ES2368745T3 - Acceso a red de comunicación. - Google Patents

Acceso a red de comunicación. Download PDF

Info

Publication number
ES2368745T3
ES2368745T3 ES06701277T ES06701277T ES2368745T3 ES 2368745 T3 ES2368745 T3 ES 2368745T3 ES 06701277 T ES06701277 T ES 06701277T ES 06701277 T ES06701277 T ES 06701277T ES 2368745 T3 ES2368745 T3 ES 2368745T3
Authority
ES
Spain
Prior art keywords
access network
external
gateway
network
tunnel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES06701277T
Other languages
English (en)
Inventor
Jari Arkko
Teemu Rinta-Aho
Jan MELÉN
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of ES2368745T3 publication Critical patent/ES2368745T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

Procedimiento para enrutar tráfico entre usuarios externos e Internet a través de una red de acceso privado, comprendiendo el procedimiento: establecer un túnel exterior seguro entre la red de acceso privado y una pasarela de una red de acceso público a la que está acoplada la red de acceso privado, en base a una autenticación de la red de acceso privado a la red de acceso público, estando dicha pasarela acoplada a Internet; para cada usuario externo que desee conectarse a Internet a través de la red de acceso privado, establecer un túnel interior seguro entre el usuario externo y la pasarela, en base a una autenticación del usuario externo a la pasarela, estando el túnel interior dentro de dicho túnel exterior, y hacer que el tráfico fluya entre los usuarios externos y la pasarela a través de los túneles internos respectivos, dentro de dicha red de acceso público, usar dichos túneles interior y exterior para determinar una cantidad de tráfico externo enrutado entre los usuarios externos e Internet por medio de la red de acceso privado, y aplicar una compensación apropiada a un operador de dicha red de acceso privado dependiendo de dicha cantidad determinada de tráfico externo.

Description

Acceso a red de comunicaci6n
Campo de la invenci6n
La presente invenci6n se refiere a un procedimiento y a un aparato para facilitar el acceso a una red de comunicaci6n. La invenci6n es aplicable, en particular, aunque no necesariamente, para facilitar el acceso a una red de comunicaci6n a traves de una red de acceso inalambrico.
Antecedentes
Las redes de acceso inalambrico permiten a los usuarios m6viles acceder a los servicios ofrecidos por una variedad de redes de comunicaci6n. Un buen ejemplo de dicha red de comunicaci6n es Internet. Otro ejemplo es una red telef6nica. En la actualidad, las redes de acceso inalambrico usadas mas ampliamente son las redes de acceso por radio de telefonos celulares, tales como las proporcionadas por los operadores de redes GSM y 3G. Estas redes de acceso estan disponibles al publico en la medida en que cualquiera que tenga una suscripci6n valida (incluyendo cuentas de pre-pago) puede hacer uso de la red de acceso. Tambien hay disponibles otros tipos de redes de acceso inalambrico. Por ejemplo, la introducci6n de redes WLAN en cafes, bibliotecas, aeropuertos, etc., permite a los usuarios m6viles hacer uso de los servicios WLAN de forma gratuita o por un m6dico precio.
Resumen
El numero de redes de acceso inalambrico que podrfan ser usadas por los usuarios m6viles itinerantes es mucho mayor que el numero que se usa realmente. Considerese, por ejemplo el gran numero de WLANs domesticas y corporativas que estan, actualmente, cerca de usuarios que no "pertenecen" a los hogares o a las empresas en las que residen las WLAN, pero que ofrecen unas capacidades y unas velocidades relativamente altas. Estas estan cerradas por una serie de razones, incluyendo:
Un propietario de una red privada no quiere permitir que otros se aprovechen de su inversi6n o, peor aun, permitir que otros incurran en gastos para el propietario de la red privada;
Con el fin de asegurar que hay disponible una capacidad de red suficiente para los usuarios domesticos/usuarios de la empresa;
Para asegurar que la red de acceso no es usada para prop6sitos ilegales, y
Razones tecnicas que hacen que el acceso publico a las redes privadas sea poco practico.
Como ejemplo de una dificultad tecnica, podrfa considerarse una red privada que requiere que los usuarios sean autenticados a la misma, en cuyo caso puede ser necesario configurar una clave en los terminales m6viles itinerantes. Particularmente en el caso de redes domesticas, esto no es algo que el propietario de la casa (por ejemplo, una familia) o los usuarios m6viles desearfan hacer (de manera regular). Por supuesto, podrfa ser posible permitir a los operadores de redes privadas participar en los consorcios de itinerancia existentes y ser equipados con la tecnologfa necesaria (en base, por ejemplo al estandar de autenticaci6n y autorizaci6n y contabilidad (AAA)). Sin embargo, en la practica, esto es poco realista, debido a una serie de limitaciones tecnicas y de otro tipo, concretamente:
El establecimiento de conexiones AAA es exigente incluso para los expertos, no digamos ya para el publico en general. Los protocolos existentes requieren un acuerdo sobre un gran numero de parametros, particularmente cuando se usa RADIUS [IETF RFC2865].
Las caracterfsticas de los sistemas AAA no los hacen adecuados para conexiones de itinerancia a gran escala entre multiples niveles de actores [problema l-D.ietf-eap-netsel]. Por ejemplo, se echa en falta un mecanismo de enrutamiento automatico que fuerce un enrutamiento de transacciones dentro de la red de proveedores interconectados para ser configurados manualmente.
Los requisitos comerciales para la aceptaci6n en un consorcio de itinerancia (o ser capaz de proporcionar "peering" sobre AAA) son demasiado altos para la mayorfa de redes privadas. Es poco probable que un proxy AAA de una red privada obtuviera permiso para conectarse a la red AAA de un proveedor principal, por ejemplo.
Cualquier soluci6n que facilite un acceso externo a una red de comunicaci6n a traves de una red privada deberfa cumplir los requisitos siguientes:
Dicho servicio de red deberfa ser establecido automaticamente, es decir, sin la participaci6n del propietario o de los usuarios (quizas con la excepci6n de activar la caracterfstica).
Deberfan soportarse diferentes modelos de negocio y compensaci6n, en caso de que los operadores de las redes privadas requieran una compensaci6n.
La soluci6n deberfa acomodar el seguimiento de actividades ilegales en un grado similar a las soluciones de acceso a Internet existentes, desplegadas comercialmente.
La soluci6n deberfa ser adecuada tanto para soluciones de salto unico como para soluciones multi-salto, es decir, la entidad que proporciona acceso a red puede estar conectada directamente a una red de acceso publico real o accede a traves de alguna otra red o redes privadas.
Segun un primer aspecto de la presente invenci6n, se proporciona un procedimiento de enrutamiento de trafico entre usuarios externos y una red de comunicaci6n, a traves de una red de acceso privado, comprendiendo el procedimiento:
establecer un tunel exterior seguro entre la red privada y una pasarela de una red de acceso publico a la que esta acoplada la red privada;
en base a la autenticaci6n de la red privada a la red de acceso publico, acoplando dicha pasarela a dicha red de comunicaci6n;
para cada usuario externo que desea conectarse a la red de comunicaci6n a traves de la red privada, establecer un tunel interior seguro entre el usuario externo y la pasarela en base a la autenticaci6n del usuario externo a la pasarela, estando el tunel interior dentro de dicho tunel exterior;
hacer que el trafico fluya entre los usuarios externos y la pasarela a traves de los tuneles interiores respectivos;
dentro de dicha red de acceso publico, usar dichos tuneles interiores y exteriores para determinar una cantidad de trafico exterior enrutado entre los usuarios externos e Internet por medio de la red de acceso privado; y
aplicar una compensaci6n apropiada a un operador de dicha red de acceso privado dependiendo de dicha cantidad determinada de trafico exterior.
El termino "usuarios externos" abarca un rango de entidades, incluyendo pero no limitandose a, dispositivos, suscriptores que utilizan uno o mas dispositivos, y tarjetas SIM/USIM usadas en uno o mas dispositivos.
Las realizaciones de la invenci6n permiten a la red de acceso publico de la red privada determinar exactamente que trafico asociado con los usuarios externos es enrutado a traves de la red privada. Esto permite a la red de acceso publico, por ejemplo, asignar un credito monetario apropiado, u otra bonificaci6n, al operador de la red privada. Por otro lado, la red de acceso publico es capaz de determinar la identidad del usuario externos asociado con un trafico particular en base al propietario del tunel interior a traves del cual se realiza ese trafico.
El papel de la red privada es hacer que el trafico recibido desde un usuario externo fluya a traves del tunel exterior. Esto implica encapsular el trafico recibido segun los procedimientos de seguridad del tunel exterior. De manera similar, la red privada desencapsula el trafico que llega desde la pasarela y que esta destinado para un usuario externo. Por otro lado, la pasarela encapsula y desencapsula segun ambos tuneles interior y exterior, mientras que el usuario externo encapsula y desencapsula s6lo segun el tunel interior.
En algunas realizaciones de la invenci6n, el tunel exterior lleva s6lo el trafico que viaja a traves de los tuneles interiores. Otras realizaciones pueden permitir que la red privada envfe su propio trafico a traves del tunel exterior, no dentro de un tunel interior. En este caso, la pasarela reconocera que este trafico pertenece a la red privada, ya que no es transportado a traves de un tunel interior.
La red de comunicaci6n a la que la red privada facilita el acceso puede ser Internet.
La red de acceso publico de la red privada puede ser una lfnea fija o una red de telecomunicaci6n celular.
Preferentemente, dichos tuneles interior y exterior son tuneles IPSec, definidos por IKE SAs, negociados entre la red privada y una pasarela de la red de acceso publico y entre los usuarios externos y esa pasarela.
La autenticaci6n de un usuario externo a una pasarela puede realizarse dentro de dicha red de acceso publico, o puede implicar que la red de acceso publico se comunica con una red adicional, donde el usuario es un abonado de esa red adicional.
En su forma mas simple, la red privada es un solo nodo conectado a la red de acceso publico a traves de una conexi6n inalambrica o por cable. La red privada puede consistir tambien en un conjunto de nodos, conectados internamente, sobre enlaces inalambricos o por cable.
La invenci6n es aplicable, en particular, a redes inalambricas privadas. La red privada puede ser una red WLAN, por ejemplo, domestica o corporativa, o una red proporcionada por un unico dispositivo que tiene conectividad inalambrica. A los usuarios externos que tienen una conectividad inalambrica apropiada se les permite itinerar entre las redes inalambricas privadas y las redes inalambricas publicas, tales como redes GSM y 3G.
Dicha pasarela puede ser configurada para rechazar solicitudes de establecimiento de tuneles seguros con usuarios externos que no pasaran a traves de dicho tunel externo.
Segun un segundo aspecto de la presente invenci6n, se proporciona una pasarela para controlar el acceso por parte de usuarios externos a una red de comunicaci6n, estando localizada la pasarela dentro de una red de acceso publico, comprendiendo la pasarela:
medios para establecer un tunel exterior seguro entre una red privada y la pasarela,
medios para establecer un tunel interior seguro entre cada usuario externo que desee conectarse a la red de comunicaci6n a traves de la red privada y la pasarela, en base a una autenticaci6n del usuario externo a la pasarela, estando el tunel interior dentro de dicho tunel exterior,
medios para asociar el trafico que viaja a traves de un tunel interior con un usuario externo correspondiente y con la red privada, y dichos medios para asociar el trafico estan dispuestos tambien para determinar una cantidad de trafico externo enrutado entre los usuarios externos e Internet por medio de la red de acceso privado.
Breve descripci6n de los dibujos
La Figura 1 ilustra esquematicamente un escenario en el que un usuario externo accede a Internet a traves de una red privada, y
La Figura 2 es un diagrama de flujo que ilustra un procedimiento para permitir a un usuario externo acceder a una red de comunicaci6n a traves de una red de acceso privado.
Descripci6n detallada
Tal como se ha expuesto anteriormente, en algunas circunstancias, es deseable permitir que un usuario m6vil itinerante, que posee un terminal con funci6n inalambrica habilitada (o posiblemente conectado por cable), por ejemplo, un telefono inteligente, PDA, portatil, etc., acceda a una red de comunicaci6n a traves de lo que es, esencialmente, una red de acceso privado. Un ejemplo de una red privada es una WLAN domestica o corporativa. Las redes privadas adecuadas estaran conectadas a una red de acceso publico, tal como una red que es propiedad de y es operada por un operador de red de telecomunicaci6n, para permitir a los usuarios conectarse al "mundo exterior". El operador de la red privada pagara al operador de la red de telecomunicaci6n por este servicio, tfpicamente, en base a una suscripci6n regular y/o en base a un pago por uso.
La definici6n de una red privada abarca las WLANs domesticas y corporativas tfpicas. Sin embargo, se extiende tambien para abarcar cualquier dispositivo o sistema adecuado que proporciona cobertura inalambrica en un area circundante. Los ejemplos incluyen dispositivos habilitados para Bluetooth® y WLAN. La red privada establecera un tunel o unos tuneles con la red de acceso publico para enrutar el trafico originado dentro de la red privada y con destino a la red privada, es decir, asociado con el propio cliente o clientes de las redes privadas, segun la practica convencional.
Una etapa preliminar necesaria en el procedimiento de permitir a los usuarios m6viles itinerantes ("externos") hacer uso de una red de acceso privado, es el establecimiento de un tunel a nivel IP (el tunel "exterior") entre la red privada y su red de acceso publico. Dicho tunel IP significa que la red privada no necesita estar conectada directamente a su red de acceso publico. Esto es relevante, por ejemplo, cuando la red privada es proporcionada mediante un dispositivo tal como un telefono inteligente o una PDA, que es capaz de conectarse a una red de acceso publico a traves de una red visitada (o "extranjera"). El tunel es establecido usando un intercambio de claves de Internet (Internet Key Exchange) (IKEv2) [lD.ietf-ipsec-IKEv2] a un nodo pasarela dentro de la red de acceso publico. La direcci6n del nodo pasarela esta preconfigurada o es calculada segun algun procedimiento conocido (vease, por ejemplo, [3GPP.24.234]). IKEv2 puede usar posiblemente su protocolo de autenticaci6n extensible (Extensible Authentication Protocol, EAP) de manera pueden emplearse las credenciales de acceso a red tfpicas. Por ejemplo, un telefono inteligente LAN inalambrico celular podrfa usar tarjetas SIM o USIM para autenticarse a sf mismo cuando se conecta a una red particular, asf como cuando se comunica con la pasarela (IKEv2). La primera ejecuci6n del procedimiento IKE resulta en el establecimiento de un par de Asociaciones de Seguridad (Security Associations, SA) IKE entre la red privada y la red de acceso publico.
El acceso a los recursos de la red privada puede ser controlado por el operador de la red privada para garantizar que hay suficiente capacidad disponible para los usuarios domesticos. Sin embargo, cuando la situaci6n de los recursos lo permite, la red privada puede ofrecer acceso a red a otros usuarios m6viles externos. No se requiere autenticaci6n para estos usuarios externos en la capa de enlace (es decir, en el establecimiento de un enlace de radio entre el usuario externo y la red privada). Sin embargo, la red privada fuerza todo el trafico originado externamente a traves del tunel exterior establecido sobre el enlace entre la red de acceso privado y publico. De la misma manera, la pasarela forzara todo el trafico destinado a un usuario externo a traves del mismo tunel. El nodo de procesamiento apropiado dentro de la red privada y la pasarela realizan papeles emisor-receptor recfprocos.
Sin embargo, previamente a enrutar cualquier trafico relacionado con el exterior a traves del tunel exterior, un usuario externo debe ser autenticado a la pasarela dentro de la red de acceso publico. Esto puede realizarse haciendo que la pasarela contacte con el Registro de Ubicaci6n Domestica (Home Location Register) de la red troncal asociada, usando procedimientos AAA estandar. Si el usuario externo pertenece a alguna otra red, la pasarela debe autenticar el usuario externo contactando con la red domestica del usuario, usando de nuevo procedimientos AAA. Suponiendo que la autenticaci6n tiene exito, se establece un nuevo par IPsec SA en IKEv2, usando Create Child SA Exchange, y la red privada asigna una direcci6n IP al usuario externo. Como resultado, para cada usuario externo, se crea un tunel "interior" dentro del tunel exterior que se extiende entre el usuario y la pasarela. Una vez establecido el tunel interior, el usuario externo puede empezar a enviar trafico a Internet o a otra red de comunicaci6n, a traves de la pasarela. Esto se ilustra en la Figura 1, donde la red privada se ilustra como un ordenador portatil con WLAN habilitada, que pertenece a "Alice", mientras que el usuario externo que hace uso de la red privada de Alicia es "Nancy". La red de comunicaci6n a la que accede Nancy es Internet. Los paquetes son "encapsulados" en el nivel mas externo con las SA asociadas con el tunel exterior, y en un segundo nivel con las SA asociadas con el tunel interior apropiado. La pasarela rechazara cualquier solicitud recibida desde un usuario externo, a traves del tunel exterior, de establecimiento de un tunel que no esta dentro del tunel exterior. El diagrama de flujo de la Figura 2 ilustra adicionalmente este procedimiento.
Como resultado del procedimiento descrito anteriormente, la red de acceso publico usada por la red privada puede asociar todo el trafico que pasa por la misma tanto con una red privada como con un usuario externo. La red de acceso publico puede determinar, de esta manera, la cantidad de trafico externo enrutado por una red privada y puede aplicar una compensaci6n apropiada al operador de la red privada (la compensaci6n puede ser monetaria creditos de trafico, etc.). Ademas, o de manera alternativa, la red de acceso publico puede usar el acceso proporcionado por la red privada para autorizar a los usuarios de la red privada para que itineren en otras redes privadas (es decir, para permitir itinerancia recfproca entre redes privadas). Al mismo tiempo, la red de acceso publico sera capaz de distinguir entre el trafico originado en la red privada y el trafico externo enrutado a traves de la red de acceso publico. Esto es importante, por ejemplo, para facilitar una interceptaci6n legal y determinar la responsabilidad por un trafico ilfcito.
Aunque es conocido el establecimiento de tuneles encadenados entre puntos extremos y nodos intermedios (vease, por ejemplo, EP1280300 y "A Public Key based Secure Mobile IP", Zao et al), no se conoce el uso de dichos tuneles encadenados como un medio de enrutar un trafico que fluye entre los usuarios externos y una pasarela a traves de una red de acceso intermedia, en este caso la red de acceso privado. Al usar tuneles tal como se ha explicado anteriormente, es posible para la red de acceso publico determinar que cierto trafico esta originado desde un usuario externo y no esta asociado directamente con la red de acceso privado. Por lo tanto, dicho mecanismo puede ser usado para aplicar una compensaci6n monetaria o de otro tipo al operador de la red de acceso privado.
Los tuneles (interior y exterior) no siempre tienen que ser establecidos a partir de cero despues de movimientos de los usuarios externos y de la red privada, si es que tambien es m6vil. Por ejemplo, cuando la red privada se mueve, puede reconectarse a su pasarela usando MOBIKE. MOBIKE es una extensi6n de IKEv2, que permite cambiar la direcci6n IP del cliente sin recrear el tunel. De manera similar, un usuario externo puede mantener su tunel interior existente incluso cuando se mueve a una red privada diferente, siempre que la red de acceso publico de las redes privadas sea la misma (ya que si no, estarfa implicada una pasarela diferente).
Un conjunto de mecanismos de publicidad pueden ser empleados en el nivel de la capa de enlace para indicar a los usuarios externos el tipo de servicio proporcionado por una red privada y bajo que condiciones es proporcionado. Dicha publicidad puede proporcionar, por ejemplo, una indicaci6n de las tarifas aplicables. Un usuario externo se conecta a la red privada en base a la publicidad.
Una persona con conocimientos en la materia apreciara que pueden realizarse diversas modificaciones a la realizaci6n descrita anteriormente, sin alejarse del alcance de la presente invenci6n.
Referencias
[I-D.ietf-ipsec-ikev2] Kaufman, C., "Internet Key Exchange (IKEv2) Protocol", draft-ietf-ipsec-ikev2-17 (trabajo en curso), Octubre 2004.
[I-D.ietf-mobike-protocol] Eronen, P., "IKEv2 Mobility and Multihoming Protocol (MOBIKE)", draft-ietfmobike- protocol00 (trabajo en curso), Junio 2005.
[I-D.arkko-eap-service-identity-auth] Arkko, J. y P. Eronen, "Authenticated Service Identities for the Extensible Authentication Protocol (EAP)", draft-arkko- eap-service-identity-auth-00 (trabajo en curso), Abril 2004.
[RFC2865] Rigney, C., Willens, S., Rubens, A., y W. Simpson, "Remote Authentication Dial In User Service (RADIUS)". RFC 2865, Junio 2000.
[RFC3588] Calhoun, P., Loughney, J., Guttman, E., Zorn, G., y J. Arkko, "Diameter Base Protocol", RFC 3588, Septiembre 2003.
[RFC3748] Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., y H. Levkowetz, "Extensible Authentication Protocol
(EAP)", RFC 3748, Junio 2004.
[I-D.ietf-eap-netsel-probfem] Arkko, J. y B. Aboba, "Network Discovery and Selection Problem", draft-ietf-eap-netselproblem-01 (trabajo en curso), Julio 2004. [3GPP.24.234] 3GPP, "3GPP system to Wireless Local Area Network (WLAN)"

Claims (11)

  1. REIVINDICACIONES
    1. Procedimiento para enrutar trafico entre usuarios externos e Internet a traves de una red de acceso privado, comprendiendo el procedimiento:
    establecer un tunel exterior seguro entre la red de acceso privado y una pasarela de una red de acceso publico a la que esta acoplada la red de acceso privado, en base a una autenticaci6n de la red de acceso privado a la red de acceso publico, estando dicha pasarela acoplada a Internet;
    para cada usuario externo que desee conectarse a Internet a traves de la red de acceso privado, establecer un tunel interior seguro entre el usuario externo y la pasarela, en base a una autenticaci6n del usuario externo a la pasarela, estando el tunel interior dentro de dicho tunel exterior, y
    hacer que el trafico fluya entre los usuarios externos y la pasarela a traves de los tuneles internos respectivos,
    dentro de dicha red de acceso publico, usar dichos tuneles interior y exterior para determinar una cantidad de trafico externo enrutado entre los usuarios externos e Internet por medio de la red de acceso privado, y
    aplicar una compensaci6n apropiada a un operador de dicha red de acceso privado dependiendo de dicha cantidad determinada de trafico externo.
  2. 2.
    Procedimiento segun la reivindicaci6n 1, en el que dicho tunel exterior transporta s6lo trafico que viaja a traves de los tuneles interiores.
  3. 3.
    Procedimiento segun la reivindicaci6n 1, en el que la red de acceso privado puede enviar su propio trafico a traves del tunel exterior, que no esta dentro de un tunel interior.
  4. 4.
    Procedimiento segun una cualquiera de las reivindicaciones anteriores, en el que dicha pasarela esta configurada para rechazar solicitudes de establecimiento de tuneles seguros con usuarios externos que no pasaran a traves de dicho tunel exterior.
  5. 5.
    Procedimiento segun una cualquiera de las reivindicaciones anteriores, en el que la red de acceso publico es una lfnea fija o una red de telecomunicaci6n celular.
  6. 6.
    Procedimiento segun una cualquiera de las reivindicaciones anteriores, en el que dichos tuneles exterior e interior son tuneles IPSec definidos por IKE Sas negociados entre la red de acceso privado y una pasarela de la red de acceso publico y entre los usuarios externos y esa pasarela.
  7. 7.
    Procedimiento segun una cualquiera de las reivindicaciones anteriores, en el que la autenticaci6n de un usuario externo a la pasarela es realizada dentro de dicha red de acceso publico, o implica que la red de acceso publico se comunica con una red adicional, donde el usuario es un abonado de esa red adicional.
  8. 8.
    Procedimiento segun una cualquiera de las reivindicaciones anteriores, en el que dicha red de acceso privado es un solo nodo conectado a la red de acceso publico a traves de una conexi6n inalambrica o por cable.
  9. 9.
    Procedimiento segun una cualquiera de las reivindicaciones 1 a 7, en el que dicha red de acceso privado es una red inalambrica privada.
  10. 10.
    Pasarela para controlar el acceso de usuarios externos a Internet, estando localizada la pasarela dentro de una red de acceso publico y acoplada a Internet, comprendiendo la pasarela:
    medios para establecer un tunel exterior seguro entre una red de acceso privado y la pasarela;
    medios para establecer un tunel interior seguro entre cada usuario externo que desea conectarse a Internet a traves de la red de acceso privado y la pasarela en base a una autenticaci6n del usuario a la pasarela, estando el tunel interior dentro de dicho tunel exterior; y
    medios para asociar el trafico que viaja a traves de un tunel interior con un usuario externo correspondiente y con la red de acceso privado,
    dichos medios para asociar el trafico estan dispuestos tambien para determinar una cantidad de trafico externo enrutado entre los usuarios externos e Internet por medio de la red de acceso privado.
  11. 11. Pasarela segun la reivindicaci6n 10, que comprende medios para rechazar solicitudes de establecimiento de tuneles seguros con usuarios externos que no pasaran a traves de dicho tunel externo.
ES06701277T 2006-01-23 2006-01-23 Acceso a red de comunicación. Active ES2368745T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2006/050357 WO2007082588A1 (en) 2006-01-23 2006-01-23 Communication network access

Publications (1)

Publication Number Publication Date
ES2368745T3 true ES2368745T3 (es) 2011-11-21

Family

ID=36869913

Family Applications (1)

Application Number Title Priority Date Filing Date
ES06701277T Active ES2368745T3 (es) 2006-01-23 2006-01-23 Acceso a red de comunicación.

Country Status (5)

Country Link
US (1) US20090089872A1 (es)
EP (1) EP1977559B1 (es)
AT (1) ATE518334T1 (es)
ES (1) ES2368745T3 (es)
WO (1) WO2007082588A1 (es)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090193247A1 (en) * 2008-01-29 2009-07-30 Kiester W Scott Proprietary protocol tunneling over eap
US8875277B2 (en) 2012-06-04 2014-10-28 Google Inc. Forcing all mobile network traffic over a secure tunnel connection
US10158680B2 (en) * 2016-01-20 2018-12-18 Oracle International Corporation Co-transported tunnels for encapsulated traffic

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6738814B1 (en) * 1998-03-18 2004-05-18 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network
US7058059B1 (en) * 2001-02-20 2006-06-06 At&T Corp. Layer-2 IP networking method and apparatus for mobile hosts
US6978308B2 (en) * 2001-03-21 2005-12-20 International Business Machines Corporation System and method for nesting virtual private networking connections with coincident endpoints
US7061899B2 (en) * 2001-05-01 2006-06-13 Hewlett-Packard Development Company, L.P. Method and apparatus for providing network security
GB2378009B (en) 2001-07-27 2005-08-31 Hewlett Packard Co Method of establishing a secure data connection
US6792271B1 (en) * 2001-11-06 2004-09-14 Bellsouth Intellectual Property, Inc. Alternative wireless telephone roaming using prepaid services
US7031709B2 (en) * 2002-04-05 2006-04-18 Ntt Docomo, Inc. Method and associated apparatus for increment accuracy of geographical foreign agent topology relation in heterogeneous access networks
AU2003293381A1 (en) * 2002-12-03 2004-06-23 Funk Software, Inc. Tunneled authentication protocol for preventing man-in-the-middle attacks
CN1301611C (zh) * 2003-01-21 2007-02-21 三星电子株式会社 用于在不同的专用网的网络设备之间支持通信的网关
GB0312681D0 (en) * 2003-06-03 2003-07-09 Ericsson Telefon Ab L M IP mobility
US7661131B1 (en) * 2005-02-03 2010-02-09 Sun Microsystems, Inc. Authentication of tunneled connections

Also Published As

Publication number Publication date
ATE518334T1 (de) 2011-08-15
EP1977559B1 (en) 2011-07-27
EP1977559A1 (en) 2008-10-08
US20090089872A1 (en) 2009-04-02
WO2007082588A1 (en) 2007-07-26

Similar Documents

Publication Publication Date Title
CN111726804B (zh) 用于集成小型小区和Wi-Fi网络的统一认证
JP6045648B2 (ja) ユーザエンティティにネットワークアクセスを提供する方法及び装置
US9549317B2 (en) Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
CN102215487B (zh) 通过公共无线网络安全地接入专用网络的方法和系统
US7200383B2 (en) Subscriber authentication for unlicensed mobile access signaling
CA2809023C (en) A system and method for wi-fi roaming
ES2281599T3 (es) Aparato y metodo para la autentificacion de identificacion unica a traves de una red de acceso no confiable.
ES2307047T3 (es) Procedimiento y sistema para la facturacion en base a contenidos en redes ip.
US9226153B2 (en) Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP
CN107925879A (zh) 包括蜂窝接入网络节点的标识符的网络接入标识符
CN103297968B (zh) 一种无线终端认证的方法、设备及系统
KR20140114853A (ko) 신뢰된 비 3gpp 액세스 네트워크를 통해 접속된 사용자 장비에 대하여 3gpp hplmn에서 서비스 전달 플랫폼에 의해 전달된 서비스들에 대한 액세스의 허용
ES2368745T3 (es) Acceso a red de comunicación.
ES2665875T3 (es) Método de acceso en una WLAN para un teléfono móvil IP con autenticación mediante HLR
Leu et al. Running cellular/PWLAN services: practical considerations for cellular/PWLAN architecture supporting interoperator roaming
WO2011015091A1 (zh) 用于家用基站的接入方法、装置、系统及aaa服务器
Janevski AAA system for PLMN-WLAN internetworking
Leu et al. Practical considerations on end-to-end cellular/PWLAN architecture in support of bilateral roaming
Hecker et al. Pre-authenticated signaling in wireless lans using 802.1 x access control
ES2730831T3 (es) Sistema de transmisión de telefonía móvil para proporcionar al menos una celula de telefonía móvil en un edificio o campus
Iyer et al. Public WLAN Hotspot Deployment and Interworking.
CN105554748A (zh) WiFi分流的方法、装置及系统
Yogi et al. A Systematic Review of Security Protocols for Ubiquitous Wireless Networks
CN103856933A (zh) 一种漫游终端的认证方法、装置及服务器
Surtees et al. Combining W-ISP and cellular interworking models for WLAN