial Co., Ltd. Communication route optimization method and communication route optimization control device
US8391153B2 (en) 2006-02-17 2013-03-05 Cisco Technology, Inc. Decoupling radio resource management from an access gateway
CN101496387B (zh) 2006-03-06 2012-09-05 思科技术公司 用于移动无线网络中的接入认证的系统和方法
US8477683B2 (en) * 2006-04-13 2013-07-02 Qualcomm Incorporated Configuring a host device by way of MMP
CN101114928B (zh) * 2006-07-24 2011-04-20 华为技术有限公司 一种实现负载均衡的系统及方法
US7885274B2 (en) * 2007-02-27 2011-02-08 Cisco Technology, Inc. Route optimization between a mobile router and a correspondent node using reverse routability network prefix option
KR101341720B1 (ko) * 2007-05-21 2013-12-16 삼성전자주식회사 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법
WO2009001183A2 (en) * 2007-06-22 2008-12-31 Telefonaktiebolaget L M Ericsson (Publ) System and method for access network multi-homing
PL2250784T3 (pl) * 2008-03-04 2014-02-28 Ericsson Telefon Ab L M Delegacja adresu IP
EP2182328A1 (en) * 2008-10-28 2010-05-05 Koninklijke KPN N.V. Telecommunications network and method of transferring user data in signalling messages from a communication unit to a data processing centre
WO2010102259A2 (en) 2009-03-06 2010-09-10 Interdigital Patent Holdings, Inc. Platform validation and management of wireless devices
US20110055551A1 (en) * 2009-08-27 2011-03-03 Telefonaktiebolaget Lm Ericsson (Publ) Method and network nodes for generating cryptographically generated addresses in mobile ip networks
GB2474077B (en) * 2009-10-05 2013-07-24 Samsung Electronics Co Ltd Method and apparatus for configuring radio access functionality of a wireless commumication unit
CN102238241B (zh) * 2010-04-26 2015-09-16 中兴通讯股份有限公司 一种变长前缀的申请方法、装置和系统
US8953798B2 (en) * 2010-10-29 2015-02-10 Telefonaktiebolaget L M Ericsson (Publ) Enhanced cryptographically generated addresses for secure route optimization in mobile internet protocol
KR101622447B1 (ko) * 2010-11-05 2016-05-31 인터디지탈 패튼 홀딩스, 인크 장치 유효성 확인, 재난 표시, 및 복원
EP2901664B1 (en) * 2012-09-25 2018-02-14 Thomson Licensing Reducing core network traffic caused by migrant users
JP6029449B2 (ja) * 2012-12-17 2016-11-24 三菱電機株式会社 スマートメータシステム、管理ルータおよびメータ
US10033540B2 (en) * 2014-07-24 2018-07-24 The Hong Kong University Of Science And Technology Handoff free wireless network architecture
CN108347723B (zh) * 2017-01-25 2021-01-29 华为技术有限公司 一种切换方法和装置
CN114513860B (zh) * 2020-10-23 2023-05-05 中国移动通信有限公司研究院 一种终端附着方法、设备及存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2963945B2 (ja) * 1997-05-08 1999-10-18 大塚化学株式会社 2,2’−ビス(6−ベンゾトリアゾリルフェノール)化合物
US6353891B1 (en) * 2000-03-20 2002-03-05 3Com Corporation Control channel security for realm specific internet protocol
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
JP4572476B2 (ja) * 2001-03-13 2010-11-04 ソニー株式会社 通信処理システム、通信処理方法、および通信端末装置、データ転送制御装置、並びにプログラム
JP2003008625A (ja) * 2001-06-20 2003-01-10 Matsushita Electric Ind Co Ltd MobileIPエージェント装置、移動端末、移動通信システム及び移動端末登録方法
US20030026230A1 (en) * 2001-08-02 2003-02-06 Juan-Antonio Ibanez Proxy duplicate address detection for dynamic address allocation
GB2381423B (en) * 2001-10-26 2004-09-15 Ericsson Telefon Ab L M Addressing mechanisms in mobile IP
US7286671B2 (en) * 2001-11-09 2007-10-23 Ntt Docomo Inc. Secure network access method
JP3822555B2 (ja) * 2001-11-09 2006-09-20 株式会社エヌ・ティ・ティ・ドコモ 安全なネットワークアクセス方法
US20030104814A1 (en) * 2001-11-30 2003-06-05 Docomo Communications Laboratories Usa Low latency mobile initiated tunneling handoff
US7286510B2 (en) * 2002-04-15 2007-10-23 Qualcomm Incorporated Method and apparatus for providing compatibility between elements of a wireless communication system
AU2003223604A1 (en) * 2002-04-15 2003-11-03 Flarion Technologies, Inc. Tunneling between different addressing domains
ATE384383T1 (de) * 2002-09-24 2008-02-15 Orange Sa Verfahren für ein gateway zum auswählen eines kanals zur übertragung von datenpaketen
US6930988B2 (en) * 2002-10-28 2005-08-16 Nokia Corporation Method and system for fast IP connectivity in a mobile network

Also Published As

Publication number Publication date
US8000704B2 (en) 2011-08-16
CA2577142A1 (en) 2006-02-23
CN101006682A (zh) 2007-07-25
EP1782574B1 (en) 2011-07-13
ATE516640T1 (de) 2011-07-15
JP2008509614A (ja) 2008-03-27
CN101006682B (zh) 2013-03-06
JP4585002B2 (ja) 2010-11-24
US20070242638A1 (en) 2007-10-18
EP1782574A1 (en) 2007-05-09
WO2006018045A1 (en) 2006-02-23

Similar Documents

Publication Publication Date Title
ES2368566T3 (es) Conexión rápida a red.
US7174018B1 (en) Security framework for an IP mobility system using variable-based security associations and broker redirection
US7155500B2 (en) IP address ownership verification mechanism
JP4913909B2 (ja) モバイルipネットワークにおけるルート最適化
US7900242B2 (en) Modular authentication and authorization scheme for internet protocol
ES2349292T3 (es) Procedimiento y servidor para proporcionar una clave de movilidad.
US7881468B2 (en) Secret authentication key setup in mobile IPv6
JP5745626B2 (ja) ホストベースのモビリティおよびマルチホーミングプロトコルに対する軽量セキュリティソリューションのための方法および装置
Deng et al. Defending against redirect attacks in mobile IP
US7933253B2 (en) Return routability optimisation
CN1741523B (zh) 一种实现主机移动性和多家乡功能的密钥交换协议方法
WO2008098611A1 (en) Signalling delegation in a moving network
JP2003218954A (ja) 安全なネットワークアクセス方法
Laurent-Maknavicius et al. Inter-domain security for mobile Ipv6
KR100972743B1 (ko) 마니모의 이동 애드 혹 네트워크에 속한 이동 라우터 간에인증 토큰을 이용한 상호 인증 방법
Mufti et al. Design and implementation of a secure mobile IP protocol
Xenakis et al. Alternative Schemes for Dynamic Secure VPN Deployment in UMTS
Georgiades A security protocol for authentication of binding updates in Mobile IPv6
Kostiainen Host Identity Payload for Mobility and Security
Jacobs Security of current mobile IP solutions
Choi et al. Mobile IP authentication based on one-way function
Torvinen et al. Weak Context Establishment Procedure for Mobility and Multi-Homing Management
Georgiades et al. Distributed authentication protocol for the security of binding updates in mobile IPv6
Susanto Functional Scheme for IPv6 Mobile Handoff
Hoeper Channel Binding Support for EAP Methods draft-ietf-emu-chbind-16. txt