ES2609922T3 - Método y sistema para realizar bloqueo y desbloqueo en una red mediante un dispositivo terminal - Google Patents

Método y sistema para realizar bloqueo y desbloqueo en una red mediante un dispositivo terminal Download PDF

Info

Publication number
ES2609922T3
ES2609922T3 ES08879260.1T ES08879260T ES2609922T3 ES 2609922 T3 ES2609922 T3 ES 2609922T3 ES 08879260 T ES08879260 T ES 08879260T ES 2609922 T3 ES2609922 T3 ES 2609922T3
Authority
ES
Spain
Prior art keywords
network
blocking
terminal device
server
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES08879260.1T
Other languages
English (en)
Inventor
Xiaopeng Liu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Application granted granted Critical
Publication of ES2609922T3 publication Critical patent/ES2609922T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Lock And Its Accessories (AREA)

Abstract

Método para implementar el bloqueo de un dispositivo terminal en una red, comprendiendo este método un procedimiento de bloqueo en la red durante el acceso a la red, en el que el procedimiento de bloqueo en la red comprende: realizar una verificación de la configuración de bloqueo en la red en un proceso de autenticación de acceso a la red, y si dicha verificación de la configuración de bloqueo en la red es satisfactoria, permitir la verificación de un certificado de autenticación, o de lo contrario rechazar el acceso del dispositivo terminal a la red; en el que dicha verificación de la configuración de bloqueo en la red se refiere a la comparación de una cadena de caracteres de bloqueo en la red en un certificado de autenticación de un servidor de Autenticación, Autorización y Contabilidad, AAA, con una cadena de caracteres de bloqueo en la red memorizada en el dispositivo terminal, si la cadena de caracteres de bloqueo en la red en un certificado de autenticación del servidor de AAA es igual que la memorizada en el dispositivo terminal, se considera que la verificación de la configuración de bloqueo en la red es satisfactoria (403); en dicha verificación de la configuración de bloqueo en la red, antes de realizar la comparación de las cadenas de caracteres de bloqueo en la red, determinar si una función de bloqueo en la red está activada según un bit indicador de bloqueo en la red memorizado en el dispositivo terminal, y en caso afirmativo, realizar la comparación de las cadenas de caracteres de bloqueo en la red, o de lo contrario realizar directamente la verificación del certificado de autenticación (402); el método además comprende un procedimiento de desbloqueo, y este procedimiento comprende: un servidor inalámbrico, OTA, que obtiene una clave de desbloqueo de dicho dispositivo terminal y un ID de dicho dispositivo terminal memorizados por un servidor del operador; dicho servidor OTA obtiene de manera OTA una clave de desbloqueo memorizada por dicho dispositivo terminal con el ID; dicho servidor OTA compara las claves de desbloqueo obtenidas; si las claves de desbloqueo son iguales, dicho servidor OTA notifica de manera OTA a dicho dispositivo terminal que establezca el bit indicador de bloqueo en la red como función de bloqueo en la red desactivada y borre dicha cadena de caracteres de bloqueo en la red.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Metodo y sistema para realizar bloqueo y desbloqueo en una red mediante un dispositivo terminal Sector tecnico
La presente invencion se refiere al mecanismo de proteccion de seguridad de la red de los productos de dispositivo terminal en la comunicacion de red inalambrica, y en particular, al mecanismo de proteccion de seguridad de la red, para productos de dispositivo terminal en la red de Interoperabilidad mundial para acceso por microondas (WiMAX, World Interoperability for Microwave Access), y a un metodo, un sistema y un dispositivo terminal para la implementacion de bloqueo en la red.
Antecedentes de la tecnica relacionada
Despues de acceder a la red proporcionada por el operador, un dispositivo terminal lleva a cabo operaciones de bloqueo en la red para impedir que este dispositivo terminal acceda a otras redes, lo que tiene los objetivos de: 1) evitar el acceso del dispositivo terminal a estaciones base falsas; algunos piratas informaticos pueden establecer por si mismos una estacion base falsa que imponga al dispositivo terminal que acceda a la estacion base falsa, robando asi informacion personal, e incluso danando el dispositivo terminal; y 2) evitar el acceso del dispositivo terminal a las redes proporcionadas por los otros operadores. En la actualidad, hay una fuerte competencia en el mercado de la comunicacion, y cada gran operador adopta diversos esquemas para atraer a nuevos clientes y conservar a los clientes antiguos. Donde el modo de venta que vincula los dispositivos terminales, tales como telefonos moviles/tarjetas de red y similares, con los servicios es uno de los esquemas para captar nuevos clientes. En este esquema, el precio de venta real de dispositivos terminales tales como telefonos moviles/tarjetas de red y similares es inferior al precio de mercado, de modo que los operadores no desean que los abonados utilicen dispositivos terminales en las redes de otros operadores una vez que finalizan los servicios, sino que desean que los abonados sigan utilizando los servicios que ellos mismos proporcionan. Con el fin de conseguir el objetivo de conservar a los clientes antiguos, surge la necesidad de anadir una funcion de bloqueo en la red. Esta funcion puede vincular los dispositivos terminales con los operadores, y por lo tanto se impide a los abonados de los dispositivos terminales el uso de los servicios proporcionados por otros operadores.
Al mismo tiempo, los operadores tambien pueden desbloquear los dispositivos terminales para cumplir varios requisitos, tales como el mantenimiento y la reparacion postventa, y en situaciones particulares, pueden permitir el desbloqueo de los usuarios mediante el pago de una determinada tarifa y similares.
Los documentos WO2008079490A1 y US20088209206A1 dan a conocer diferentes metodos para la implementacion del bloqueo de un dispositivo terminal en una red.
Con el fin de resolver el problema tecnico anterior, la presente invencion propone los siguientes esquemas tecnicos. Contenido de la invencion
El problema a resolver en la presente invencion es dar a conocer un metodo, un sistema y un dispositivo terminal para la implementacion del bloqueo de un dispositivo terminal en una red con el fin de implementar la funcion de bloqueo en la red.
Las caracteristicas del metodo y el sistema segun la presente invencion se definen en las reivindicaciones independientes 1 a 4 y las caracteristicas preferentes segun la presente invencion se definen en las reivindicaciones dependientes.
Para resolver el problema anterior, se da a conocer un metodo para implementar el bloqueo de un dispositivo terminal en una red, y este metodo comprende un procedimiento de bloqueo en la red durante el acceso a la red, realizando particularmente una verificacion de la configuracion de bloqueo en la red en el proceso de autenticacion de acceso a la red, y si la verificacion de la configuracion de bloqueo en la red es satisfactoria, permite la verificacion de un certificado de autenticacion, o de lo contrario rechaza el acceso del dispositivo terminal a la red.
Asimismo, el proceso de autenticacion de acceso a la red se refiere a un proceso en el que el dispositivo terminal autentica un servidor de Autenticacion, Autorizacion y Contabilidad (AAA, Authentication Authorization Accounting), la verificacion de la configuracion de bloqueo en la red se refiere a la comparacion de una cadena de caracteres de bloqueo en la red en un certificado de autenticacion del servidor de AAA con una cadena de caracteres de bloqueo en la red memorizada en el dispositivo terminal, si la cadena de caracteres de bloqueo en la red en el certificado de autenticacion del servidor de AAA es igual que la memorizada en el dispositivo terminal, se considera que la verificacion de la configuracion de bloqueo en la red es satisfactoria.
Asimismo, la cadena de caracteres de bloqueo en la red se refiere a un ID del nombre de red de un operador dispuesto en un campo CN en el Asunto en el certificado de autenticacion.
5
10
15
20
25
30
35
40
45
50
55
60
65
Asimismo, en la verificacion de la configuracion de bloqueo en la red, antes de realizar la comparacion de las cadenas de caracteres de bloqueo en la red, se determina si la funcion de bloqueo en la red esta activada segun un bit indicador de bloqueo en la red memorizado en el dispositivo terminal, y en caso afirmativo, se realiza la comparacion de las cadenas de caracteres de bloqueo en la red, o de lo contrario se realiza directamente la verificacion del certificado de autenticacion.
Asimismo, el metodo comprende ademas un procedimiento de desbloqueo, y este procedimiento comprende: un servidor inalambrico (OTA, "Over The Air") que obtiene las claves de desbloqueo memorizadas por un servidor del operador y el dispositivo terminal respectivamente y compara la clave de desbloqueo memorizada por un operador con la memorizada por el dispositivo terminal; y si las claves de desbloqueo son iguales, el servidor OTA notifica al dispositivo terminal que establezca el bit indicador de bloqueo en la red como funcion de bloqueo en la red desactivada y borre la cadena de caracteres de bloqueo en la red.
Asimismo, el metodo ademas comprende un procedimiento de bloqueo de nuevo tras el acceso a la red, y este procedimiento comprende: un servidor inalambrico (OTA) calcula una clave de desbloqueo del dispositivo terminal, e notifica al servidor del operador y al dispositivo terminal que almacenen esta clave de desbloqueo; el servidor OTA transmite el bit indicador de bloqueo en la red y la cadena de caracteres de bloqueo en la red al dispositivo terminal; y el dispositivo terminal almacena esta cadena de caracteres de bloqueo en la red y establece el bit indicador de bloqueo en la red como funcion de bloqueo en la red activada.
Para resolver el problema tecnico anterior, se da a conocer un sistema para implementar el bloqueo de un dispositivo terminal en una red, y este sistema se utiliza para realizar una verificacion de la configuracion de bloqueo en la red en un proceso de autenticacion de acceso a la red, y permitir la verificacion de un certificado de autenticacion si la verificacion de la configuracion de bloqueo en la red es satisfactoria, o de lo contrario rechazar el acceso del dispositivo terminal a la red.
Asimismo, el sistema incluye un servidor de Autenticacion, Autorizacion y Contabilidad (AAA) y un dispositivo terminal, en que
el servidor de AAA se utiliza para transmitir un certificado de autenticacion al dispositivo terminal, incluyendo el certificado de autenticacion una cadena de caracteres de bloqueo en la red;
el dispositivo terminal incluye un modulo transceptor, un modulo de bloqueo en la red y un modulo de autenticacion, en que,
el modulo transceptor se utiliza para recibir el certificado de autenticacion;
el modulo de bloqueo en la red se utiliza para realizar la verificacion del bloqueo en la red para una cadena de caracteres de bloqueo en la red en el certificado de autenticacion transmitido por el servidor de AAA y una cadena de caracteres de bloqueo en la red memorizada en el dispositivo terminal, y permite que el modulo de autenticacion realice la autenticacion si la cadena de caracteres de bloqueo en la red en el certificado de autenticacion transmitido por el servidor de AAA es igual que la memorizada en el dispositivo terminal;
el modulo de autenticacion se utiliza para verificar el certificado de autenticacion transmitido por el servidor de AAA segun un certificado memorizado por si mismo.
Asimismo, el modulo de bloqueo en la red tambien se utiliza para almacenar un bit indicador de bloqueo en la red; y si el bit indicador de bloqueo en la red indica que la funcion de bloqueo en la red esta desactivada, el modulo de red de bloqueo tambien se utiliza para activar directamente el modulo de autenticacion para que realice la autenticacion, o de lo contrario para iniciar la verificacion de la cadena de caracteres de bloqueo en la red.
Asimismo, el sistema ademas incluye un servidor inalambrico (OTA) y un servidor del operador; el servidor OTA se utiliza para verificar las claves de desbloqueo memorizadas por un servidor del operador y el dispositivo terminal respectivamente, e notifica al dispositivo terminal que borre la cadena de caracteres de bloqueo en la red y restablezca el bit indicador de bloqueo en la red para implementar una funcion de desbloqueo; el servidor OTA tambien se utiliza para calcular una clave de desbloqueo e notificar al servidor del operador y al dispositivo terminal que almacenen esta clave de desbloqueo, y notifica al dispositivo terminal que almacene la cadena de caracteres de bloqueo en la red y que establezca el bit indicador de bloqueo en la red para implementar una funcion de bloqueo de nuevo tras el acceso a la red; el modulo de bloqueo en la red del dispositivo terminal se utiliza para realizar el almacenamiento y la actualizacion segun las notificaciones del servidor OTA.
Para resolver el problema anterior, se da a conocer un dispositivo terminal, el dispositivo terminal tiene una funcion de bloqueo en la red, incluyendo el dispositivo terminal un modulo transceptor, un modulo de bloqueo en la red y un modulo de autenticacion, en que,
5
10
15
20
25
30
35
40
45
50
55
60
65
el modulo transceptor se utiliza para recibir un certificado de autenticacion transmitido por un servidor de Autenticacion, Autorizacion y Contabilidad (AAA), y el certificado de autenticacion incluye una cadena de caracteres de bloqueo en la red;
el modulo de bloqueo en la red se utiliza para realizar la verificacion del bloqueo en la red para la cadena de caracteres de bloqueo en la red en el certificado de autenticacion transmitido por el servidor de AAA y para una cadena de caracteres de bloqueo en la red memorizada en el dispositivo terminal, y para activar el modulo de autenticacion para que realice la autenticacion si la cadena de caracteres de bloqueo en la red en el certificado de autenticacion transmitido por el servidor de AAA es igual que la memorizada en el dispositivo terminal;
el modulo de autenticacion se utiliza para verificar el certificado de autenticacion transmitido por el servidor de AAA segun un certificado memorizado por si mismo.
Asimismo, el modulo de bloqueo en la red tambien se utiliza para almacenar un bit indicador de bloqueo en la red; y si el bit indicador de bloqueo en la red indica que la funcion de bloqueo en la red esta desactivada, el modulo de bloqueo en la red tambien se utiliza para activar directamente el modulo de autenticacion para que realice la autenticacion, o de lo contrario para iniciar la verificacion de la cadena de caracteres de bloqueo en la red.
En comparacion con la tecnica anterior, el metodo, el sistema y el dispositivo terminal de la presente invencion
adoptan el proceso de autenticacion y requieren que el dispositivo terminal y el servidor configuren uniformemente
una cadena de caracteres de bloqueo en la red con el fin de tener una alta seguridad. Ademas, el metodo, el sistema y el dispositivo terminal de la presente invencion pueden implementar el desbloqueo y el bloqueo de nuevo tras el acceso a la red por medio de una gestion de la interfaz aerea de manera OTA, lo que tiene una flexibilidad y una aplicabilidad elevadas, y puede cumplir perfectamente los requisitos de las redes 4G tales como la red WiMAX, la red LTE y similares.
Breve descripcion de los dibujos
La figura 1 es una ilustracion de un croquis del contenido del certificado X.509;
La figura 2 es una ilustracion de un croquis de la cadena de certificados X.509;
La figura 3 es un diagrama de flujo de la autenticacion bidireccional de EAP-TLS y EAP-TTLS;
La figura 4 es un diagrama de flujo del bloqueo en la red durante un acceso del dispositivo terminal a la red, segun la presente invencion;
La figura 5 es un diagrama de flujo del desbloqueo, segun la presente invencion;
La figura 6 es un diagrama de flujo del bloqueo en la red de nuevo tras el acceso a la red, segun la presente invencion.
Realizaciones preferentes de la presente invencion
El metodo para implementar el bloqueo de un dispositivo terminal en una red segun la presente invencion incluye tres procedimientos, particularmente, un procedimiento de bloqueo en una red durante el acceso a la red, un procedimiento de desbloqueo y un procedimiento de bloqueo de nuevo tras el acceso a la red. El procedimiento de bloqueo en la red durante el acceso a la red lleva a cabo la verificacion de la configuracion de bloqueo en la red en un proceso de autenticacion de acceso a la red, si la verificacion de la configuracion de bloqueo en la red es satisfactoria, permite la verificacion de un certificado de autenticacion, o de lo contrario rechaza el acceso a la red del terminal movil.
A continuacion se describen los tres procedimientos, respectivamente.
1. El procedimiento de bloqueo en una red durante el acceso a la red
Las autenticaciones EAP-TLS y EAP-TTLS utilizan un certificado X.509 como identificacion de un servidor de AAA y un dispositivo terminal. Ademas de la version, el numero de serie, el ID del algoritmo de firma, el nombre del firmante, el periodo de validez y la clave publica, el certificado X.509 tambien incluye un Asunto personalizado. Los operadores ponen su propio ID del nombre de red en el campo CN del Asunto para utilizarlo en la verificacion del bloqueo en la red en el proceso de autenticacion. El formato del certificado X.509 se muestra en la figura 1.
La arquitectura del certificado X.509 se muestra en la figura 2, en la que se puede omitir el certificado raiz de nivel secundario duplicado. Debido a que la firma se lleva a cabo capa a capa, solamente el certificado raiz que firma su certificado de nivel inferior puede verificar este certificado de nivel inferior, y los certificados con esta arquitectura de capas se denominan en conjunto una cadena de certificados, tal como se muestra en la figura 2.
5
10
15
20
25
30
35
40
45
50
55
60
65
Segun el protocolo 806.16e, el proceso de acceso a la red por un dispositivo terminal WiMAX se divide en una serie de partes, que incluyen: la busqueda de la red, la autenticacion, el registro y el establecimiento de una conexion IP. En el que la parte de autenticacion se utiliza para controlar el acceso a la red, y la funcion de bloqueo en la red propuesta en la presente invencion se implementa en esta etapa.
Dos metodos recomendados por el protocolo WiMAX son el Protocolo de autenticacion extensible - Seguridad de la capa de transporte (EAP-TLS, Extensible Authentication Protocol - Transport Layer Security) y el EAP - Seguridad de la capa de transporte tunelizada (EAP-TTLS, EAP Tunneled Transport Layer Security) basados en el certificado X.509, y los flujos de autenticacion son similares para EAP-TLS y EAP-TTLS, excepto en que TTLS puede seleccionar una autenticacion del dispositivo unidireccional (autenticando unicamente el servidor de AAA), y tambien puede seleccionar una autenticacion del dispositivo bidireccional (el servidor de AAA autentica el dispositivo terminal y el dispositivo terminal autentica el servidor de AAA, tal como se muestra en la figura 3), y tambien puede seleccionar la autenticacion del usuario (autenticando el usuario segun el nombre y la contrasena del usuario).
En el metodo de autenticacion de acceso a la red basado en EAP-TLS y EAP-TTLS, segun la presente invencion, se comprueba el bit indicador de bloqueo en la red y se comparan las cadenas de caracteres de bloqueo en la red, y si el bit indicador de bloqueo en la red esta activado, entonces no se permite pasar la autenticacion salvo que la cadena de caracteres de bloqueo en la red del certificado del servidor de AAA sea igual que la cadena de caracteres de bloqueo en la red memorizada en el dispositivo terminal, de lo contrario se devuelve un fallo de autenticacion y se rechaza el acceso a la red, consiguiendo asi el objetivo de bloqueo en la red. El metodo de bloqueo en la red se implementa adoptando el certificado del servidor para determinar si la red actual es o no una red legal en el proceso de autenticacion, y si la red no es una red legal, la autenticacion falla, lo que da lugar a un fallo de acceso a la red, consiguiendo asi el objetivo de bloqueo en la red.
La autenticacion bidireccional del dispositivo se tomara como ejemplo para la siguiente descripcion.
Tal como se muestra en la figura 4, el flujo incluye especificamente:
Etapa -401-: un dispositivo terminal recibe una cadena de certificados transmitida por un servidor, esta cadena de certificados incluye el certificado del servidor de AAA y un certificado de nivel intermedio del mismo, en donde una cadena de caracteres en el campo CN del certificado del servidor es una cadena de caracteres de bloqueo en la red, que se utiliza para verificar el bloqueo en la red, y esta cadena de caracteres es el nombre del operador;
Etapa -402-: el dispositivo terminal comprueba un bit indicador de bloqueo en la red, y si este bit indicador de bloqueo en la red indica que la funcion de bloqueo en la red esta activada, avanza a la etapa -403-, de lo contrario avanza a la etapa -404-;
Etapa -403-: el dispositivo terminal comprueba si la cadena de caracteres de bloqueo en la red en el certificado del servidor es igual que la memorizada en el dispositivo terminal, en caso afirmativo, avanza a la etapa -404-, de lo contrario determina que la red actual no es una red legal, y devuelve automaticamente el fallo de autenticacion al servidor de AAA, rechaza el acceso a la red y finaliza el flujo;
Etapa -404-: el dispositivo terminal verifica la cadena de certificados del servidor recibida utilizando el certificado raiz de nivel superior de los certificados del servidor de AAA memorizados en el propio dispositivo terminal, y si se pasa la verificacion, se avanza a la etapa -405-, de lo contrario se devuelve el fallo de autenticacion para rechazar el acceso a la red y finalizar el flujo;
Etapa -405-: el dispositivo terminal transmite una cadena de certificados de dispositivo del dispositivo terminal (que incluye el certificado del dispositivo y los certificados de nivel intermedio) al servidor;
Etapa -406-: el servidor de AAA verifica la cadena de certificados del dispositivo recibida utilizando el certificado raiz memorizado del certificado del dispositivo, y si se pasa la verificacion, la autenticacion es satisfactoria, permitiendo el acceso a la red, de lo contrario la autenticacion falla, rechazando el acceso a la red.
El flujo anterior se describe tomando como ejemplo el flujo de autenticacion bidireccional del dispositivo terminal, sin embargo, se puede comprender que el metodo de la presente invencion tambien es apropiado para implementar la funcion de bloqueo en la red en el flujo de autenticacion unidireccional del dispositivo terminal, en el que la etapa -405- y la etapa -406- se omiten en comparacion con el flujo anterior.
La presente invencion adopta la cadena de caracteres de bloqueo en la red para verificar el bloqueo en la red, donde la cadena de caracteres de bloqueo en la red generalmente es el nombre del operador. El dispositivo terminal puede almacenar este valor en la memoria de solo lectura programable y borrable electricamente (EEPROM, Electrically Erasable Programmable Read-Only Memory), y el bit indicador de activacion para la funcion de bloqueo en la red tambien se puede almacenar en la EEPROM.
5
10
15
20
25
30
35
40
45
50
55
60
2. Procedimiento de desbloqueo
Dado que se permite que el propio usuario desbloquee el dispositivo, la funcion de desbloqueo se deberia controlar para impedir la operacion de desbloqueo no autorizada. En la presente memoria se adopta un modo de control que utiliza una clave. Se generara durante la fabricacion del dispositivo una clave del dispositivo segun informacion tal como el ID del dispositivo, la clave de control principal y similares, y a continuacion se guardara en la EEPROM del dispositivo. Hay una correspondencia de uno a uno entre esta clave y el dispositivo. Cuando se entrega el dispositivo al operador, esta clave tambien se transfiere al operador de manera segura, y el operador almacena la clave en una base de datos segura. La clave se puede generar con algoritmos tales como SHA256 y similares.
Cuando un dispositivo terminal presenta una peticion de desbloqueo y el operador la autoriza, o expira el limite de tiempo del bloqueo en la red, o se cumplen otras condiciones de desbloqueo para el dispositivo terminal cuya funcion de bloqueo en la red se ha activado, se puede utilizar el siguiente metodo para eliminar la restriccion de acceso a la red impuesta por la funcion de bloqueo en la red.
Un servidor del operador hace uso del modulo inalambrico (OTA) para implementar la funcion de gestion inalambrica de los dispositivos terminales. El servidor del operador almacena parametros de cada dispositivo terminal tales como el ID MAC, la clave de desbloqueo y similares. Un servidor OTA lee la clave de desbloqueo correspondiente a este dispositivo terminal, y la clave de desbloqueo de la EEPROM del dispositivo a traves de la interfaz OTA, y las compara. Si son iguales, el servidor OTA establece el bit indicador de bloqueo en la red a FALSO y borra la cadena de caracteres de bloqueo en la red, de lo contrario el desbloqueo falla.
Tal como se muestra en la figura 5, esta es un flujo de desbloqueo implementado por el servidor del operador o el dispositivo terminal, que incluye las siguientes etapas.
Etapa -501-: el servidor OTA obtiene la clave de desbloqueo del dispositivo terminal y el ID del dispositivo terminal, memorizados por el servidor del operador;
Etapa -502-: el servidor OTA de manera OTA obtiene la clave de desbloqueo memorizada por el dispositivo terminal con el ID correspondiente;
Etapa -503-: el servidor OTA compara las claves de desbloqueo obtenidas, y si son iguales, se lleva a cabo la etapa -504-, de lo contrario finaliza el flujo.
Etapa -504-: el servidor OTA transmite de manera OTA una notificacion de desbloqueo al dispositivo terminal para que el dispositivo terminal restablezca el bit indicador de bloqueo en la red a FALSO y borre la cadena de caracteres de bloqueo en la red para implementar el desbloqueo.
La configuracion de bloqueo en la red se puede tambien cambiar directamente por el servidor del operador o el dispositivo terminal sin realizar la verificacion de la clave de desbloqueo. La verificacion de la clave de desbloqueo es solamente para aumentar la seguridad.
3. Procedimiento de bloqueo de nuevo tras acceder a la red
Los dispositivos desbloqueados se pueden bloquear de nuevo tras volver a acceder a la red, lo que se implementa de manera OTA utilizando una interfaz aerea. El proceso de bloqueo de nuevo despues de que el dispositivo accede a la red se muestra en la figura 6, que incluye las siguientes etapas.
Etapa -601-: un dispositivo terminal lee el bit indicador de bloqueo en la red memorizado en el dispositivo para determinar si se ha bloqueado, en caso afirmativo, finaliza el flujo, de lo contrario se lleva a cabo la etapa -602-;
Etapa -602-: el servidor OTA en el lado de red descubre de manera OTA que el dispositivo terminal no esta bloqueado y, a continuacion, calcula una clave de desbloqueo segun los parametros del dispositivo terminal tales como la direccion MAC, la hora actual, el ID de red y similares;
Etapa -603-: el servidor OTA en el lado de red transmite la clave de desbloqueo calculada al servidor del operador para su almacenamiento, y al mismo tiempo, transmite de manera OTA la clave de desbloqueo calculada al dispositivo terminal para que el dispositivo terminal actualice la clave de bloqueo en la red en la EEPROM;
Etapa -604-: el servidor OTA en el lado de red transmite de manera OTA una notificacion de bloqueo al dispositivo terminal, donde la notificacion de bloqueo lleva la cadena de caracteres de bloqueo en la red y el bit indicador de bloqueo en la red (VERDADERO o FALSO) para que el dispositivo terminal actualice el valor del campo correspondiente en la EEPROM.
5
10
15
20
25
30
35
40
45
50
55
60
65
Con el fin de implementar el metodo anterior, la presente invencion tambien da a conocer un sistema para implementar el bloqueo del dispositivo terminal en la red. Este sistema incluye un servidor de AAA, un servidor del operador y un dispositivo terminal, donde,
El servidor del operador se utiliza para almacenar parametros tales como el ID MAC del dispositivo terminal y la clave de bloqueo en la red y similares.
El servidor de AAA se refiere al servidor de red, que tiene funciones de Autenticacion, Autorizacion y Contabilidad, e incluye particularmente un modulo transceptor y un modulo de autenticacion, donde
El modulo transceptor se utiliza para recibir y transmitir diversos mensajes de senalizacion, incluyendo la transmision de una cadena de certificados al dispositivo terminal, la recepcion de la cadena de certificados transmitida por el dispositivo terminal y la transmision de una respuesta de autenticacion segun el resultado de la autenticacion, incluyendo dicha cadena de certificados transmitida al dispositivo terminal una cadena de caracteres de bloqueo en la red.
El modulo de autenticacion sirve para verificar la cadena de certificados transmitida por el dispositivo terminal segun el certificado memorizado por si mismo.
El dispositivo terminal se refiere a un dispositivo terminal de un producto de red tal como una tarjeta de red, un telefono movil y similares, que incluye un modulo transceptor, un modulo de autenticacion y un modulo de bloqueo en la red.
Donde, el modulo transceptor se utiliza para recibir o transmitir diversos mensajes de senalizacion, incluyendo la recepcion de la cadena de certificados transmitida por el servidor de AAA y la transmision de una cadena de certificados del dispositivo terminal al servidor de AAA, y la transmision de respuestas de autenticacion al servidor de AAA segun los resultados de la verificacion del modulo de autenticacion y el modulo de bloqueo en la red.
Si no se pasa la verificacion de modulo de bloqueo en la red, el modulo transceptor transmite directamente una respuesta de fallo de autenticacion al servidor de AAA.
El modulo de autenticacion se utiliza para verificar la cadena de certificados transmitida por el servidor de AAA segun el certificado memorizado por si mismo.
El modulo de bloqueo en la red se utiliza para almacenar el bit indicador de bloqueo en la red y la cadena de caracteres de bloqueo en la red, el bit indicador de bloqueo en la red se utiliza para indicar si la funcion de bloqueo en la red esta activada, y si el bit indicador de bloqueo en la red indica que la funcion de bloqueo en la red esta activada, el modulo de bloqueo en la red se utiliza tambien para verificar el bit indicador de bloqueo en la red en la cadena de certificados transmitida por el servidor de AAA y el bit indicador de bloqueo en la red memorizado por si mismo, si son iguales, el modulo de bloqueo en la red tambien se utiliza para activar el modulo de autenticacion para autenticar, si el bit indicador de bloqueo en la red indica que la funcion de bloqueo en la red no esta activada, el modulo de bloqueo en la red tambien se utiliza para que el modulo de autenticacion inicie directamente la autenticacion.
Para implementar la funcion de desbloqueo, el sistema de la presente invencion ademas incluye un servidor OTA, que se utiliza para obtener la clave de desbloqueo del dispositivo terminal en el servidor del operador y la clave de desbloqueo memorizada en el dispositivo terminal correspondiente, utilizandose tambien para comparar las claves de desbloqueo obtenidas y transmitir una notificacion de desbloqueo si las claves de desbloqueo obtenidas son iguales.
Dicho modulo de bloqueo en la red del dispositivo terminal se utiliza para proporcionar la clave de desbloqueo memorizada al servidor OTA, restablecer el bit indicador de bloqueo en la red y borrar la cadena de caracteres de bloqueo en la red segun la notificacion de desbloqueo.
Para implementar de nuevo la funcion de bloqueo en la red tras acceder a la red, el servidor OTA tambien se utiliza para calcular la clave de desbloqueo del dispositivo terminal e notificar al servidor del operador y al dispositivo terminal que almacenen la clave de desbloqueo. El servidor OTA tambien se utiliza para enviar una notificacion de bloqueo al dispositivo terminal, donde la notificacion de bloqueo incluye el bit indicador de bloqueo en la red y la cadena de caracteres de bloqueo en la red.
Dicho modulo de bloqueo en la red del dispositivo terminal se utiliza para determinar si este ha sido bloqueado segun el bit indicador de bloqueo en la red, y tambien se utiliza para establecer el bit indicador de bloqueo en la red y actualizar la cadena de caracteres de bloqueo en la red segun la notificacion de bloqueo en la red transmitida por el servidor OTA para implementar de nuevo la funcion de bloqueo en la red tras acceder a la red.
Asimismo, la presente invencion tambien da a conocer un dispositivo terminal, y este dispositivo terminal puede implementar la funcion de bloqueo en la red durante el acceso a la red. Y la arquitectura modular particular es la misma que en la descripcion anterior.
5 En los anteriores metodo, sistema y dispositivo terminal, solo se proporciona la posibilidad de activar la funcion de bloqueo en la red utilizando el bit indicador de bloqueo en la red, y el operador o el dispositivo terminal tienen derecho a seleccionar si desean activar la funcion de bloqueo en la red. Naturalmente, la presente invencion tambien se puede implementar sin el bit indicador de bloqueo en la red. Para garantizar la compatibilidad con el dispositivo terminal existente, la presente invencion se puede implementar determinando si este dispositivo terminal tiene la 10 funcion de bloqueo en la red segun una informacion que tenga un determinado significado descriptivo, como por ejemplo la fecha de fabricacion del dispositivo terminal y, llevando a cabo a continuacion una verificacion de bloqueo en la red.
Para el modo EAP-TTLS segun la presente invencion, se puede utilizar cualquier metodo de autenticacion, 15 independientemente del modo de autenticacion al que pertenezca, siempre que el metodo de autenticacion incluya una autenticacion para el servidor, debido a que la autenticacion para el servidor significa que la cadena de caracteres de bloqueo en la red se puede leer a partir de la certificacion del servidor, de tal modo que la cadena de caracteres de bloqueo en la red se puede comparar con la cadena de caracteres memorizada en el dispositivo terminal con el fin de conseguir el objetivo de bloqueo en la red.
20
Aplicabilidad industrial
En comparacion con la tecnica anterior, el metodo, el sistema y el dispositivo terminal de la presente invencion adoptan el proceso de autenticacion, y requieren que el dispositivo terminal y el servidor configuren uniformemente 25 una cadena de caracteres de bloqueo en la red para tener una alta seguridad. Ademas, el metodo, el sistema y el dispositivo terminal de la presente invencion pueden implementar el bloqueo y desbloqueo en la red tras acceder a la red a traves de la gestion de la interfaz aerea de manera OTA, lo que tiene una gran flexibilidad y aplicabilidad, y puede cumplir perfectamente los requisitos de las redes 4G tales como la red WiMAX, la red LTE y similares.

Claims (6)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Metodo para implementar el bloqueo de un dispositivo terminal en una red, comprendiendo este metodo un procedimiento de bloqueo en la red durante el acceso a la red, en el que el procedimiento de bloqueo en la red comprende: realizar una verificacion de la configuracion de bloqueo en la red en un proceso de autenticacion de acceso a la red, y si dicha verificacion de la configuracion de bloqueo en la red es satisfactoria, permitir la verificacion de un certificado de autenticacion, o de lo contrario rechazar el acceso del dispositivo terminal a la red;
    en el que dicha verificacion de la configuracion de bloqueo en la red se refiere a la comparacion de una cadena de caracteres de bloqueo en la red en un certificado de autenticacion de un servidor de Autenticacion, Autorizacion y Contabilidad, AAA, con una cadena de caracteres de bloqueo en la red memorizada en el dispositivo terminal, si la cadena de caracteres de bloqueo en la red en un certificado de autenticacion del servidor de AAA es igual que la memorizada en el dispositivo terminal, se considera que la verificacion de la configuracion de bloqueo en la red es satisfactoria (403);
    en dicha verificacion de la configuracion de bloqueo en la red, antes de realizar la comparacion de las cadenas de caracteres de bloqueo en la red, determinar si una funcion de bloqueo en la red esta activada segun un bit indicador de bloqueo en la red memorizado en el dispositivo terminal, y en caso afirmativo, realizar la comparacion de las cadenas de caracteres de bloqueo en la red, o de lo contrario realizar directamente la verificacion del certificado de autenticacion (402);
    el metodo ademas comprende un procedimiento de desbloqueo, y este procedimiento comprende:
    un servidor inalambrico, OTA, que obtiene una clave de desbloqueo de dicho dispositivo terminal y un ID de dicho dispositivo terminal memorizados por un servidor del operador;
    dicho servidor OTA obtiene de manera OTA una clave de desbloqueo memorizada por dicho dispositivo terminal con el ID;
    dicho servidor OTA compara las claves de desbloqueo obtenidas;
    si las claves de desbloqueo son iguales, dicho servidor OTA notifica de manera OTA a dicho dispositivo terminal que establezca el bit indicador de bloqueo en la red como funcion de bloqueo en la red desactivada y borre dicha cadena de caracteres de bloqueo en la red.
  2. 2. Metodo, segun la reivindicacion 1, en el que dicho proceso de autenticacion de acceso a la red se refiere a un proceso en el que el dispositivo terminal autentica el servidor de Autenticacion, Autorizacion y Contabilidad, AAA.
  3. 3. Metodo, segun la reivindicacion 1, que comprende ademas: un procedimiento de bloqueo de nuevo tras acceder a la red, comprendiendo este procedimiento: el servidor inalambrico, OTA, calcula una clave de desbloqueo de dicho dispositivo terminal, y notifica al servidor del operador y a dicho dispositivo terminal que almacenen esta clave de desbloqueo; dicho servidor OTA transmite el bit indicador de bloqueo en la red y la cadena de caracteres de bloqueo en la red a dicho dispositivo terminal; y dicho dispositivo terminal almacena esta cadena de caracteres de bloqueo en la red y establece dicho bit indicador de bloqueo en la red como funcion de bloqueo en la red activada (601 -604).
  4. 4. Sistema para implementar el bloqueo de un dispositivo terminal en una red, en el que este sistema esta adaptado para realizar la verificacion de la configuracion de bloqueo en la red en un proceso de autenticacion de acceso a la red, y permitir la verificacion de un certificado de autenticacion si dicha verificacion de la configuracion de bloqueo en la red es satisfactoria, o de lo contrario rechazar el acceso del dispositivo terminal a la red;
    en el que este sistema incluye un servidor de Autenticacion, Autorizacion y Contabilidad, AAA, y un dispositivo terminal, en el que,
    dicho servidor de AAA esta adaptado para transmitir un certificado de autenticacion al dispositivo terminal, incluyendo dicho certificado de autenticacion una cadena de caracteres de bloqueo en la red;
    dicho dispositivo terminal incluye un modulo transceptor y un modulo de bloqueo en la red, en el que,
    dicho modulo transceptor esta adaptado para recibir dicho certificado de autenticacion;
    dicho modulo de bloqueo en la red esta adaptado para realizar una verificacion de bloqueo en la red para una cadena de caracteres de bloqueo en la red en el certificado de autenticacion transmitido por el servidor de AAA y una cadena de caracteres de bloqueo en la red memorizada en el dispositivo terminal;
    dicho modulo de bloqueo en la red ademas esta adaptado para almacenar un bit indicador de bloqueo en la red; y si el bit indicador de bloqueo en la red indica que la funcion de bloqueo en la red esta desactivada, dicho modulo de
    red de bloqueo tambien esta adaptado para activar directamente dicho modulo de autenticacion para que realice la autenticacion, o de lo contrario para iniciar la verificacion de la cadena de caracteres de bloqueo en la red
    en el que dicho sistema ademas incluye un servidor inalambrico, OTA, y un servidor del operador; dicho servidor 5 OTA esta adaptado para: obtener una clave de desbloqueo de dicho dispositivo terminal y un ID de dicho dispositivo terminal memorizado por dicho servidor del operador, obtener de manera OTA una clave de desbloqueo memorizada por dicho dispositivo terminal con el ID, comparar las claves de desbloqueo obtenidas, y si las claves de desbloqueo son iguales, notificar de manera OTA a dicho dispositivo terminal que establezca el bit indicador de bloqueo en la red como funcion de bloqueo en la red desactivada y borre dicha cadena de caracteres de bloqueo en 10 la red para implementar una funcion de desbloqueo.
  5. 5. Sistema, segun la reivindicacion 4, en el que dicho dispositivo terminal ademas incluye un modulo de autenticacion, en el que,
    15 dicho modulo de bloqueo en la red ademas esta adaptado para activar dicho modulo de autenticacion para que realice la autenticacion si la cadena de caracteres de bloqueo en la red del certificado de autenticacion transmitido por el servidor de AAA es igual que la memorizada en el dispositivo terminal;
    dicho modulo de autenticacion esta adaptado para verificar el certificado de autenticacion transmitido por el servidor 20 de AAA segun un certificado memorizado por si mismo.
  6. 6. Sistema, segun la reivindicacion 4, en el que dicho servidor OTA tambien esta adaptado para calcular una clave de desbloqueo y notificar a dicho servidor del operador y a dicho dispositivo terminal que almacenen esta clave de desbloqueo, y para notificar a dicho dispositivo terminal que almacene la cadena de caracteres de bloqueo en la red
    25 y establezca el bit indicador de bloqueo en la red para implementar la funcion de bloqueo de nuevo tras acceder a la red; estando adaptado dicho modulo de bloqueo en la red del dispositivo terminal para realizar el almacenamiento y la actualizacion segun las notificaciones del servidor OTA.
ES08879260.1T 2008-12-31 2008-12-31 Método y sistema para realizar bloqueo y desbloqueo en una red mediante un dispositivo terminal Active ES2609922T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2008/002162 WO2010075644A1 (zh) 2008-12-31 2008-12-31 实现终端设备锁网的方法、系统及终端设备

Publications (1)

Publication Number Publication Date
ES2609922T3 true ES2609922T3 (es) 2017-04-25

Family

ID=42309752

Family Applications (1)

Application Number Title Priority Date Filing Date
ES08879260.1T Active ES2609922T3 (es) 2008-12-31 2008-12-31 Método y sistema para realizar bloqueo y desbloqueo en una red mediante un dispositivo terminal

Country Status (5)

Country Link
US (1) US8732458B2 (es)
EP (1) EP2384038B1 (es)
CN (1) CN102113358B (es)
ES (1) ES2609922T3 (es)
WO (1) WO2010075644A1 (es)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102075910B (zh) * 2010-12-20 2014-06-11 华为终端有限公司 对终端进行锁网的方法和装置
CN102523575B (zh) * 2011-12-02 2015-11-25 华为终端有限公司 一种simlock解锁的方法及终端
TWI567130B (zh) * 2012-08-01 2017-01-21 長興材料工業股份有限公司 導電性高分子複合物及其製備方法與用途
CN104519479B (zh) * 2013-09-27 2019-06-11 中兴通讯股份有限公司 一种终端及其锁网和解除锁网的方法
KR20150047920A (ko) * 2013-10-25 2015-05-06 삼성전자주식회사 무선 통신이 가능한 전자장치의 잠금 제어 방법과 장치 및 그 시스템
CN104735647A (zh) * 2013-12-20 2015-06-24 中兴通讯股份有限公司 无线终端的锁网方法及系统
US9807607B2 (en) * 2014-10-03 2017-10-31 T-Mobile Usa, Inc. Secure remote user device unlock
CN104469736B (zh) * 2014-11-05 2018-01-19 中兴通讯股份有限公司 一种数据处理方法、服务器及终端
US10769315B2 (en) 2014-12-01 2020-09-08 T-Mobile Usa, Inc. Anti-theft recovery tool
EP3082355A1 (en) * 2015-04-17 2016-10-19 Gemalto Sa A method for controlling remotely the permissions and rights of a target secure element
EP3560117A4 (en) * 2016-12-22 2020-08-26 Telefonaktiebolaget LM Ericsson (PUBL) RADIO NODE CALIBRATION
CN113660249A (zh) * 2021-08-11 2021-11-16 国网河北省电力有限公司营销服务中心 用于电力物联网环境下的可信接入系统及方法
CN114339489B (zh) * 2021-12-28 2023-11-21 深圳创维数字技术有限公司 Pon系统中终端完成服务器认证的方法、设备及介质

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6314283B1 (en) * 1999-04-28 2001-11-06 Nec America, Inc. Cellular phone subsidy lock
KR100590349B1 (ko) * 1999-12-21 2006-06-15 엘지전자 주식회사 이동통신 단말기의 전화 잠금 제어 방법
JP2002290546A (ja) * 2001-03-28 2002-10-04 Toshiba Corp 移動通信端末とその設定データ変更方法
US20050037732A1 (en) 2003-08-12 2005-02-17 Motorola, Inc. Method and apparatus for locking a wireless communication unit to a selected network
US20060025110A1 (en) * 2004-07-28 2006-02-02 Jun Liu Password protection for mobile phones
US7424284B2 (en) * 2004-11-09 2008-09-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure network/service access
JP4695039B2 (ja) 2005-08-12 2011-06-08 エスアイアイ移動通信株式会社 リモートロックシステムおよび移動通信端末
KR100723700B1 (ko) 2005-08-31 2007-05-30 에스케이 텔레콤주식회사 원격에서 이동통신 단말기의 작동을 제어하는 방법 및시스템
CN101111018A (zh) 2006-07-21 2008-01-23 中兴通讯股份有限公司 一种对phs手机实现锁网及解锁的方法
US20080148044A1 (en) * 2006-12-19 2008-06-19 Motorola, Inc. Locking carrier access in a communication network
WO2008104934A1 (en) * 2007-02-26 2008-09-04 Nokia Corporation Apparatus, method and computer program product providing enforcement of operator lock
CN101141731B (zh) 2007-08-08 2010-06-02 中兴通讯股份有限公司 一种实现终端锁网的方法及装置

Also Published As

Publication number Publication date
EP2384038A1 (en) 2011-11-02
US20110271101A1 (en) 2011-11-03
CN102113358B (zh) 2013-06-05
CN102113358A (zh) 2011-06-29
WO2010075644A1 (zh) 2010-07-08
EP2384038B1 (en) 2016-10-12
EP2384038A4 (en) 2013-04-03
US8732458B2 (en) 2014-05-20

Similar Documents

Publication Publication Date Title
ES2609922T3 (es) Método y sistema para realizar bloqueo y desbloqueo en una red mediante un dispositivo terminal
KR101500825B1 (ko) 무선 네트워크 인증 장치 및 방법
CN1910861B (zh) 公共接入点
US9332575B2 (en) Method and apparatus for enabling connectivity in a communication network
ES2249455T3 (es) Comprobacion de integridad en un sistema de comunicaciones.
JP4369513B2 (ja) 免許不要移動体接続信号通知のための改善された加入者認証
ES2644739T3 (es) Solicitud de certificados digitales
US8565764B2 (en) Telecommunications network access rejection
ES2387599T3 (es) Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica
CN104994118A (zh) 一种基于动态密码的WiFi认证系统及方法
CN103096311B (zh) 家庭基站安全接入的方法及系统
JP4620755B2 (ja) ワイヤレスホームエリアネットワークを動作させる方法及び装置
CN1973495A (zh) 无线局域网关联的设备和方法及相应产品
CN102948185A (zh) 用于在网络中的设备和智能卡之间建立安全和授权连接的方法
IL258598A (en) System and method for method control
CN106850680A (zh) 一种用于轨道交通设备的智能身份认证方法及装置
JP2016506152A (ja) タグ付けによるデバイスの認証
CN109716724A (zh) 与服务器通信的通信设备的双网认证的方法和系统
ES2449223T3 (es) Método, estación móvil, sistema y procesador de red para utilizar en comunicaciones móviles
CN104219650B (zh) 发送用户身份认证信息的方法及用户设备
CN107135205A (zh) 一种网络接入方法和系统
CN106878122A (zh) 一种网络接入方法及系统
CA3156911A1 (en) Wireless communication method for registration procedure
EP3673675B1 (en) Registering user equipment with a visited public land mobile network
CN101877852B (zh) 用户接入控制方法和系统