ES2447546T3 - Acceso a través de redes de acceso no-3GPP - Google Patents

Acceso a través de redes de acceso no-3GPP Download PDF

Info

Publication number
ES2447546T3
ES2447546T3 ES08873855.4T ES08873855T ES2447546T3 ES 2447546 T3 ES2447546 T3 ES 2447546T3 ES 08873855 T ES08873855 T ES 08873855T ES 2447546 T3 ES2447546 T3 ES 2447546T3
Authority
ES
Spain
Prior art keywords
user equipment
access network
eap
aaa server
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES08873855.4T
Other languages
English (en)
Inventor
Mats NÄSLUND
Jari Arkko
Rolf Blom
Vesa Lehtovirta
Karl Norrman
Stefan Rommer
Bengt Sahlin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=41162085&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=ES2447546(T3) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of ES2447546T3 publication Critical patent/ES2447546T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W72/00Local resource management
    • H04W72/50Allocation or scheduling criteria for wireless resources
    • H04W72/53Allocation or scheduling criteria for wireless resources based on regulatory allocation policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Un método llevado a cabo por un equipo de usuario (1) para una comunicación a través una red de acceso (3, 3'),que comprende: - recuperar información a partir de, o para interpretar una condición especial indicada en un mensaje enviado alequipo de usuario (1) desde un servidor AAA en una red local de equipo de usuario (1), en un procedimiento deautenticación que forma parte del establecimiento de una conexión desde el equipo de usuario (1) a través de la redde acceso (3, 3'), haciendo referencia la condición especial a si la red de acceso (3, 3') es o no de confianza, y - utilizar, en una etapa siguiente del procedimiento de establecimiento de la conexión, la información recuperada o elresultado de la interpretación de la condición especial, para seleccionar un modo apropiado de establecer laconectividad a través de la red de acceso (3, 3').

Description

Acceso a través de redes de acceso no-3GPP
Campo técnico
La presente invención se refiere a un método de establecimiento de comunicación entre un UE (User Equipment, equipo de usuario), denominado a asimismo un terminal, un terminal de usuario o una estación de usuario, y un nodo de red, y se refiere además a un sistema que comprende por lo menos un UE y un nodo de red.
Antecedentes
El 3GPP (3rd Generation Partnership Project, proyecto de asociación de tercera generación) está en el proceso de definición de un estándar extendido para la transmisión de paquetes de datos, denominado EPS (Evolved Packet System, sistema evolucionado de paquetes). En el EPS, además de tecnologías de acceso-3GPP nativas tales como WCDMA (Wideband Code Division Multiple Access, acceso múltiple por división de código de banda ancha), LTE (Long Term Evolution, evolución a largo plazo), estará soportado asimismo el acceso a servicios de comunicación de datos y/o servicios de Internet a través de acceso no-3GPP, incluyendo en particular el acceso a través de una red local tal como una HPLMN (Home Public Land Mobile Network, red móvil terrestre pública local) por medio de métodos/tecnologías/redes/estándares de acceso no-3GPP, por ejemplo WiMAX acorde con el estándar IEEE 802.16, una WLAN (Wireless Local Area Network, red de área local inalámbrica), por ejemplo acorde con el estándar IEEE 802.11g/n, xDSL (Digital Subscriber Line, línea de abonado digital), etc. Para el objetivo de la invención descrita en la presente memoria, "red local" debe entenderse como la entidad con la que un usuario tiene un acuerdo comercial, a menudo en forma de abono, para el acceso de red o acceso de servicios y por lo tanto comprende tanto redes convencionales de operador de telecomunicaciones, como operadores virtuales, etc. El documento US-2008/0026734-A1 da a conocer un sistema de este tipo, que involucra un UE que conecta a una red3GPP a través de una red de acceso WLAN. Una red de acceso puede ser gestionada y/o administrada por otra entidad diferente a la red local, en cuyo caso existe normalmente un acuerdo comercial entre las dos redes.
Los métodos de acceso no-3GPP pueden agruparse en una de estas dos categorías:
-
Acceso no-3GPP de confianza, y
-
Acceso no-3GPP no de confianza, denominado así mismo acceso no-3GPP no fiable.
Las dos categorías de acceso no-3GPP se muestran en la figura 1a, que es una vista general de un "sistema de paquetes evolucionado" tal como se define en el documento estándar 3GPP TS23.402, "Architecture enhancement for non-3GPP accesses".
La definición exacta de los términos "de confianza" y "no de confianza" para un acceso EPS está actualmente bajo discusión. La discusión se complica debido al hecho de que aplican tanto aspectos técnicos -considérese, por ejemplo, la siguiente cuestión: ¿el acceso es seguro/de confianza debido a unos medios técnicos de protección suficiente? - como aspectos comerciales -considérese, por ejemplo la siguiente cuestión: ¿tiene el operador local, es decir el operador de la red local, un "acuerdo" lo suficientemente fuerte con el operador de la red de acceso como para considerar la red de acceso como de confianza desde el punto de vista del operador local? Por lo tanto, existe tanto un interés de los abonados (por ejemplo, privacidad) como un interés de los operadores (por ejemplo, comercial) para determinar si cierto acceso es o no de confianza.
Lo que sí está claro es que las redes de acceso no-3GPP de confianza y no de confianza son generalmente redes de acceso IP (protocolo de Internet) que utilizan tecnología de acceso, cuya especificación está fuera del alcance de 3GPP. Una "hipótesis" de trabajo adoptada recientemente por el 3GPP SA2 a este respecto es que si una red de acceso IP no-3GPP es o no de confianza, no es una característica de la propia red de acceso. En un escenario no itinerante, es una decisión del operador de la HPLMN, es decir el operador local, si una red de acceso IP no-3GPP se utiliza como una red acceso no-3GPP de confianza o no de confianza, y compete al operador implementar medidas de seguridad adecuadas en el caso respectivo, por ejemplo según la discusión siguiente de la descripción de antecedentes.
Resulta obvio que los diferentes tipos de accesos no-3GPP utilizarán diferentes medios de protección entre la red local y el terminal/UE, por ejemplo:
-
En el establecimiento de conectividad en un acceso no de confianza, se establecerá probablemente un túnel IPsec (Internet Protocol Security, protocolo de seguridad de internet) entre el terminal y un nodo de "pasarela" "sobre" el acceso, es decir, una ePDG (evolved Packet Data Gateway, pasarela de paquetes de datos evolucionada), tal como se muestra en la figura 1a. Se entiende que en la presente memoria "conectividad" significa "el estado o un estado de estar conectado". El establecimiento del túnel IPsec se realiza además mediante un procedimiento ejecutado según el protocolo IKE (Internet Key Exchange, intercambio de clave de Internet), específicamente la versión 2 del mismo. Esto hará la seguridad más o menos independiente de las características de seguridad de la red de acceso utilizada. No obstante, una red de confianza no tendrá o necesitará esta característica.
-
En el establecimiento de conectividad en un acceso de confianza es probable que se utilice el EAP (Extensible Authentication Protocol, protocolo de autenticación extensible) y éste puede incluir, pero no necesariamente, el método EAP AKA (Authentication and Key Agreement, acuerdo de autenticación y gestión de claves) para la autenticación de acceso, mientras que un acceso no de confianza puede utilizar o no utilizar el EAP.
-
Los accesos establecidos según diferentes métodos pueden utilizar diferentes soluciones de movilidad, por ejemplo MIP (IP móvil) o PMIP (Proxy MIP). Con respecto a movilidad y seguridad IP, MIP se da a conocer el documento US2007/006295-A1, que da a conocer un método que proporciona movilidad segura para un terminal en un sistema móvil que comprende por lo menos dos subredes basadas en IP. De acuerdo con el método, un terminal detecta una nueva subred basada en IP y sus requisitos de seguridad.
Considérese un UE que está a punto de establecer conectividad, por ejemplo con la finalidad de unirse a algún servicio o servicios a través de una red de acceso no-3GPP. A priori, en general el UE no sabe si el acceso está o no considerado como "de confianza" por la red local. Entonces la cuestión consiste en si el UE debería o no establecer un túnel IPsec con una ePDG, siendo éste un procedimiento que requiere recursos/costes/tiempo relativamente elevados que deberían evitarse en la medida de lo posible. En particular, si el UE intenta utilizar el IKE/IPsec, pero éste no está de hecho soportado por la red, se derrocha señalización y/o pueden producirse casos de error.
Si bien el UE podría estar preconfigurado estáticamente con información adecuada, no existen métodos utilizados de forma general para señalizar dinámicamente al UE si el acceso está o no considerado de confianza. En general, el UE puede deducir algunos aspectos "técnicos" de la propia tecnología utilizada, por ejemplo WiMAX o WLAN, pero el UE no puede obtener información y comprender todos los aspectos técnicos, por ejemplo la presencia de una ePDG o qué protocolo de movilidad debe ser utilizado. A un nivel superior, el UE no puede conocer los aspectos de carácter "comercial". Por ejemplo, considérese una red de acceso no-3GPP dada, por ejemplo una red WIMAX proporcionada por una parte o un operador A. Dos diferentes operadores de red local, B y C, podrían tener opiniones diferentes sobre si la parte A y la red proporcionada por la misma es o no de confianza, debido a sus políticas de seguridad y acuerdos comerciales. Por lo tanto, un UE que utiliza un abono en el operador B debería considerar quizás de confianza la parte A y su red de acceso, mientras que un UE que utiliza un abono en el otro operador C debería considerar no de confianza la parte A y su red de acceso. La situación se complica más aún si se tienen en cuenta accesos "heredados" a través de redes 3GPP, por ejemplo una I-WLAN (Interworking Wireless Local Area Network, red de área local inalámbrica de interconexión) según el documento estándar 3GPP TS 33.234. En un acceso a través de una red de acceso I-WLAN, puede utilizarse una pasarela en forma de una PDG (Packet Data Gateway (pasarela de paquetes de datos), una pasarela acorde con el estándar 3GPP general o anterior, a diferenciar de la ePDG especial mencionada anteriormente) para determinar el túnel IPsec hacia/desde el UE y por lo tanto esta red WLAN se considerará como "no de confianza". Sin embargo, en el futuro el acceso a través de una WLAN conectada a un EPS podría, quizás, ser de confianza, por ejemplo debido a la utilización de mejoras de seguridad acordes con el estándar IEEE 802.11i, y por lo tanto no utilizaría o no tendría la IPsec/PDG. Esto muestra (de nuevo) que una tecnología de acceso dada puede o no ser considerada de confianza y utilizar diferentes medios de seguridad hacia el UE, dependiendo de la situación.
En resumen, puede existir una necesidad de un modo de notificar al UE sobre por lo menos alguna "propiedad" de la red de acceso, tal como una propiedad que implique si el acceso es o no de confianza, qué tipo de funciones de movilidad y seguridad deberían utilizarse, etc. Además, un método para realizar dicha notificación debería ser lo suficientemente seguro como para evitar ataques y por supuesto debería proporcionar asimismo robustez en general.
Compendio
Un objetivo de la invención es permitir a un UE establecer conectividad con, o a través de una red, de tal modo que por lo menos en uno o varios aspectos ésta sea eficiente y/o segura.
Dichos aspectos pueden incluir, por ejemplo, sobrecarga de ancho de banda/señalización/computacional y resistencia frente a ataques maliciosos.
De este modo, puede permitirse al UE, por ejemplo, elegir un modo de comunicación en función de si una red a través de la cual deberá conectarse es o no de confianza.
Se da a conocer un método realizado por un equipo de usuario para la comunicación a través de una red de acceso. El método comprende las etapas de:
-
recuperar información especial a partir de, o para interpretar una condición especial indicada en un mensaje enviado al equipo de usuario desde un servidor AAA en una red local del equipo de usuario, en un procedimiento de autenticación que forma parte del establecimiento de una conexión desde el equipo de usuario a través de la red de acceso, la condición especial haciendo referencia a si la red de acceso es o no de confianza, y
-
utilizar, en una etapa siguiente del procedimiento de establecimiento de la conexión, la información recuperada o el resultado de la interpretación de la condición especial, para seleccionar un modo apropiado de establecer la conectividad a través de la red de acceso.
La red de acceso puede ser, por ejemplo, una WLAN, que comprende una parte de acceso radioeléctrico WLAN y la conexión de línea fija con el punto de acceso, y posiblemente asimismo una red central o partes seleccionadas de la misma detrás de una red de acceso.
La información acerca de si la red de acceso es o no de confianza, o una indicación al respecto, puede enviarse en o dentro de mensajes transmitidos al UE en una etapa preliminar de establecimiento de la comunicación, en particular dentro de un mensaje enviado en un procedimiento de autenticación, por ejemplo en una primera etapa del mismo. De este modo, puede posibilitarse que el UE esté en conocimiento por lo menos de una "propiedad" del acceso relacionada con la confianza, de manera segura, sin añadir nuevos protocolos o rondas de señalización.
La propiedad puede ser enviada, en particular, dentro de un mensaje de Solicitud EAP/Desafío AKA, dentro de unmensaje de Solicitud EAP/Notificación AKA o dentro de un mensaje de Éxito EAP.
De manera habitual, una representación del método de acceso que se describe en la presente memoria puede comprender uno o varios programas informáticos o rutinas informáticas, es decir, partes de código de programa en general que son legibles por un ordenador, denominado asimismo en la presente memoria un procesador o un procesador electrónico, para llevar a cabo las etapas del procedimiento correspondiente. Las partes de código de programa pueden haber sido escritas, y ser o haber sido leídas desde uno o varios productos de programa informático, es decir, soportes de código de programa, tales como un disco duro, un disco compacto (CD, compact disc), una tarjeta de memoria o un disco flexible. Las partes de código de programa pueden estar almacenadas, por ejemplo, en una memoria de un UE y/o de un servidor o nodo de red, tal como una memoria que sea por ejemplo una memoria flash, una EEPROM (Electrically Erasable Programmable ROM, ROM programable borrable eléctricamente), un disco duro o una ROM (Read-Only Memory, memoria de sólo lectura).
Breve descripción de los dibujos
Los objetivos, ventajas y efectos así como las características de la invención se comprenderán más fácilmente a partir de la siguiente descripción detallada de realizaciones a modo de ejemplo de la invención, cuando se lean junto con los dibujos adjuntos, en los cuales:
-
la figura 1a es una vista esquemática de un EPS acorde con la técnica anterior,
-
la figura 1b es otra vista esquemática de un EPS que incluye una VPLMN (Visited Public Land Mobile Network, red móvil terrestre publica visitada),
-la figura 2 es un diagrama de señales transmitidas entre nodos involucrados en un procedimiento de autenticación de acuerdo con el EAP,
-
la figura 3 es un diagrama de señales transmitidas entre nodos involucrados en un procedimiento de acceso para equipo de usuario,
-
la figura 4a es un diagrama de bloques de un equipo de usuario, que muestra unidades o módulos requeridos para recuperar o interpretar información especial en un mensaje recibido y para utilizar la información especial,
-
la figura 4b es un diagrama de bloques de equipo de usuario que muestra componentes internos habituales del mismo,
-
la figura 4c es un esquema de una unidad de memoria que contiene o lleva código de programas para su utilización por un equipo de usuario,
-
la figura 5a es un diagrama de bloques similar a la figura 4a, de un nodo o servidor, que muestra unidades requeridas para recuperar e introducir información especial en un mensaje,
-
la figura 5b es un diagrama de bloques similar a la figura 5a, en la que el mensaje es un mensaje incluido en un procedimiento de autenticación,
-
la figura 5c es un diagrama de bloques similar a la figura 4b, de un nodo o servidor, que muestra componentes internos habituales del mismo, y
-
la figura 5d es un esquema de una unidad de memoria que contiene o lleva código de programa para su utilización por un servidor.
Descripción detallada
Aunque la invención abarca diversas modificaciones y construcciones alternativas, en los dibujos se muestran realizaciones de la invención y en adelante se describirán en detalle. Sin embargo, debe entenderse que la descripción específica y los dibujos no están previstos para limitar la invención a las formas específicas dadas a conocer.
A continuación se describirá un procedimiento que involucra un UE que accederá a una red local. En particular, se describirá cómo un UE establece conectividad de red. El objetivo puede ser, por ejemplo, que el UE desea una conexión a través de una red local, a una parte tal como un cliente o un servidor, no mostrado, conectado a la red local o a un servicio accesible a través de la red local. Sin embargo, el procedimiento que se describe en la presente memoria trata sólo del establecimiento de conectividad de red, y cómo o con qué propósito se vaya a utilizar la conectividad no forma parte del procedimiento. En la figura 1b se muestran esquemáticamente los componentes más importantes involucrados. Un UE 1, en general un terminal, por ejemplo un teléfono móvil o una estación móvil, establecerá una conexión a través de una red de acceso no-3GPP que es, considerada por una red local HPLMN 5, una red de confianza tal como la que se muestra en 3 o bien una red no de confianza tal como la que se muestra en 3'. Además, en el caso mostrado el UE 1 está asimismo itinerando, es decir, accederá a través de la red de acceso respectiva a su HPLMN a través de una VPLMN 7. Se asume que la HPLMN y la VPLMN funcional de acuerdo con el estándar EPS. Asimismo, se asume que el UE 1 tiene medios para funcionar de acuerdo con el mismo estándar.
Puede asumirse que el UE 1, asociado con la red local 5, que está estableciendo conectividad utilizando el estándar EPS mediante una red de acceso no-3GPP tiene un USIM (Universal Subscriber Identity Module, módulo de identidad de abonado universal), no mostrado. Incluso si no se requiere el USIM para la autenticación de acceso, habitualmente éste es necesario para establecer una conexión IPsec segura a una ePDG 9 en la VPLMN 7 y/o para establecer señalización de movilidad segura, por ejemplo, MIP.
El UE 1 inicia el establecimiento de conectividad mediante poner en marcha un procedimiento de establecimiento. En primer lugar envía un mensaje o señal de solicitud, solicitando una conectividad a una red de acceso no-3GPP 3, 3', ver asimismo el diagrama de señal de la figura 3 donde se muestran etapas del procedimiento de establecimiento para el acceso. La solicitud puede contener uno o varios identificadores específicos de acceso básico/físico para el UE 1, por ejemplo una dirección MAC (control de acceso al medio), etc. Un nodo de acceso (AN, access node) 11 en la red de acceso respectiva recibe el mensaje o señal de solicitud, lo analiza y responde, por ejemplo, iniciando un proceso de intercambio de identidad de UE, siendo ésta, por ejemplo, la primera etapa de un procedimiento de autenticación acorde, por ejemplo, con el EAP. La identidad es habitualmente una identidad lógica que puede incluir información acerca de la red local del UE 1, y normalmente no está vinculada a una tecnología de acceso específica. En dicho procedimiento de intercambio de identidad del UE, el AN 11 en la red de acceso 3, 3' respectiva envía en primer lugar un mensaje Solicitar identidad EAP al UE 1, ver el diagrama de señales más detallado de la figura 2. El UE 1 recibe el mensaje Solicitar identidad EAP y envía en respuesta mismo un mensaje Responder identidad EAP, que contiene información sobre la identidad del UE y es recibido por el AN 11 en la red de acceso respectiva. El AN identifica el mensaje Responder identidad EAP y lo transfiere a un servidor 13 respectivo en la HPLMN 5 para el UE 1 o en asociación con el mismo, teniendo lugar la transferencia a través de la VPLMN 7 para el caso mostrado la figura 1b. Si bien la autenticación/señalización EAP entre el UE 1 y el AN 11 se lleva a cabo sobre un protocolo específico de acceso, por ejemplo 802.1x, la autenticación/transferencia EAP al servidor 13 se lleva a cabo habitualmente sobre un protocolo AAA basado en IP, tal como Diameter o Radius. El AN 11 puede por lo tanto añadir elementos de información adicionales cuando transmite el mensaje EAP sobre el protocolo AAA, por ejemplo un identificador de la red de acceso 3, 3' y/o del AN 11. A partir de este mensaje Responder identidad EAP, cuando es recibido por el servidor en la HPLMN, el servidor puede obtener o deducir la identidad de la red de acceso 3, 3' a través de la cual fue transmitido el mensaje, por ejemplo mediante identificadores de red contenidos en el protocolo AAA. El servidor 13 en la HPLMN 5 puede ser un servidor AAA o un HSS.
A continuación comienza el propio procedimiento de autenticación, y éste puede llevarse a cabo asimismo, por ejemplo, de acuerdo con el EAP. En el procedimiento de autenticación se envían mensajes apropiados entre el servidor 13 y el UE 1, siendo estos mensajes transmitidos sustancialmente sin cambios a través de la red de acceso 3, 3' respectiva, atravesando el AN 11 y la VPLMN 7. Por lo tanto, excepto en la realización de conversión entre el protocolo AAA y el protocolo de señalización específico de acceso, habitualmente el AN 11 solamente transmite todos estos mensajes entre el UE y el servidor.
Tal como se ve en la figura 2, estos mensajes asociados con el procedimiento de autenticación pueden incluir, secuencialmente en el tiempo, un mensaje de Solicitar EAP Desafío AKA enviado desde el servidor, un mensaje Responder EAP Desafío AKA enviado desde el UE, un mensaje Solicitar EAP Notificación AKA enviado desde elservidor, un mensaje Solicitar EAP Notificación AKA enviado desde el UE y un mensaje Éxito EAP enviado desde el servidor, asumiendo que la autenticación es satisfactoria.
En este punto, puede asignarse al UE en una dirección IP local mediante la red de acceso. Sin embargo, el UE puede seguir siendo inaccesible y puede tener que adoptar etapas adicionales para establecer conectividad con otras partes. Específicamente, el UE puede tener que establecer conectividad con un nodo pasarela, por ejemplo la mencionada ePDG 9 utilizada en los accesos no fiables. El nodo en cuestión podría ser adicional/alternativamente
un nodo que proporcione soporte de movilidad, por ejemplo un agente local (HA, Home Agent) MIP. Esto proporciona la seguridad y/o la accesibilidad "global" necesarias para el UE.
Por lo tanto, después de que se ha completado satisfactoriamente un procedimiento de autenticación puede llevarse a cabo un cuarto procedimiento, que incluye etapas específicas para la red de acceso y el establecimiento de una conexión IP general para el UE 1. Esto completa el establecimiento de la conectividad. En adelante, el UE estará capacitado para recibir/enviar datos, por ejemplo iniciar sesiones de comunicación con otras partes. La comunicación de datos entre el UE y alguna otra parte puede tener lugar por lo tanto en un quinto procedimiento que está fuera del procedimiento que se describe en la presente memoria.
Uno de los mensajes enviados desde el servidor 13 en el procedimiento de autenticación puede modificarse para contener información especial o para indicar una condición especial. La información especial o la condición especial pueden referirse a una propiedad o a características de la red de acceso 3, 3' utilizada. En particular, puede indicar si la red de acceso es de confianza o no de confianza, considerada desde la HPLMN 5.
El UE 1 está adaptado para recuperar la información especial desde, o interpretar la condición especial indicada en el mensaje, y utilizarla, o su interpretación, respectivamente, en el establecimiento de una conexión a través de la red de acceso 3, 3' respectiva.
Para llevar a cabo el procedimiento descrito anteriormente, el servidor 13 se modifica de manera que pueda reunir e introducir la información especial en un mensaje escogido o modificar el mensaje escogido haciendo que indique la condición especial, recuperando información pertinente, por ejemplo a partir de una lista o una base de datos en el servidor o conectada al mismo. La lista o base de datos puede incluir, por ejemplo, por lo menos todas las redes de acceso de confianza. Por supuesto, si es necesario a lista o base de datos puede incluir asimismo redes no de confianza. La búsqueda en esta lista o base de datos puede basarse en el identificador de red de acceso recibido como parte del procedimiento realizado de acuerdo con el protocolo AAA que se ha descrito anteriormente. La lista o base de datos puede ser actualizada continuamente. Debido, por ejemplo, a un nuevo acuerdo comercial, una red anteriormente no de confianza puede "actualizarse" para pasar a ser de confianza y viceversa.
Por lo tanto, en general, siempre que se utilice el EAP (AKA) en el procedimiento de acceso, puede incluirse en la señalización EAP una indicación procedente, por ejemplo del servidor 13 en la forma de un servidor AAA en la red local 5, al UE 1 sobre las "propiedades" de la red de acceso 3, 3' respectiva. Una característica útil del EAP (AKA) es que puede ser segura extremo a extremo (e2e) entre el servidor y el UE, protegiendo de este modo la propiedad/propiedades de red incluidas, por ejemplo frente a un fraude de terceras partes. Sin embargo, la indicación podría incluirse asimismo en la señalización de otros protocolos de autenticación cuando no se utiliza el EAP (AKA).
Para poder llevar a cabo estas tareas, es necesario modificar el UE 1 para incluir funciones realizadas por unidades
o módulos, tal como se muestra en la figura 4a. Por lo tanto, es necesario disponer de una unidad o módulo 15 para recuperar información especial a partir de uno o varios mensajes o para interpretar una condición especial indicada en uno o varios mensajes. Podría existir una unidad o módulo 16 para almacenar la información especial o información acerca de la condición especial, respectivamente, en una celda de memoria 17 en el UE 1. Finalmente, el UE puede incluir una unidad o módulo 19 para utilizar la información especial recibida y/o almacenada o la información acerca de la condición especial, respectivamente, tal como para seleccionar un modo apropiado o adecuado de establecer una conexión a través de una red de acceso. Tal como es usual, puede considerarse que cada una de estas unidades o módulos comprende un procesador y uno o varios segmentos correspondientes de código del programa.
En general, el UE 1 puede tener una estructura sustancialmente convencional e incluir componentes internos organizados, por ejemplo, tal como se muestra esquemáticamente en el diagrama de bloques de la figura 4b. Puede incluir por lo tanto un procesador 21, una memoria 23, circuitos de comunicación radioeléctrica 25, circuitos 27 para controlar la pantalla, no mostrada, circuitos 29 para teclado, no mostrado, circuitos de salida de audio 31 y circuitos de entrada de audio 32. La memoria 23 puede ser una memoria electrónica tal como una memoria flash, una EEPROM (memoria de sólo lectura programable borrable eléctricamente), un disco duro o una ROM (memoria de solo lectura) y puede comprender una o varias unidades físicas independientes. El procesador controla el funcionamiento del UE 1 mediante la ejecución de código de programa almacenado en la parte de memoria del programa 33 de la memoria. El procesador 21 puede utilizar datos almacenados, por ejemplo, en la parte de memoria de datos 35 de la memoria 23.
En la memoria de programa 33 está almacenado el código de programa que tiene diferentes rutinas o partes para los diversos procedimientos ejecutados por el procesador 21. Por lo tanto, la parte del código de programa para los servicios de telefonía básica está almacenada en un segmento de memoria 37, incluyendo dichos servicios el establecimiento y la utilización de conexiones de audio con otros UE. Existe asimismo código de programa almacenado en un segmento de memoria 39 para procedimientos que involucran el intercambio de datos, tal como para el establecimiento de una conexión IP. Este segmento de memoria de programa puede incluir por lo tanto partes de memoria en las que están almacenadas partes de código de programa para los procedimientos mostrados en las figuras 2 y 3. Estas partes de memoria comprenden por lo tanto código de programa que puede ser leído por
el procesador 21 y que, cuando es leído por el procesador, hace que el UE lleve a cabo los procedimientos correspondientes. Puede existir una parte de memoria 41 para almacenar código de programa para una conexión básica establecida, una parte de memoria 43 para almacenar código de programa para intercambio de identidad del UE, una parte de memoria 45 para almacenar código de programa para un procedimiento de autenticación, y una parte de memoria 47 para almacenar código de programa para establecimiento de conexión IP y específica de acceso. En la memoria de programa 33 puede existir además un segmento de memoria 49 para almacenar código de programa para conectividad IP/servicio, por ejemplo partes de código de programa para manejar movilidad IP (MIP), multiproveedor ("multihoming"), seguridad IP (IKE/IPsec), etc.
En la parte de memoria 45 para almacenar el código de programa para un procedimiento de autenticación puede estar dispuesto espacio de memoria 51 para almacenar código de programa para recuperar información especial a partir de, o interpretando una condición especial indicada en un mensaje recibido en el procedimiento de autenticación. Dicha condición o información especial puede estar relacionada, tal como se ha mencionado anteriormente, por ejemplo, por lo menos con una propiedad de la red asociada con el establecimiento de conectividad para una conexión para intercambio de datos, tal como una propiedad de una red de acceso 3, 3' utilizada. La información especial o información acerca de la condición especial puede estar almacenada en una celda de memoria 53 en la memoria 23 y puede utilizarse, por ejemplo, en el establecimiento de conexión IP y específica de acceso, para el que el código de programa está almacenado en la parte de memoria de programa 49. La parte de código de programa para esta utilización puede estar almacenada en un espacio de memoria 55 en el interior de dicha parte de memoria.
Las partes de código de programa pueden haber sido escritas y pueden ser o haber sido leídas desde uno o varios productos de programa informático, es decir soportes de código de programa, tales como un disco duro, un disco compacto (CD), una tarjeta de memoria o un disco flexible. Dicho producto de programa informático es, en general, una unidad de memoria 33' que puede ser portátil o estacionaria y se muestra en el esquema de la figura 4c. Puede tener segmentos de memoria, celdas de memoria y espacios de memoria dispuestos sustancialmente tal como en la memoria de programa 33 del UE 1, o el código de programa puede estar, por ejemplo, comprimido de cualquier modo adecuado. En general, la unidad de memoria 33' comprende por lo tanto código legible por ordenador, es decir código que puede ser leído por un procesador electrónico, el cual cuando es ejecutado por un UE 1 hace que el UE lleve a cabo etapas para ejecutar uno o varios de los procedimientos que realiza el UE de acuerdo con la descripción anterior. El código de programa contenido en la unidad de memoria 33' puede ser introducido en la memoria 23 del UE mediante cualquier método adecuado, tal como por descarga desde un servidor, no mostrado, que contiene la unidad de memoria o está conectado a la misma. En otra realización, la unidad de memoria 33' puede utilizarse directamente como parte de la memoria 33 del UE 1.
Del mismo modo que para el UE 1, para poder llevar a cabo el procedimiento descrito anteriormente, el servidor 13 debe ser modificado para incluir, tal como se muestra en la figura 5a, una unidad o módulo 61 para reunir o encontrar información especial o información relativa a una condición especial. Esta unidad o módulo pueden extraer, por ejemplo, dicha información desde una celda de memoria 63 en el servidor o conectada con el servidor
13. Otra unidad o módulo 65 puede introducir la información especial en uno o varios mensajes escogidos, o modificar uno o varios mensajes para indicar la condición especial. Tal como se ve en la figura 5b, el servidor 13 puede, por el ejemplo descrito anteriormente, ser modificado para incluir una unidad o un módulo 67 para obtener o deducir qué red de acceso se utiliza por un abonado para el que existe alguna comunicación en curso entre el UE 1 de abonado y el servidor. Entonces, el servidor puede incluir asimismo una unidad o módulo 69 para reunir o encontrar información relativa a una propiedad o características de la red de acceso utilizada. Esta unidad o módulo puede recuperar dicha información de una base de datos o listas de redes, incluyendo la base de datos o lista, por ejemplo, información especial para una serie de redes, y estando almacenada en una posición de memoria 71. Otra unidad o módulo 73 puede introducir información relativa a una propiedad o característica en un mensaje enviado a un abonado durante un procedimiento de autenticación.
El servidor 13 puede implementarse como un ordenador, un grupo de ordenadores o una parte de un ordenador adecuada para conexión a una red. De este modo, tal como se ve en la figura 5c, éste puede comprender tal como es habitual un procesador 77, una memoria 79 y un puerto de red 81. La memoria 79 puede ser una memoria electrónica tal como una memoria flash, una memoria EEPROM, una EPROM (memoria de sólo lectura programable borrable), un disco duro o una ROM. La memoria puede tener espacios 83, 85 para código de programa y datos, respectivamente. En la memoria de programa está almacenado una parte de código de programa en un segmento de memoria 87 para llevar a cabo un procedimiento de autenticación, por ejemplo de acuerdo con el EAP que se ha descrito anteriormente. En el espacio de memoria de datos 85 están almacenados datos de abonado desde una posición de memoria 89 y están almacenados datos sobre redes de acceso en una posición de memoria 91. Los datos sobre redes de acceso pueden comprender un registro para cada red de acceso y en cada registro puede haber, en particular, un campo en el que hay almacenada información que indica si el acceso es de confianza o no de confianza. En el segmento de memoria 87 en el que está almacenada la parte del código de programa para el procedimiento de autenticación, existen partes de memoria 93, 95, 97 en las que están almacenadas partes de código de programa para obtener o deducir la identidad de la red de acceso utilizada, para reunir o encontrar información relativa a una característica o propiedad especial de la red de acceso y para introducir la información reunida o encontrada en un mensaje de autenticación, es decir en uno de los mensajes enviados al UE de abonado durante el procedimiento de autenticación, respectivamente.
Las partes del código de programa pueden haber sido escritas en, y pueden leerse o haber sido leídas desde uno o varios productos de programa informático, es decir soportes de código de programa, tales como un disco duro, un disco compacto (CD), una tarjeta de memoria o un disco flexible. Dicho producto de programa informático es generalmente una unidad de memoria 83' que puede ser portátil o estacionaria, tal como se muestra en el esquema de la figura 5d. Puede tener segmentos de memoria, celdas de memoria y espacios de memoria dispuestos sustancialmente tal como la memoria de programa 83 del servidor 13. El código de programa, por ejemplo, puede ser comprimido de manera adecuada. En general, la unidad de memoria 83' comprende de este modo código legible por ordenador, es decir código que puede ser leído por un procesador electrónico tal como 77, que cuando es ejecutado por un servidor 13 hace que el servidor lleve a cabo etapas para ejecutar uno o varios procedimientos o etapas procedimentales que lleva a cabo el servidor de acuerdo con la descripción anterior. El código de programa contenido en la unidad de memoria 83' puede ser introducido en la memoria 23 del UE mediante cualquier método adecuado, tal como por descarga desde un servidor, no mostrado, que comprende la unidad de memoria o está conectado a la misma. Si es adecuado, la unidad de memoria 83' puede utilizarse directamente como parte de la memoria 83 de servidor 13.
Se ha mencionado anteriormente que, por ejemplo, se utiliza el EAP en el establecimiento de la conexión. Tal como se ha mencionado, en el caso de un acceso no de confianza, esto no puede darse por hecho y por lo tanto es necesario tratar un caso general. El siguiente procedimiento más general puede utilizarse para un acceso en un sistema que incluye una red local 3GPP 5 y una red acceso no-3GPP 3, 3' y en el que el EAP puede o no ser utilizado:
1.
El UE 1 solicita acceso.
2.
Tiene lugar un intercambio de identidad básica.
3.
Si la red de acceso 3, 3' respectiva no inicia la autenticación de acceso de acuerdo con el EAP, en la mayor parte de los casos el UE 1 puede asumir que la red de acceso no es de confianza. Será necesario un túnel a una ePDG 9, por ejemplo creado utilizando un procedimiento llevado a cabo de acuerdo con el IPsec. Si se desea, puede disponerse un temporizador para comprobar si el procedimiento de autenticación de acceso EAP ha sido iniciado dentro de un tiempo predeterminado. En otra alternativa, se determina mediante el UE vez que no habrá iniciación de comunicación EAP si se proporciona una dirección IP para conexión al UE 1 desde la respectiva red de acceso 3, 3', tal como, por ejemplo, mediante un DHCP (Dynamic Host Configuration Protocol, protocolo de configuración dinámica de anfitrión), no mostrado. Específicamente, si se utilizara autenticación EAP, ésta habría tenido lugar antes de la asignación de dirección IP.
4.
De lo contrario, si la red de acceso 3, 3' respectiva no inicia la autenticación de acceso EAP, la red de acceso podría ser de confianza o no de confianza.
5.
Para el caso de la etapa 2, el servidor AAA local 13, que sabe si el acceso es o no de confianza, incluye un parámetro en un mensaje EAP que informa de esto al UE 1. Tal como se ha mencionado anteriormente, este parámetro puede ser seguro e2e, es decir cifrado y/o de integridad protegida, entre el servidor AAA local y el UE.
6.
El UE 1 verifica la autenticidad de la indicación y actúa en consecuencia, por ejemplo intenta o no establecer un túnel IPsec con una ePDG 9, etc. En caso de que no intente establecer un túnel IPsec, en su lugar intentará, por ejemplo, establecer un canal de comunicación IP normal no protegido.
7.
Se llevan a cabo otros procedimientos que forman parte del establecimiento de conectividad, por ejemplo configuración de movilidad IP, etc., que pueden depender asimismo de la indicación anterior.
8.
A continuación, el UE puede comunicar y/o utilizar otros servicios.
Los mensajes número 1, 2 y 3, cuyos títulos están escritos en cursiva en la figura 2 pueden utilizarse, tal como se ha mencionado anteriormente, para la indicación de información especial, por ejemplo conteniendo un "atributo de propiedad de acceso" o "atributos de propiedad de acceso". Por ejemplo, el mensaje de Desafío AKA puede contener seudónimos EAP (protegidos), y podría extenderse para incluir otros atributos, en este caso relativos a propiedades de la red de acceso. Debe observarse que los mensajes número 1 y número 2 son mensajes específicos de método AKA, mientras que el mensaje del Éxito AKA número 3 no es un mensaje específico de método AKA. Actualmente, está siendo definida una versión de EAP AKA, indicada EAP AKA', en el IETF a (Internet Engineering Task Force, grupo de trabajo de ingeniería de internet). Los mensajes específicos descritos anteriormente que son adecuados para transportar la propiedad existen asimismo en EAP AKA' y, por lo tanto, pueden utilizarse de manera similar.
De este modo, el "algoritmo" ejecutado en el UE 1 para determinar la confianza (u otras propiedades) de la red de acceso se realizaría de acuerdo con el siguiente código lógico general:
Si la red de acceso no utiliza EAP entonces
"acceso no de confianza" /*por ejemplo, se requiere establecer túnel IPsec*/
si no
ejecutar EAP (tal como se ha descrito anteriormente)
obtener valor de confianza y posiblemente otras propiedades de red a partir de la señalización EAP
ejecutar uno o varios procedimientos (seguridad/mobilidad/…) de acuerdo con el valor de confianza extraído y posiblemente propiedades de red/otras
fin si
Sin embargo, existe un problema asociado con este algoritmo. Antes de cualquier posible ejecución del EAP, el UE 1 realizará algún "contacto con la red" básico, es decir realizará alguna primera operación señalizando que desea conectar a la red de acceso respectiva. ¿Cuánto debería "esperar" después este contacto el UE para el EAP? Por ejemplo, el UE 1 podría asumir que después de esperar 2 segundos no se realizará un procedimiento de autenticación de acuerdo con el EAP, pero quizás se habría realizado si el UE hubiera esperado un segundo más.
Sin embargo, dado que en este caso el objetivo es proporcionar acceso IP para el UE 1, y puesto que el UE tiene que haber sido asignado a una dirección IP para poder establecer el IPsec, esto implica que una vez que el UE ha sido asignado a la dirección IP, el UE puede asumir que si no se ha ejecutado un procedimiento de acuerdo con el EAP antes de la asignación de dirección IP, por ejemplo mediante el DHCP, no se ejecutará ningún procedimiento en absoluto de acuerdo con el EAP para conseguir autenticación de acceso, compárese con la etapa 1 anterior.
En el caso especial de utilización de un procedimiento acorde con el AKA (EAP), la señalización podría realizarse en el campo "AMF" (Authentication Management Field, campo de gestión de autenticación), no mostrado. Este campo es una parte nativa del AKA y es transportado en el mensaje de Solicitud EAP/Desafío AKA, véase la figura 2, mensaje número 1, totalmente transparente para la capa EAP.
Si la propiedad de "confianza" tiene que ser decidida conjuntamente por la red local, es decir la red local (por ejemplo servidor AAA) y la red de acceso 3, 3' utilizada, el método y sistema descritos en la presente memoria podrían utilizarse junto con el proceso dado a conocer en la solicitud de patente internacional PCT/SE2008/050063. En dicha solicitud de patente internacional se da a conocer cómo cada una de la red local y la red de acceso comunican una "política de seguridad" dentro de la señalización de autenticación al UE. El UE 1 puede combinar las dos políticas en una "política de mínimo denominador común". En este caso, la diferencia es que en la citada solicitud de patente internacional se asume que ya se conoce qué protocolos utilizar, pero no qué políticas aplican a los mismos.
Deberá entenderse que aunque la realización descrita anteriormente comprende, por ejemplo, un servidor AAA 13 en la red local en forma de una red central conectada "detrás" de una red de acceso 3, 3', tal como se ve desde el UE 1, cualquier nodo adaptado en consecuencia para enviar Solicitudes EAP de manera similar a las realizaciones descritas anteriormente podría sin embargo conectarse en la red de acceso, por ejemplo un servidor de autenticación 14 conectado en la VPLMN 7 de la figura 1b.
Además, o en lugar de cualesquiera propiedades que indican si una red de acceso 3, 3' es o no de confianza, podrían señalizarse otras propiedades desde un servidor tal como 13, 14 al terminal o al UE 1, por ejemplo qué protocolos utilizar, ancho de banda, coste y servicios, para decidir qué acceso/modo de comunicaciones/señalización deberá ser seleccionado por el terminal.
Como alternativa a los elementos de información adicionales en una solicitud EAP, la señalización podría realizarse "incorporada" en elementos de información EAP AKA existentes. Por ejemplo, el servidor AAA local 13 podría enviar al UE EAP seudónimos que tienen su bit más significativo configurado a "1" para acceso de confianza y a "0" para acceso no de confianza, etc.
Aunque las realizaciones descritas anteriormente utilizan el EAP, otras realizaciones del método y sistema descritos en la presente memoria pueden utilizar algún protocolo no EAP en un procedimiento para establecer una conexión, en particular en una primera etapa o etapa inicial de dicho procedimiento, tal como en un procedimiento de autenticación, por ejemplo el PPP (Point-to-Point Protocol, protocolo punto a punto), el PAP (Password Authentication Protocol, protocolo de autenticación de contraseña), el CHAP (Challenge Handshake Authentication Protocol, protocolo de autenticación por desafío mutuo) y el SPAP (Shiva Password Authentication Protocol, protocolo de autenticación de contraseña de Shiva).

Claims (15)

  1. REIVINDICACIONES
    1. Un método llevado a cabo por un equipo de usuario (1) para una comunicación a través una red de acceso (3, 3'), que comprende:
    -
    recuperar información a partir de, o para interpretar una condición especial indicada en un mensaje enviado al equipo de usuario (1) desde un servidor AAA en una red local de equipo de usuario (1), en un procedimiento de autenticación que forma parte del establecimiento de una conexión desde el equipo de usuario (1) a través de la red de acceso (3, 3'), haciendo referencia la condición especial a si la red de acceso (3, 3') es o no de confianza, y
    -
    utilizar, en una etapa siguiente del procedimiento de establecimiento de la conexión, la información recuperada o el resultado de la interpretación de la condición especial, para seleccionar un modo apropiado de establecer la conectividad a través de la red de acceso (3, 3').
  2. 2.
    Un método según la reivindicación 1, caracterizado por que el procedimiento de autenticación está basado en el EAP y por que dicho mensaje es un mensaje EAP enviado desde el servidor AAA.
  3. 3.
    Un método según la reivindicación 1, caracterizado por que el procedimiento de autenticación está basado en el EAP.
  4. 4.
    Un método según la reivindicación 3, caracterizado por que el procedimiento de autenticación está basado en el EAP AKA.
  5. 5.
    Un método según la reivindicación 4, caracterizado por que el mensaje es una señal de Solicitud EAP/Desafío AKA, una señal de Solicitud EAP/Notificación AKA o una señal de Éxito EAP.
  6. 6.
    Un método según la reivindicación 1, en el que la conectividad a establecer es una conexión IP, que incluye la etapa adicional de:
    -
    asignar una dirección IP al equipo de usuario (1),
    caracterizado por que en un procedimiento de establecimiento, si el equipo de usuario (1) ha sido asignado a una dirección IP antes de un posible inicio de un procedimiento de autenticación llevado a cabo de acuerdo con el EAP, se establece un túnel IPsec a una pasarela en la red local o una red relacionada con la misma, y si un comienzo de un procedimiento de autenticación llevado a cabo de acuerdo con el procedimiento EAP se produce antes de que el equipo de usuario (1) haya sido asignado a una dirección IP, se establece entonces un túnel IPsec si la red de acceso (3, 3') se señaliza como no de confianza o no se establece un túnel IPsec y se establece un canal normal de comunicación si la red de acceso (3, 3') se señaliza como de confianza.
  7. 7. Un equipo de usuario (1) para una comunicación a través de una red de acceso (3, 3'), que comprende:
    -
    una unidad para recuperar (15) información especial desde, o para interpretar una condición especial indicada en un mensaje enviado al equipo de usuario (1) desde un servidor AAA en una red local al equipo de usuario, en un procedimiento de autenticación que forma parte del establecimiento de una conexión desde el equipo de usuario a través de la red de acceso (3, 3'), haciendo referencia la condición especial a si la red de acceso (3, 3') es o no de confianza, y
    -
    una unidad para utilizar (19), en una etapa siguiente del procedimiento de establecimiento de la conexión, la información recuperada o el resultado de la interpretación de la condición especial para seleccionar un modo apropiado de establecer la conectividad a través de la red de acceso (3, 3').
  8. 8. Un equipo de usuario (1) según la reivindicación 7, caracterizado por que
    -
    la unidad para utilizar (19) está dispuesta para establecer un túnel de seguridad para comunicación si la información recuperada indica que la red de acceso (3, 3') no es de confianza y para establecer un canal normal de comunicación si la información recuperada indica que la red de acceso (3, 3') es de confianza.
  9. 9.
    Un equipo de usuario (1) según la reivindicación 7 ú 8, caracterizado por que el procedimiento de autenticación está basado en EAP.
  10. 10.
    Un equipo de usuario (1) según la reivindicación 9, caracterizado por que el procedimiento de autenticación está basado en EAP AKA.
  11. 11.
    Un equipo de usuario (1) según la reivindicación 10, caracterizado por que dicho mensaje es una señal deSolicitud EAP/Desafío AKA, una señal de Solicitud EAP/Notificación AKA o una señal de Éxito EAP.
  12. 12.
    Un servidor AAA en una red local de un equipo de usuario (1), estando dispuesto el servidor AAA para enviar información al equipo de usuario (1) en un procedimiento de autenticación que forma parte del establecimiento de conectividad desde el equipo de usuario a través de una red de acceso (3, 3'), en el que el servidor AAA está
    dispuesto para introducir, en un mensaje incluido en dicha información enviada al equipo de usuario (1), información especial que indica una condición especial que hace referencia a si la red de acceso (3, 3') es o no de confianza, o modificar dicho mensaje a efectos de indicar la condición especial.
  13. 13. Un servidor AAA según la reivindicación 12, caracterizado por que el servidor AAA está dispuesto para 5 introducir la información especial en el mensaje EAP.
  14. 14.
    Un servidor AAA según la reivindicación 13, caracterizado por que el mensaje EAP es una señal de Solicitud EAP/Desafío AKA, una señal de Solicitud EAP/Notificación AKA o una señal de Éxito EAP.
  15. 15.
    Un producto de programa informático comprendido en, o para su utilización por un equipo de usuario (1) relacionado con un servidor AAA en una red local del equipo de usuario, estando el producto de programa
    10 informático en una memoria y comprendiendo medios de código legible por ordenador que cuando son ejecutados por el equipo de usuario (1) hacen que el equipo de usuario (1)
    – recupere información especial desde, o para interpretar una condición especial indicada en un mensaje enviado al equipo de usuario (1) desde el servidor AAA con el que está relacionado el equipo de usuario (1), en un procedimiento de autenticación que forma parte del establecimiento de una conexión desde el equipo de usuario (1)
    15 a través de una red de acceso (3, 3'), haciendo referencia la condición especial a si la red de acceso (3, 3') es o no de confianza, y
    -
    utilice, en una etapa siguiente del procedimiento de establecimiento de la conexión, la información recuperada o el resultado de la interpretación de la condición especial, para seleccionar un modo apropiado de establecer la conectividad a través de la red de acceso (3, 3').
    20 16. Un producto de programa informático, comprendido en, o para utilizar por un servidor AAA relacionado con equipos de usuario, siendo el producto de programa informático una memoria y comprendiendo medios de código legible por ordenador que, cuando son ejecutados por el servidor AAA hacen que el servidor AAA introduzca, en un mensaje incluido en información enviada a uno de los equipos de usuario relacionados con el servidor AAA, información especial que indica una condición especial relativa a si es o no de confianza la red de acceso (3, 3'), a
    25 través de la cual debe de establecerse una conexión de dicho equipo de usuario (1), o modifique dicho mensaje para indicar la condición especial.
ES08873855.4T 2008-04-11 2008-11-05 Acceso a través de redes de acceso no-3GPP Active ES2447546T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US4424208P 2008-04-11 2008-04-11
US44242P 2008-04-11
PCT/SE2008/051261 WO2009126083A1 (en) 2008-04-11 2008-11-05 Access through non-3gpp access networks

Publications (1)

Publication Number Publication Date
ES2447546T3 true ES2447546T3 (es) 2014-03-12

Family

ID=41162085

Family Applications (1)

Application Number Title Priority Date Filing Date
ES08873855.4T Active ES2447546T3 (es) 2008-04-11 2008-11-05 Acceso a través de redes de acceso no-3GPP

Country Status (8)

Country Link
US (4) US8621570B2 (es)
EP (1) EP2263396B1 (es)
JP (2) JP4966432B2 (es)
CN (2) CN102448064B (es)
ES (1) ES2447546T3 (es)
IL (1) IL206431A (es)
PT (1) PT2263396E (es)
WO (1) WO2009126083A1 (es)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2447546T3 (es) 2008-04-11 2014-03-12 Telefonaktiebolaget L M Ericsson (Publ) Acceso a través de redes de acceso no-3GPP
KR101358838B1 (ko) * 2008-11-17 2014-02-10 퀄컴 인코포레이티드 로컬 네트워크에 대한 원격 액세스
US8886672B2 (en) * 2009-03-12 2014-11-11 International Business Machines Corporation Providing access in a distributed filesystem
EP2362688B1 (en) * 2010-02-23 2016-05-25 Alcatel Lucent Transport of multihoming service related information between user equipment and 3GPP evolved packet core
CN102316602B (zh) * 2010-07-09 2016-04-13 中兴通讯股份有限公司 一种用户设备接入移动网络的系统、设备及方法
CN101902507B (zh) * 2010-08-02 2013-01-23 华为技术有限公司 一种地址分配方法、装置和系统
US8924715B2 (en) 2010-10-28 2014-12-30 Stephan V. Schell Methods and apparatus for storage and execution of access control clients
CN103493392B (zh) * 2011-04-29 2016-08-17 英特尔公司 Mimo通信系统中的秩自适应的系统和方法
US9526119B2 (en) 2011-06-29 2016-12-20 Telefonaktiebolaget Lm Ericsson (Publ) Methods and apparatus for multiple data packet connections
CN103024865B (zh) * 2011-09-23 2018-04-13 中兴通讯股份有限公司 一种接入核心网以及网络侧发起去附着的方法和系统
CN103067342B (zh) 2011-10-20 2018-01-19 中兴通讯股份有限公司 一种使用eap进行外部认证的设备、系统及方法
US8885626B2 (en) * 2012-04-06 2014-11-11 Chris Gu Mobile access controller for fixed mobile convergence of data service over an enterprise WLAN
US8879530B2 (en) * 2012-04-06 2014-11-04 Chris Yonghai Gu Mobile gateway for fixed mobile convergence of data service over an enterprise WLAN
US20140093071A1 (en) * 2012-10-02 2014-04-03 Telefonaktiebolaget L M Ericsson (Publ) Support of multiple pdn connections over a trusted wlan access
WO2014126518A1 (en) * 2013-02-13 2014-08-21 Telefonaktiebolaget L M Ericsson (Publ) Method and network node for obtaining a permanent identity of an authenticating wireless device
JP5986546B2 (ja) 2013-08-29 2016-09-06 ヤフー株式会社 情報処理装置、および情報処理方法
US9705870B2 (en) 2014-01-10 2017-07-11 Verato, Inc. System and methods for exchanging identity information among independent enterprises
US9699160B2 (en) 2014-01-10 2017-07-04 Verato, Inc. System and methods for exchanging identity information among independent enterprises which may include person enabled correlation
US9332015B1 (en) 2014-10-30 2016-05-03 Cisco Technology, Inc. System and method for providing error handling in an untrusted network environment
WO2016155012A1 (zh) * 2015-04-03 2016-10-06 华为技术有限公司 一种无线通信网络中的接入方法、相关装置及系统
EP3082319B1 (en) * 2015-04-16 2018-09-26 Alcatel Lucent Personalized access to storage device through a network
WO2016169003A1 (zh) * 2015-04-22 2016-10-27 华为技术有限公司 接入点名称授权的方法、装置及系统
CN106921967A (zh) * 2015-12-25 2017-07-04 中兴通讯股份有限公司 数据业务处理方法及装置
EP3446518B1 (en) * 2016-04-19 2022-01-05 Nokia Solutions and Networks Oy Network authorization assistance
US9998970B2 (en) * 2016-04-28 2018-06-12 Samsung Electronics Co., Ltd. Fast VoWiFi handoff using IKE v2 optimization
CN109964453B (zh) * 2016-09-18 2022-07-26 上海诺基亚贝尔股份有限公司 统一安全性架构
WO2018065052A1 (en) * 2016-10-05 2018-04-12 Motorola Mobility Llc Core network attachment through standalone non-3gpp access networks
CN110268734B (zh) 2017-02-07 2023-09-15 沃洛切特解决方案有限责任公司 使用不可信网络的互通功能
EP3747165B1 (en) 2018-02-03 2022-09-14 Nokia Technologies Oy Application based routing of data packets in multi-access communication networks
JP6618642B1 (ja) * 2018-06-19 2019-12-11 三菱電機株式会社 プログラム実行支援装置、プログラム実行支援方法、およびプログラム実行支援プログラム
CN112602298B (zh) 2018-06-30 2023-06-30 诺基亚通信公司 不允许对5gcn的非3gpp接入的处理失败
US11983909B2 (en) 2019-03-14 2024-05-14 Hewlett-Packard Development Company, L.P. Responding to machine learning requests from multiple clients
WO2020185234A1 (en) * 2019-03-14 2020-09-17 Hewlett-Packard Development Company, L.P. Preprocessing sensor data for machine learning
EP4059254A4 (en) 2019-11-11 2023-11-15 Telefonaktiebolaget Lm Ericsson (Publ) Methods for trust information in communication network and related communication equipment and communication device
US11032743B1 (en) * 2019-11-30 2021-06-08 Charter Communications Operating, Llc Methods and apparatus for supporting devices of different types using a residential gateway
CN114189864B (zh) * 2022-02-16 2022-05-31 中国电子科技集团公司第三十研究所 移动通信系统非蜂窝接入装置及接入方法
CN116980897A (zh) * 2022-04-22 2023-10-31 华为技术有限公司 通信方法和装置

Family Cites Families (64)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7181766B2 (en) * 2000-04-12 2007-02-20 Corente, Inc. Methods and system for providing network services using at least one processor interfacing a base network
US6996628B2 (en) * 2000-04-12 2006-02-07 Corente, Inc. Methods and systems for managing virtual addresses for virtual networks
US7028333B2 (en) * 2000-04-12 2006-04-11 Corente, Inc. Methods and systems for partners in virtual networks
US7028334B2 (en) * 2000-04-12 2006-04-11 Corente, Inc. Methods and systems for using names in virtual networks
US7047424B2 (en) * 2000-04-12 2006-05-16 Corente, Inc. Methods and systems for hairpins in virtual networks
US7131141B1 (en) * 2001-07-27 2006-10-31 At&T Corp. Method and apparatus for securely connecting a plurality of trust-group networks, a protected resource network and an untrusted network
CN100592731C (zh) * 2001-12-07 2010-02-24 艾利森电话股份有限公司 端到端加密数据电信的合法侦听
MXPA04010624A (es) * 2002-04-26 2004-12-13 Thomson Licensing Sa Cuenta, autorizacion y autentificacion transitoria en el interfuncionamiento entre redes de acceso.
WO2003107629A2 (en) * 2002-06-01 2003-12-24 Engedi Technologies, Inc. Out-of-band remote management station
US7325140B2 (en) * 2003-06-13 2008-01-29 Engedi Technologies, Inc. Secure management access control for computers, embedded and card embodiment
US20040047308A1 (en) * 2002-08-16 2004-03-11 Alan Kavanagh Secure signature in GPRS tunnelling protocol (GTP)
US20040103311A1 (en) * 2002-11-27 2004-05-27 Melbourne Barton Secure wireless mobile communications
CN1293728C (zh) * 2003-09-30 2007-01-03 华为技术有限公司 无线局域网中用户终端选择接入移动网的快速交互方法
GB0402176D0 (en) 2004-01-31 2004-03-03 Srodzinski David N Method and apparatus for data communication within a packet based communication system
CN1951061A (zh) * 2004-05-03 2007-04-18 诺基亚公司 Ip网络委托域中的身份处理
WO2006000612A1 (en) * 2004-06-24 2006-01-05 Nokia Corporation Transfer of packet data in system comprising mobile terminal, wireless local network and mobile network
CN1310476C (zh) * 2004-07-05 2007-04-11 华为技术有限公司 无线局域网用户建立会话连接的方法
EP1921822A2 (en) * 2004-09-20 2008-05-14 Matsushita Electric Industrial Co., Ltd. Return routability optimisation
WO2006053420A1 (en) * 2004-11-02 2006-05-26 Research In Motion Limited Generic access network (gan) controller selection in plmn environment
EP1882345A1 (en) * 2005-05-16 2008-01-30 Thomson Licensing Secure handoff in a wireless local area network
US20060264217A1 (en) 2005-05-19 2006-11-23 Interdigital Technology Corporation Method and system for reporting evolved utran capabilities
WO2006135217A1 (en) * 2005-06-16 2006-12-21 Samsung Electronics Co., Ltd. System and method for otimizing tunnel authentication procedure over a 3g-wlan interworking system
WO2006137037A1 (en) * 2005-06-24 2006-12-28 Nokia Corporation Adaptive ipsec processing in mobile-enhanced virtual private networks
WO2007019583A2 (en) * 2005-08-09 2007-02-15 Sipera Systems, Inc. System and method for providing network level and nodal level vulnerability protection in voip networks
EP1929815B1 (en) * 2005-09-30 2018-05-30 Telefonaktiebolaget LM Ericsson (publ) Means and methods for improving the handover characteristics of integrated radio access networks
US7979901B2 (en) * 2005-12-30 2011-07-12 Nokia Corporation Controlling the number of internet protocol security (IPsec) security associations
US9106409B2 (en) * 2006-03-28 2015-08-11 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for handling keys used for encryption and integrity
US8346265B2 (en) * 2006-06-20 2013-01-01 Alcatel Lucent Secure communication network user mobility apparatus and methods
US8094817B2 (en) * 2006-10-18 2012-01-10 Telefonaktiebolaget Lm Ericsson (Publ) Cryptographic key management in communication networks
EP2082546B1 (en) * 2006-11-16 2015-09-23 Telefonaktiebolaget LM Ericsson (publ) Gateway selection mechanism
JP4697895B2 (ja) * 2007-03-03 2011-06-08 Kddi株式会社 Ims/mmdネットワークへの代理接続方法、アダプタ及びプログラム
EP2007097A1 (en) 2007-06-19 2008-12-24 Panasonic Corporation Method, apparatuses and computer readable media for detecting whether user equipment resides in a trusted or a non-trusted access network
EP2037652A3 (en) * 2007-06-19 2009-05-27 Panasonic Corporation Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network
US8503427B2 (en) * 2007-07-04 2013-08-06 Telefonaktiebolaget Lm Ericsson (Publ) Location functionality in an interworking WLAN system
US8934419B2 (en) * 2007-07-13 2015-01-13 Telefonaktiebolaget L M Ericsson (Publ) System and method of providing denial of service protection in a telecommunication system
EP2210387B1 (en) * 2007-10-09 2015-07-29 Telefonaktiebolaget LM Ericsson (publ) Technique for providing support for a plurality of mobility management protocols
EP2048910A1 (en) 2007-10-10 2009-04-15 France Telecom Radio access technology selection in telecommunications system
JP5178843B2 (ja) * 2007-12-20 2013-04-10 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 継続した認証方法の選定
ATE525885T1 (de) * 2007-12-27 2011-10-15 Ericsson Telefon Ab L M Konnektivität mehrerer pdn (paketdatennetzwerke) mit einem apn (zugangspunktnamen)
CN101227391B (zh) * 2008-01-09 2012-01-11 中兴通讯股份有限公司 非漫游场景下策略和计费规则功能实体的选择方法
US20090199290A1 (en) * 2008-02-01 2009-08-06 Secure Computing Corporation Virtual private network system and method
US9467431B2 (en) * 2008-02-15 2016-10-11 Telefonaktiebolaget Lm Ericsson (Publ) Application specific master key selection in evolved networks
US20090210712A1 (en) * 2008-02-19 2009-08-20 Nicolas Fort Method for server-side detection of man-in-the-middle attacks
EP2250761B1 (en) * 2008-02-26 2013-01-23 Telefonaktiebolaget L M Ericsson (PUBL) Method and apparatus for reliable broadcast/multicast service
US10015158B2 (en) * 2008-02-29 2018-07-03 Blackberry Limited Methods and apparatus for use in enabling a mobile communication device with a digital certificate
WO2009118056A1 (en) * 2008-03-27 2009-10-01 Telefonaktiebolaget L M Ericsson (Publ) Systems and methods of reducing signaling in a network having a database server
ES2393577T3 (es) * 2008-04-02 2012-12-26 Nokia Siemens Networks Oy Seguridad para un acceso no 3GPP a un sistema de paquetes evolucionado
ES2447546T3 (es) * 2008-04-11 2014-03-12 Telefonaktiebolaget L M Ericsson (Publ) Acceso a través de redes de acceso no-3GPP
EP2166724A1 (en) * 2008-09-23 2010-03-24 Panasonic Corporation Optimization of handovers to untrusted non-3GPP networks
US20100075692A1 (en) * 2008-09-25 2010-03-25 Peter Busschbach Dynamic quality of service control to facilitate femto base station communications
WO2010043254A1 (en) * 2008-10-15 2010-04-22 Telefonaktiebolaget Lm Ericsson (Publ) Secure access in a communication network
US20100150006A1 (en) * 2008-12-17 2010-06-17 Telefonaktiebolaget L M Ericsson (Publ) Detection of particular traffic in communication networks
US8607309B2 (en) * 2009-01-05 2013-12-10 Nokia Siemens Networks Oy Trustworthiness decision making for access authentication
US8270978B1 (en) * 2009-01-06 2012-09-18 Marvell International Ltd. Method and apparatus for performing a handover between a non-3GPP access and a 3GPP access using Gn/Gp SGSNs
CN102273263A (zh) * 2009-01-06 2011-12-07 夏普株式会社 移动通信系统、QoS控制站和移动台
PT2412188E (pt) * 2009-03-23 2014-10-16 Ericsson Telefon Ab L M Método e aparelho para ligação diferida de troços
US8331384B2 (en) * 2009-05-12 2012-12-11 Cisco Technology, Inc. System and method for femto coverage in a wireless network
CN101931946B (zh) * 2009-06-23 2015-05-20 中兴通讯股份有限公司 演进的分组系统中的终端的多接入方法及系统
JP4802263B2 (ja) * 2009-07-17 2011-10-26 株式会社日立製作所 暗号化通信システム及びゲートウェイ装置
EP2317822A1 (en) * 2009-10-29 2011-05-04 Panasonic Corporation Enhancement of the attachement procedure for re-attaching a UE to a 3GPP access network
WO2011128183A2 (en) * 2010-04-13 2011-10-20 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for interworking with single sign-on authentication architecture
US20140093071A1 (en) * 2012-10-02 2014-04-03 Telefonaktiebolaget L M Ericsson (Publ) Support of multiple pdn connections over a trusted wlan access
US10057929B2 (en) * 2015-08-18 2018-08-21 Samsung Electronics Co., Ltd. Enhanced hotspot 2.0 management object for trusted non-3GPP access discovery
US10419994B2 (en) * 2016-04-08 2019-09-17 Electronics And Telecommunications Research Institute Non-access stratum based access method and terminal supporting the same

Also Published As

Publication number Publication date
CN102017677B (zh) 2014-12-10
IL206431A (en) 2014-07-31
CN102448064B (zh) 2015-09-16
US20110035787A1 (en) 2011-02-10
EP2263396B1 (en) 2014-01-15
US20180206118A1 (en) 2018-07-19
JP2012147478A (ja) 2012-08-02
CN102017677A (zh) 2011-04-13
US9137231B2 (en) 2015-09-15
US9949118B2 (en) 2018-04-17
CN102448064A (zh) 2012-05-09
PT2263396E (pt) 2014-04-17
US20140096193A1 (en) 2014-04-03
US10356619B2 (en) 2019-07-16
EP2263396A4 (en) 2012-09-19
JP4966432B2 (ja) 2012-07-04
WO2009126083A1 (en) 2009-10-15
JP2011521510A (ja) 2011-07-21
US8621570B2 (en) 2013-12-31
JP5431517B2 (ja) 2014-03-05
US20150341788A1 (en) 2015-11-26
IL206431A0 (en) 2010-12-30
EP2263396A1 (en) 2010-12-22

Similar Documents

Publication Publication Date Title
ES2447546T3 (es) Acceso a través de redes de acceso no-3GPP
US9042308B2 (en) System and method for connecting a wireless terminal to a network via a gateway
CN101606372B (zh) 支持无uicc呼叫
CN103201986B (zh) 一种数据安全通道的处理方法及设备
ES2749643T3 (es) Método y aparato para establecer y utilizar conexiones PDN, y programa y medio de almacenamiento correspondientes
CN111869182B (zh) 对设备进行认证的方法、通信系统、通信设备
US20050195780A1 (en) IP mobility in mobile telecommunications system
EP3371993B1 (en) Method, ue and network node for protecting user privacy in networks
CN111726228B (zh) 使用互联网密钥交换消息来配置活动性检查
ES3006015T3 (en) Error handling framework for security management in a communication system
TW201507526A (zh) 受信任無線區域網路(wlan)存取場景
RU2727160C1 (ru) Аутентификация для систем следующего поколения
TWI627870B (zh) 通訊系統中閘道器節點之選擇
US8761007B1 (en) Method and apparatus for preventing a mobile device from creating a routing loop in a network
US20260019809A1 (en) Communication method and communication apparatus
KR102103320B1 (ko) 이동 단말기, 네트워크 노드 서버, 방법 및 컴퓨터 프로그램
JP6146105B2 (ja) ゲートウェイシステム、拡張ゲートウェイ、拡張エッジ装置、移動端末接続方法およびプログラム
ES2340311T3 (es) Un metodo para asegurar la comunicacion entre una red de acceso y una red central.
KR20090065023A (ko) 인터넷 보안 프로토콜 터널 모드 처리방법