ES2368745T3 - Acceso a red de comunicación. - Google Patents
Acceso a red de comunicación. Download PDFInfo
- Publication number
- ES2368745T3 ES2368745T3 ES06701277T ES06701277T ES2368745T3 ES 2368745 T3 ES2368745 T3 ES 2368745T3 ES 06701277 T ES06701277 T ES 06701277T ES 06701277 T ES06701277 T ES 06701277T ES 2368745 T3 ES2368745 T3 ES 2368745T3
- Authority
- ES
- Spain
- Prior art keywords
- access network
- external
- gateway
- network
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Procedimiento para enrutar tráfico entre usuarios externos e Internet a través de una red de acceso privado, comprendiendo el procedimiento: establecer un túnel exterior seguro entre la red de acceso privado y una pasarela de una red de acceso público a la que está acoplada la red de acceso privado, en base a una autenticación de la red de acceso privado a la red de acceso público, estando dicha pasarela acoplada a Internet; para cada usuario externo que desee conectarse a Internet a través de la red de acceso privado, establecer un túnel interior seguro entre el usuario externo y la pasarela, en base a una autenticación del usuario externo a la pasarela, estando el túnel interior dentro de dicho túnel exterior, y hacer que el tráfico fluya entre los usuarios externos y la pasarela a través de los túneles internos respectivos, dentro de dicha red de acceso público, usar dichos túneles interior y exterior para determinar una cantidad de tráfico externo enrutado entre los usuarios externos e Internet por medio de la red de acceso privado, y aplicar una compensación apropiada a un operador de dicha red de acceso privado dependiendo de dicha cantidad determinada de tráfico externo.
Description
Acceso a red de comunicaci6n
La presente invenci6n se refiere a un procedimiento y a un aparato para facilitar el acceso a una red de comunicaci6n. La invenci6n es aplicable, en particular, aunque no necesariamente, para facilitar el acceso a una red de comunicaci6n a traves de una red de acceso inalambrico.
Las redes de acceso inalambrico permiten a los usuarios m6viles acceder a los servicios ofrecidos por una variedad de redes de comunicaci6n. Un buen ejemplo de dicha red de comunicaci6n es Internet. Otro ejemplo es una red telef6nica. En la actualidad, las redes de acceso inalambrico usadas mas ampliamente son las redes de acceso por radio de telefonos celulares, tales como las proporcionadas por los operadores de redes GSM y 3G. Estas redes de acceso estan disponibles al publico en la medida en que cualquiera que tenga una suscripci6n valida (incluyendo cuentas de pre-pago) puede hacer uso de la red de acceso. Tambien hay disponibles otros tipos de redes de acceso inalambrico. Por ejemplo, la introducci6n de redes WLAN en cafes, bibliotecas, aeropuertos, etc., permite a los usuarios m6viles hacer uso de los servicios WLAN de forma gratuita o por un m6dico precio.
El numero de redes de acceso inalambrico que podrfan ser usadas por los usuarios m6viles itinerantes es mucho mayor que el numero que se usa realmente. Considerese, por ejemplo el gran numero de WLANs domesticas y corporativas que estan, actualmente, cerca de usuarios que no "pertenecen" a los hogares o a las empresas en las que residen las WLAN, pero que ofrecen unas capacidades y unas velocidades relativamente altas. Estas estan cerradas por una serie de razones, incluyendo:
- •
- Un propietario de una red privada no quiere permitir que otros se aprovechen de su inversi6n o, peor aun, permitir que otros incurran en gastos para el propietario de la red privada;
- •
- Con el fin de asegurar que hay disponible una capacidad de red suficiente para los usuarios domesticos/usuarios de la empresa;
- •
- Para asegurar que la red de acceso no es usada para prop6sitos ilegales, y
- •
- Razones tecnicas que hacen que el acceso publico a las redes privadas sea poco practico.
Como ejemplo de una dificultad tecnica, podrfa considerarse una red privada que requiere que los usuarios sean autenticados a la misma, en cuyo caso puede ser necesario configurar una clave en los terminales m6viles itinerantes. Particularmente en el caso de redes domesticas, esto no es algo que el propietario de la casa (por ejemplo, una familia) o los usuarios m6viles desearfan hacer (de manera regular). Por supuesto, podrfa ser posible permitir a los operadores de redes privadas participar en los consorcios de itinerancia existentes y ser equipados con la tecnologfa necesaria (en base, por ejemplo al estandar de autenticaci6n y autorizaci6n y contabilidad (AAA)). Sin embargo, en la practica, esto es poco realista, debido a una serie de limitaciones tecnicas y de otro tipo, concretamente:
- •
- El establecimiento de conexiones AAA es exigente incluso para los expertos, no digamos ya para el publico en general. Los protocolos existentes requieren un acuerdo sobre un gran numero de parametros, particularmente cuando se usa RADIUS [IETF RFC2865].
- •
- Las caracterfsticas de los sistemas AAA no los hacen adecuados para conexiones de itinerancia a gran escala entre multiples niveles de actores [problema l-D.ietf-eap-netsel]. Por ejemplo, se echa en falta un mecanismo de enrutamiento automatico que fuerce un enrutamiento de transacciones dentro de la red de proveedores interconectados para ser configurados manualmente.
- •
- Los requisitos comerciales para la aceptaci6n en un consorcio de itinerancia (o ser capaz de proporcionar "peering" sobre AAA) son demasiado altos para la mayorfa de redes privadas. Es poco probable que un proxy AAA de una red privada obtuviera permiso para conectarse a la red AAA de un proveedor principal, por ejemplo.
Cualquier soluci6n que facilite un acceso externo a una red de comunicaci6n a traves de una red privada deberfa cumplir los requisitos siguientes:
- •
- Dicho servicio de red deberfa ser establecido automaticamente, es decir, sin la participaci6n del propietario o de los usuarios (quizas con la excepci6n de activar la caracterfstica).
- •
- Deberfan soportarse diferentes modelos de negocio y compensaci6n, en caso de que los operadores de las redes privadas requieran una compensaci6n.
- •
- La soluci6n deberfa acomodar el seguimiento de actividades ilegales en un grado similar a las soluciones de acceso a Internet existentes, desplegadas comercialmente.
- •
- La soluci6n deberfa ser adecuada tanto para soluciones de salto unico como para soluciones multi-salto, es decir, la entidad que proporciona acceso a red puede estar conectada directamente a una red de acceso publico real o accede a traves de alguna otra red o redes privadas.
Segun un primer aspecto de la presente invenci6n, se proporciona un procedimiento de enrutamiento de trafico entre usuarios externos y una red de comunicaci6n, a traves de una red de acceso privado, comprendiendo el procedimiento:
establecer un tunel exterior seguro entre la red privada y una pasarela de una red de acceso publico a la que esta acoplada la red privada;
en base a la autenticaci6n de la red privada a la red de acceso publico, acoplando dicha pasarela a dicha red de comunicaci6n;
para cada usuario externo que desea conectarse a la red de comunicaci6n a traves de la red privada, establecer un tunel interior seguro entre el usuario externo y la pasarela en base a la autenticaci6n del usuario externo a la pasarela, estando el tunel interior dentro de dicho tunel exterior;
hacer que el trafico fluya entre los usuarios externos y la pasarela a traves de los tuneles interiores respectivos;
dentro de dicha red de acceso publico, usar dichos tuneles interiores y exteriores para determinar una cantidad de trafico exterior enrutado entre los usuarios externos e Internet por medio de la red de acceso privado; y
aplicar una compensaci6n apropiada a un operador de dicha red de acceso privado dependiendo de dicha cantidad determinada de trafico exterior.
El termino "usuarios externos" abarca un rango de entidades, incluyendo pero no limitandose a, dispositivos, suscriptores que utilizan uno o mas dispositivos, y tarjetas SIM/USIM usadas en uno o mas dispositivos.
Las realizaciones de la invenci6n permiten a la red de acceso publico de la red privada determinar exactamente que trafico asociado con los usuarios externos es enrutado a traves de la red privada. Esto permite a la red de acceso publico, por ejemplo, asignar un credito monetario apropiado, u otra bonificaci6n, al operador de la red privada. Por otro lado, la red de acceso publico es capaz de determinar la identidad del usuario externos asociado con un trafico particular en base al propietario del tunel interior a traves del cual se realiza ese trafico.
El papel de la red privada es hacer que el trafico recibido desde un usuario externo fluya a traves del tunel exterior. Esto implica encapsular el trafico recibido segun los procedimientos de seguridad del tunel exterior. De manera similar, la red privada desencapsula el trafico que llega desde la pasarela y que esta destinado para un usuario externo. Por otro lado, la pasarela encapsula y desencapsula segun ambos tuneles interior y exterior, mientras que el usuario externo encapsula y desencapsula s6lo segun el tunel interior.
En algunas realizaciones de la invenci6n, el tunel exterior lleva s6lo el trafico que viaja a traves de los tuneles interiores. Otras realizaciones pueden permitir que la red privada envfe su propio trafico a traves del tunel exterior, no dentro de un tunel interior. En este caso, la pasarela reconocera que este trafico pertenece a la red privada, ya que no es transportado a traves de un tunel interior.
La red de comunicaci6n a la que la red privada facilita el acceso puede ser Internet.
La red de acceso publico de la red privada puede ser una lfnea fija o una red de telecomunicaci6n celular.
Preferentemente, dichos tuneles interior y exterior son tuneles IPSec, definidos por IKE SAs, negociados entre la red privada y una pasarela de la red de acceso publico y entre los usuarios externos y esa pasarela.
La autenticaci6n de un usuario externo a una pasarela puede realizarse dentro de dicha red de acceso publico, o puede implicar que la red de acceso publico se comunica con una red adicional, donde el usuario es un abonado de esa red adicional.
En su forma mas simple, la red privada es un solo nodo conectado a la red de acceso publico a traves de una conexi6n inalambrica o por cable. La red privada puede consistir tambien en un conjunto de nodos, conectados internamente, sobre enlaces inalambricos o por cable.
La invenci6n es aplicable, en particular, a redes inalambricas privadas. La red privada puede ser una red WLAN, por ejemplo, domestica o corporativa, o una red proporcionada por un unico dispositivo que tiene conectividad inalambrica. A los usuarios externos que tienen una conectividad inalambrica apropiada se les permite itinerar entre las redes inalambricas privadas y las redes inalambricas publicas, tales como redes GSM y 3G.
Dicha pasarela puede ser configurada para rechazar solicitudes de establecimiento de tuneles seguros con usuarios externos que no pasaran a traves de dicho tunel externo.
Segun un segundo aspecto de la presente invenci6n, se proporciona una pasarela para controlar el acceso por parte de usuarios externos a una red de comunicaci6n, estando localizada la pasarela dentro de una red de acceso publico, comprendiendo la pasarela:
medios para establecer un tunel exterior seguro entre una red privada y la pasarela,
medios para establecer un tunel interior seguro entre cada usuario externo que desee conectarse a la red de comunicaci6n a traves de la red privada y la pasarela, en base a una autenticaci6n del usuario externo a la pasarela, estando el tunel interior dentro de dicho tunel exterior,
medios para asociar el trafico que viaja a traves de un tunel interior con un usuario externo correspondiente y con la red privada, y dichos medios para asociar el trafico estan dispuestos tambien para determinar una cantidad de trafico externo enrutado entre los usuarios externos e Internet por medio de la red de acceso privado.
Breve descripci6n de los dibujos
La Figura 1 ilustra esquematicamente un escenario en el que un usuario externo accede a Internet a traves de una red privada, y
La Figura 2 es un diagrama de flujo que ilustra un procedimiento para permitir a un usuario externo acceder a una red de comunicaci6n a traves de una red de acceso privado.
Descripci6n detallada
Tal como se ha expuesto anteriormente, en algunas circunstancias, es deseable permitir que un usuario m6vil itinerante, que posee un terminal con funci6n inalambrica habilitada (o posiblemente conectado por cable), por ejemplo, un telefono inteligente, PDA, portatil, etc., acceda a una red de comunicaci6n a traves de lo que es, esencialmente, una red de acceso privado. Un ejemplo de una red privada es una WLAN domestica o corporativa. Las redes privadas adecuadas estaran conectadas a una red de acceso publico, tal como una red que es propiedad de y es operada por un operador de red de telecomunicaci6n, para permitir a los usuarios conectarse al "mundo exterior". El operador de la red privada pagara al operador de la red de telecomunicaci6n por este servicio, tfpicamente, en base a una suscripci6n regular y/o en base a un pago por uso.
La definici6n de una red privada abarca las WLANs domesticas y corporativas tfpicas. Sin embargo, se extiende tambien para abarcar cualquier dispositivo o sistema adecuado que proporciona cobertura inalambrica en un area circundante. Los ejemplos incluyen dispositivos habilitados para Bluetooth® y WLAN. La red privada establecera un tunel o unos tuneles con la red de acceso publico para enrutar el trafico originado dentro de la red privada y con destino a la red privada, es decir, asociado con el propio cliente o clientes de las redes privadas, segun la practica convencional.
Una etapa preliminar necesaria en el procedimiento de permitir a los usuarios m6viles itinerantes ("externos") hacer uso de una red de acceso privado, es el establecimiento de un tunel a nivel IP (el tunel "exterior") entre la red privada y su red de acceso publico. Dicho tunel IP significa que la red privada no necesita estar conectada directamente a su red de acceso publico. Esto es relevante, por ejemplo, cuando la red privada es proporcionada mediante un dispositivo tal como un telefono inteligente o una PDA, que es capaz de conectarse a una red de acceso publico a traves de una red visitada (o "extranjera"). El tunel es establecido usando un intercambio de claves de Internet (Internet Key Exchange) (IKEv2) [lD.ietf-ipsec-IKEv2] a un nodo pasarela dentro de la red de acceso publico. La direcci6n del nodo pasarela esta preconfigurada o es calculada segun algun procedimiento conocido (vease, por ejemplo, [3GPP.24.234]). IKEv2 puede usar posiblemente su protocolo de autenticaci6n extensible (Extensible Authentication Protocol, EAP) de manera pueden emplearse las credenciales de acceso a red tfpicas. Por ejemplo, un telefono inteligente LAN inalambrico celular podrfa usar tarjetas SIM o USIM para autenticarse a sf mismo cuando se conecta a una red particular, asf como cuando se comunica con la pasarela (IKEv2). La primera ejecuci6n del procedimiento IKE resulta en el establecimiento de un par de Asociaciones de Seguridad (Security Associations, SA) IKE entre la red privada y la red de acceso publico.
El acceso a los recursos de la red privada puede ser controlado por el operador de la red privada para garantizar que hay suficiente capacidad disponible para los usuarios domesticos. Sin embargo, cuando la situaci6n de los recursos lo permite, la red privada puede ofrecer acceso a red a otros usuarios m6viles externos. No se requiere autenticaci6n para estos usuarios externos en la capa de enlace (es decir, en el establecimiento de un enlace de radio entre el usuario externo y la red privada). Sin embargo, la red privada fuerza todo el trafico originado externamente a traves del tunel exterior establecido sobre el enlace entre la red de acceso privado y publico. De la misma manera, la pasarela forzara todo el trafico destinado a un usuario externo a traves del mismo tunel. El nodo de procesamiento apropiado dentro de la red privada y la pasarela realizan papeles emisor-receptor recfprocos.
Sin embargo, previamente a enrutar cualquier trafico relacionado con el exterior a traves del tunel exterior, un usuario externo debe ser autenticado a la pasarela dentro de la red de acceso publico. Esto puede realizarse haciendo que la pasarela contacte con el Registro de Ubicaci6n Domestica (Home Location Register) de la red troncal asociada, usando procedimientos AAA estandar. Si el usuario externo pertenece a alguna otra red, la pasarela debe autenticar el usuario externo contactando con la red domestica del usuario, usando de nuevo procedimientos AAA. Suponiendo que la autenticaci6n tiene exito, se establece un nuevo par IPsec SA en IKEv2, usando Create Child SA Exchange, y la red privada asigna una direcci6n IP al usuario externo. Como resultado, para cada usuario externo, se crea un tunel "interior" dentro del tunel exterior que se extiende entre el usuario y la pasarela. Una vez establecido el tunel interior, el usuario externo puede empezar a enviar trafico a Internet o a otra red de comunicaci6n, a traves de la pasarela. Esto se ilustra en la Figura 1, donde la red privada se ilustra como un ordenador portatil con WLAN habilitada, que pertenece a "Alice", mientras que el usuario externo que hace uso de la red privada de Alicia es "Nancy". La red de comunicaci6n a la que accede Nancy es Internet. Los paquetes son "encapsulados" en el nivel mas externo con las SA asociadas con el tunel exterior, y en un segundo nivel con las SA asociadas con el tunel interior apropiado. La pasarela rechazara cualquier solicitud recibida desde un usuario externo, a traves del tunel exterior, de establecimiento de un tunel que no esta dentro del tunel exterior. El diagrama de flujo de la Figura 2 ilustra adicionalmente este procedimiento.
Como resultado del procedimiento descrito anteriormente, la red de acceso publico usada por la red privada puede asociar todo el trafico que pasa por la misma tanto con una red privada como con un usuario externo. La red de acceso publico puede determinar, de esta manera, la cantidad de trafico externo enrutado por una red privada y puede aplicar una compensaci6n apropiada al operador de la red privada (la compensaci6n puede ser monetaria creditos de trafico, etc.). Ademas, o de manera alternativa, la red de acceso publico puede usar el acceso proporcionado por la red privada para autorizar a los usuarios de la red privada para que itineren en otras redes privadas (es decir, para permitir itinerancia recfproca entre redes privadas). Al mismo tiempo, la red de acceso publico sera capaz de distinguir entre el trafico originado en la red privada y el trafico externo enrutado a traves de la red de acceso publico. Esto es importante, por ejemplo, para facilitar una interceptaci6n legal y determinar la responsabilidad por un trafico ilfcito.
Aunque es conocido el establecimiento de tuneles encadenados entre puntos extremos y nodos intermedios (vease, por ejemplo, EP1280300 y "A Public Key based Secure Mobile IP", Zao et al), no se conoce el uso de dichos tuneles encadenados como un medio de enrutar un trafico que fluye entre los usuarios externos y una pasarela a traves de una red de acceso intermedia, en este caso la red de acceso privado. Al usar tuneles tal como se ha explicado anteriormente, es posible para la red de acceso publico determinar que cierto trafico esta originado desde un usuario externo y no esta asociado directamente con la red de acceso privado. Por lo tanto, dicho mecanismo puede ser usado para aplicar una compensaci6n monetaria o de otro tipo al operador de la red de acceso privado.
Los tuneles (interior y exterior) no siempre tienen que ser establecidos a partir de cero despues de movimientos de los usuarios externos y de la red privada, si es que tambien es m6vil. Por ejemplo, cuando la red privada se mueve, puede reconectarse a su pasarela usando MOBIKE. MOBIKE es una extensi6n de IKEv2, que permite cambiar la direcci6n IP del cliente sin recrear el tunel. De manera similar, un usuario externo puede mantener su tunel interior existente incluso cuando se mueve a una red privada diferente, siempre que la red de acceso publico de las redes privadas sea la misma (ya que si no, estarfa implicada una pasarela diferente).
Un conjunto de mecanismos de publicidad pueden ser empleados en el nivel de la capa de enlace para indicar a los usuarios externos el tipo de servicio proporcionado por una red privada y bajo que condiciones es proporcionado. Dicha publicidad puede proporcionar, por ejemplo, una indicaci6n de las tarifas aplicables. Un usuario externo se conecta a la red privada en base a la publicidad.
Una persona con conocimientos en la materia apreciara que pueden realizarse diversas modificaciones a la realizaci6n descrita anteriormente, sin alejarse del alcance de la presente invenci6n.
[I-D.ietf-ipsec-ikev2] Kaufman, C., "Internet Key Exchange (IKEv2) Protocol", draft-ietf-ipsec-ikev2-17 (trabajo en curso), Octubre 2004.
[I-D.ietf-mobike-protocol] Eronen, P., "IKEv2 Mobility and Multihoming Protocol (MOBIKE)", draft-ietfmobike- protocol00 (trabajo en curso), Junio 2005.
[I-D.arkko-eap-service-identity-auth] Arkko, J. y P. Eronen, "Authenticated Service Identities for the Extensible Authentication Protocol (EAP)", draft-arkko- eap-service-identity-auth-00 (trabajo en curso), Abril 2004.
[RFC2865] Rigney, C., Willens, S., Rubens, A., y W. Simpson, "Remote Authentication Dial In User Service (RADIUS)". RFC 2865, Junio 2000.
[RFC3588] Calhoun, P., Loughney, J., Guttman, E., Zorn, G., y J. Arkko, "Diameter Base Protocol", RFC 3588, Septiembre 2003.
[RFC3748] Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., y H. Levkowetz, "Extensible Authentication Protocol
(EAP)", RFC 3748, Junio 2004.
[I-D.ietf-eap-netsel-probfem] Arkko, J. y B. Aboba, "Network Discovery and Selection Problem", draft-ietf-eap-netselproblem-01 (trabajo en curso), Julio 2004.
[3GPP.24.234] 3GPP, "3GPP system to Wireless Local Area Network (WLAN)"
Claims (11)
- REIVINDICACIONES1. Procedimiento para enrutar trafico entre usuarios externos e Internet a traves de una red de acceso privado, comprendiendo el procedimiento:establecer un tunel exterior seguro entre la red de acceso privado y una pasarela de una red de acceso publico a la que esta acoplada la red de acceso privado, en base a una autenticaci6n de la red de acceso privado a la red de acceso publico, estando dicha pasarela acoplada a Internet;para cada usuario externo que desee conectarse a Internet a traves de la red de acceso privado, establecer un tunel interior seguro entre el usuario externo y la pasarela, en base a una autenticaci6n del usuario externo a la pasarela, estando el tunel interior dentro de dicho tunel exterior, yhacer que el trafico fluya entre los usuarios externos y la pasarela a traves de los tuneles internos respectivos,dentro de dicha red de acceso publico, usar dichos tuneles interior y exterior para determinar una cantidad de trafico externo enrutado entre los usuarios externos e Internet por medio de la red de acceso privado, yaplicar una compensaci6n apropiada a un operador de dicha red de acceso privado dependiendo de dicha cantidad determinada de trafico externo.
-
- 2.
- Procedimiento segun la reivindicaci6n 1, en el que dicho tunel exterior transporta s6lo trafico que viaja a traves de los tuneles interiores.
-
- 3.
- Procedimiento segun la reivindicaci6n 1, en el que la red de acceso privado puede enviar su propio trafico a traves del tunel exterior, que no esta dentro de un tunel interior.
-
- 4.
- Procedimiento segun una cualquiera de las reivindicaciones anteriores, en el que dicha pasarela esta configurada para rechazar solicitudes de establecimiento de tuneles seguros con usuarios externos que no pasaran a traves de dicho tunel exterior.
-
- 5.
- Procedimiento segun una cualquiera de las reivindicaciones anteriores, en el que la red de acceso publico es una lfnea fija o una red de telecomunicaci6n celular.
-
- 6.
- Procedimiento segun una cualquiera de las reivindicaciones anteriores, en el que dichos tuneles exterior e interior son tuneles IPSec definidos por IKE Sas negociados entre la red de acceso privado y una pasarela de la red de acceso publico y entre los usuarios externos y esa pasarela.
-
- 7.
- Procedimiento segun una cualquiera de las reivindicaciones anteriores, en el que la autenticaci6n de un usuario externo a la pasarela es realizada dentro de dicha red de acceso publico, o implica que la red de acceso publico se comunica con una red adicional, donde el usuario es un abonado de esa red adicional.
-
- 8.
- Procedimiento segun una cualquiera de las reivindicaciones anteriores, en el que dicha red de acceso privado es un solo nodo conectado a la red de acceso publico a traves de una conexi6n inalambrica o por cable.
-
- 9.
- Procedimiento segun una cualquiera de las reivindicaciones 1 a 7, en el que dicha red de acceso privado es una red inalambrica privada.
-
- 10.
- Pasarela para controlar el acceso de usuarios externos a Internet, estando localizada la pasarela dentro de una red de acceso publico y acoplada a Internet, comprendiendo la pasarela:
medios para establecer un tunel exterior seguro entre una red de acceso privado y la pasarela;medios para establecer un tunel interior seguro entre cada usuario externo que desea conectarse a Internet a traves de la red de acceso privado y la pasarela en base a una autenticaci6n del usuario a la pasarela, estando el tunel interior dentro de dicho tunel exterior; ymedios para asociar el trafico que viaja a traves de un tunel interior con un usuario externo correspondiente y con la red de acceso privado,dichos medios para asociar el trafico estan dispuestos tambien para determinar una cantidad de trafico externo enrutado entre los usuarios externos e Internet por medio de la red de acceso privado. - 11. Pasarela segun la reivindicaci6n 10, que comprende medios para rechazar solicitudes de establecimiento de tuneles seguros con usuarios externos que no pasaran a traves de dicho tunel externo.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2006/050357 WO2007082588A1 (en) | 2006-01-23 | 2006-01-23 | Communication network access |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2368745T3 true ES2368745T3 (es) | 2011-11-21 |
Family
ID=36869913
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES06701277T Active ES2368745T3 (es) | 2006-01-23 | 2006-01-23 | Acceso a red de comunicación. |
Country Status (5)
Country | Link |
---|---|
US (1) | US20090089872A1 (es) |
EP (1) | EP1977559B1 (es) |
AT (1) | ATE518334T1 (es) |
ES (1) | ES2368745T3 (es) |
WO (1) | WO2007082588A1 (es) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090193247A1 (en) * | 2008-01-29 | 2009-07-30 | Kiester W Scott | Proprietary protocol tunneling over eap |
US8875277B2 (en) | 2012-06-04 | 2014-10-28 | Google Inc. | Forcing all mobile network traffic over a secure tunnel connection |
US10158680B2 (en) * | 2016-01-20 | 2018-12-18 | Oracle International Corporation | Co-transported tunnels for encapsulated traffic |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6738814B1 (en) * | 1998-03-18 | 2004-05-18 | Cisco Technology, Inc. | Method for blocking denial of service and address spoofing attacks on a private network |
US7058059B1 (en) * | 2001-02-20 | 2006-06-06 | At&T Corp. | Layer-2 IP networking method and apparatus for mobile hosts |
US6978308B2 (en) * | 2001-03-21 | 2005-12-20 | International Business Machines Corporation | System and method for nesting virtual private networking connections with coincident endpoints |
US7061899B2 (en) * | 2001-05-01 | 2006-06-13 | Hewlett-Packard Development Company, L.P. | Method and apparatus for providing network security |
GB2378009B (en) | 2001-07-27 | 2005-08-31 | Hewlett Packard Co | Method of establishing a secure data connection |
US6792271B1 (en) * | 2001-11-06 | 2004-09-14 | Bellsouth Intellectual Property, Inc. | Alternative wireless telephone roaming using prepaid services |
US7031709B2 (en) * | 2002-04-05 | 2006-04-18 | Ntt Docomo, Inc. | Method and associated apparatus for increment accuracy of geographical foreign agent topology relation in heterogeneous access networks |
AU2003293381A1 (en) * | 2002-12-03 | 2004-06-23 | Funk Software, Inc. | Tunneled authentication protocol for preventing man-in-the-middle attacks |
CN1301611C (zh) * | 2003-01-21 | 2007-02-21 | 三星电子株式会社 | 用于在不同的专用网的网络设备之间支持通信的网关 |
GB0312681D0 (en) * | 2003-06-03 | 2003-07-09 | Ericsson Telefon Ab L M | IP mobility |
US7661131B1 (en) * | 2005-02-03 | 2010-02-09 | Sun Microsystems, Inc. | Authentication of tunneled connections |
-
2006
- 2006-01-23 ES ES06701277T patent/ES2368745T3/es active Active
- 2006-01-23 WO PCT/EP2006/050357 patent/WO2007082588A1/en active Application Filing
- 2006-01-23 EP EP06701277A patent/EP1977559B1/en not_active Not-in-force
- 2006-01-23 AT AT06701277T patent/ATE518334T1/de not_active IP Right Cessation
-
2008
- 2008-07-22 US US12/219,457 patent/US20090089872A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
ATE518334T1 (de) | 2011-08-15 |
EP1977559B1 (en) | 2011-07-27 |
EP1977559A1 (en) | 2008-10-08 |
US20090089872A1 (en) | 2009-04-02 |
WO2007082588A1 (en) | 2007-07-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111726804B (zh) | 用于集成小型小区和Wi-Fi网络的统一认证 | |
JP6045648B2 (ja) | ユーザエンティティにネットワークアクセスを提供する方法及び装置 | |
US9549317B2 (en) | Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network | |
CN102215487B (zh) | 通过公共无线网络安全地接入专用网络的方法和系统 | |
US7200383B2 (en) | Subscriber authentication for unlicensed mobile access signaling | |
CA2809023C (en) | A system and method for wi-fi roaming | |
ES2281599T3 (es) | Aparato y metodo para la autentificacion de identificacion unica a traves de una red de acceso no confiable. | |
ES2307047T3 (es) | Procedimiento y sistema para la facturacion en base a contenidos en redes ip. | |
US9226153B2 (en) | Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP | |
CN107925879A (zh) | 包括蜂窝接入网络节点的标识符的网络接入标识符 | |
CN103297968B (zh) | 一种无线终端认证的方法、设备及系统 | |
KR20140114853A (ko) | 신뢰된 비 3gpp 액세스 네트워크를 통해 접속된 사용자 장비에 대하여 3gpp hplmn에서 서비스 전달 플랫폼에 의해 전달된 서비스들에 대한 액세스의 허용 | |
ES2368745T3 (es) | Acceso a red de comunicación. | |
ES2665875T3 (es) | Método de acceso en una WLAN para un teléfono móvil IP con autenticación mediante HLR | |
Leu et al. | Running cellular/PWLAN services: practical considerations for cellular/PWLAN architecture supporting interoperator roaming | |
WO2011015091A1 (zh) | 用于家用基站的接入方法、装置、系统及aaa服务器 | |
Janevski | AAA system for PLMN-WLAN internetworking | |
Leu et al. | Practical considerations on end-to-end cellular/PWLAN architecture in support of bilateral roaming | |
Hecker et al. | Pre-authenticated signaling in wireless lans using 802.1 x access control | |
ES2730831T3 (es) | Sistema de transmisión de telefonía móvil para proporcionar al menos una celula de telefonía móvil en un edificio o campus | |
Iyer et al. | Public WLAN Hotspot Deployment and Interworking. | |
CN105554748A (zh) | WiFi分流的方法、装置及系统 | |
Yogi et al. | A Systematic Review of Security Protocols for Ubiquitous Wireless Networks | |
CN103856933A (zh) | 一种漫游终端的认证方法、装置及服务器 | |
Surtees et al. | Combining W-ISP and cellular interworking models for WLAN |