ES2662591T3 - Procedimiento y servidor para la facilitación de una clave de movilidad - Google Patents

Procedimiento y servidor para la facilitación de una clave de movilidad Download PDF

Info

Publication number
ES2662591T3
ES2662591T3 ES06819187.3T ES06819187T ES2662591T3 ES 2662591 T3 ES2662591 T3 ES 2662591T3 ES 06819187 T ES06819187 T ES 06819187T ES 2662591 T3 ES2662591 T3 ES 2662591T3
Authority
ES
Spain
Prior art keywords
authentication
proxy server
key
user
authentication proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES06819187.3T
Other languages
English (en)
Inventor
Rainer Falk
Christian GÜNTHER
Dirk Kröselberg
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Application granted granted Critical
Publication of ES2662591T3 publication Critical patent/ES2662591T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/061Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Procedimiento para la facilitación al menos de una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para un agente inicial con las siguientes etapas: (a) establecimiento de una conexión de radio entre un terminal móvil de usuario (1) y una red de acceso (4), en donde un servidor proxy de autentificación (8C) de una red intermedia (9) retransmite para la autentificación del usuario al menos un mensaje de autentificación, que contiene una identidad de usuario, entre la red de acceso (4) y una red doméstica (12) del usuario y en el caso de autentificación satisfactoria por un servidor de autorización (11) de la red doméstica (12) se le asigna a la identidad del usuario una clave de movilidad específica al grupo, cuando la identidad de usuario contenida en el mensaje de autentificación ya está almacenada en el servidor proxy de autentificación (8C); (b) recepción por el agente inicial (8B) de un mensaje de solicitud de registro procedente del terminal de usuario (1), que contiene una identidad de usuario; (c) envío de un mensaje de solicitud de clave para una clave de movilidad por el agente inicial (8B) al servidor proxy de autentificación (8C) correspondiente; en donde el mensaje de solicitud de clave contiene la identidad de usuario contenida en el mensaje de solicitud de registro; y (d) facilitación de una clave de movilidad por el servidor proxy de autentificación (8C) para el agente inicial (8B), - cuando se reconoce que el servidor de autentificación (11) de la red doméstica (12) no proporciona una clave de movilidad, y - cuando la identidad de usuario contenida en el mensaje de solicitud de clave concuerda con una de las identidades de usuario almacenadas por el servidor proxy de autentificación (8C).

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
PROCEDIMIENTO Y SERVIDOR PARA LA FACILITACION DE UNA CLAVE DE MOVILIDAD
DESCRIPCIÓN
La invención se refiere a un procedimiento y un servidor proxy para la facilitación de una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para un agente inicial de una red de telefonía, en particular para usuarios anónimos.
Internet con el protocolo TCP/IP ofrece una plataforma para el desarrollo de protocolos más elevados para el sector móvil. Dado que los protocolos de internet están muy extendidos, con ampliaciones de protocolos correspondientes para entornos móviles se puede abrir un gran círculo de usuarios. No obstante, los protocolos de internet convencionales no están concebidos originalmente para un uso móvil. En la transmisión de paquetes de datos de internet convencional se intercambian los paquetes entre ordenadores estacionarios, que no modifican su dirección de red ni migran entre distintas subredes. En las redes de radio con ordenadores móviles se incluyen ordenadores móviles MS con frecuencia en distintas redes. El DHCP (Dynamic Host Configuration Protocol (protocolo de configuración dinámica de host)) posibilita con ayuda de un servidor correspondiente la asignación dinámica de una dirección IP y otros parámetros de configuración a un ordenador en una red. Un ordenador, que se incluye en una red, recibe asignada automáticamente una dirección IP libre por el protocolo DHCP. Si un ordenador móvil ha instalado el DHCP, sólo debe entrar en al alcance de una red local que asiste en la configuración a través del protocolo DHCP. En el caso del protocolo DHCP es posible una concesión de dirección dinámica, es decir, una dirección IP libre se destina automáticamente durante un tiempo determinado. Tras expirar este tiempo se debe plantear nuevamente la solicitud por el ordenador móvil o la dirección IP se puede conceder de otra manera.
Con el DHCP se puede incluir un ordenador móvil sin configuración manual en una red. Como condición sólo debe estar a disposición un servidor DHCP. Un ordenador móvil puede usar así los servicios de la red local y usar, por ejemplo, los ficheros depositados de forma centralizada. No obstante, si un ordenador móvil ofrece por sí mismo servicios, un usuario potencial de servicios puede no encontrar el ordenador móvil, ya que se modifica su dirección IP en cada red en la que se incluye el ordenador móvil. Lo mismo ocurre cuando se modifica una dirección IP durante una conexión TCP existente. Esto conduce a la interrupción de la conexión. Por ello en el caso de Mobile IP un ordenador móvil recibe asignada una dirección IP, que también la mantiene en otra red. En un cambio de red IP convencional es necesario adaptar correspondientemente los ajustes de la dirección IP. No obstante, una adaptación constante de configuraciones IP y de enrutamiento al terminal es casi imposible manualmente. En el caso de mecanismos de configuración automáticos convencionales, la conexión existente se interrumpe en un cambio de la dirección IP. El protocolo MIP (RFC 2002, RFC 2977, RFC3344, RFC3846, RFC3957, RFC3775, RFC3776, RFC4285) asiste en la movilidad de terminales móviles. En los protocolos IP convencionales, el terminal debe adaptar cada vez su dirección IP cuando cambia la subred IP, para que se enruten correctamente los paquetes de datos direccionados al terminal móvil. Para conservar una conexión TCP existente, el terminal móvil debe mantener su dirección IP, dado que un cambio de dirección conduce a una interrupción de la conexión. El protocolo MIP anula este conflicto, en tanto que le permite a un terminal o un nodo móvil (Mobile Node, MN) poseer dos direcciones IP. El protocolo MIP posibilita una conexión transparente entre las dos direcciones, a saber, una dirección doméstica permanente y una segunda dirección de custodia (care-of address). La dirección de custodia es la dirección IP bajo la que se puede localizar actualmente el terminal móvil.
Un agente inicial (Home Agent) es un representante del terminal móvil, en tanto que el terminal móvil no se queda en su red doméstica original. El agente inicial está informado constantemente sobre el paradero del ordenador móvil. El agente inicial representa habitualmente un componente de un router en la red doméstica del terminal móvil. Cuando el terminal móvil se encuentra fuera de la red doméstica, el agente inicial proporciona una función para que se pueda registrar el terminal móvil. Luego el agente inicial transmite los paquetes de datos direccionados al terminal móvil a la subred actual del terminal móvil.
Un agente externo (Foreign Agent) se encuentra en la subred en la que se mueve el terminal móvil. El agente externo transmite los paquetes de datos entrantes al terminal móvil o al ordenador móvil. El agente externo se encuentra en una así denominada red externa (Visited Network). El agente externo representa igualmente habitualmente un componente de un router. El agente externo direcciona todos los paquetes de datos móviles administrativos entre el terminal móvil y su agente inicial. El agente externo desempaqueta los paquetes de datos IP tunelados, enviados por el agente inicial y retransmite sus datos al terminal móvil.
La dirección doméstica del terminal móvil es la dirección bajo la que se puede localizar permanentemente el terminal móvil. La dirección doméstica tiene el mismo prefijo de dirección que el agente inicial. La dirección de custodia es aquella dirección IP que usa el terminal móvil en la red externa.
El agente inicial cuida una así denominada tabla de enlaces de movilidad (MBT: Mobility Binding Table). Las entradas en esta tabla sirven para asociar las dos direcciones, es decir, la dirección doméstica y la dirección de custodia, de un terminal móvil entre sí y redireccionar correspondientemente los paquetes de datos. La tabla MBT contiene las entradas sobre la dirección doméstica, la dirección de custodia y un dato sobre el lapso de
5
10
15
20
25
30
35
40
45
50
55
60
65
tiempo en el que es válida esta asociación (Life Time). La figura 1 muestra un ejemplo de una tabla de enlaces de movilidad según el estado de la técnica.
El agente externo (FA) contiene una lista de visitantes o Visitor List (VL: Visitor List), que contiene la información sobre los terminales móviles que se encuentran precisamente en la red IP del agente externo. La figura 2 muestra un ejemplo de una lista de visitantes de este tipo según el estado de la técnica.
Para que un ordenador móvil se pueda incluir en una red, debe averiguar en primer lugar si se encuentra en su red doméstica o una red externa. Adicionalmente el terminal móvil debe averiguar que ordenador es el agente inicial o el agente externo en la subred. Estas informaciones se determinan por el así denominado Agent Discovery (descubrimiento de agente).
Gracias al registro subsiguiente el terminal móvil puede comunicar su ubicación actual a su agente inicial. Para ello el ordenador móvil o el terminal móvil le envía al agente inicial la dirección de custodia. Para el registro el ordenador móvil envía una Registration-Request o una solicitud de registro al agente inicial. El agente inicial (HA) inscribe la dirección de custodia en su lista y responde con una Registration Reply o una respuesta de registro. Sin embargo, en este caso existe un problema de seguridad. Dado que cada ordenador le puede enviar en principio a un agente inicial una solicitud de registro, se podría simular de manera sencilla ante un agente inicial que un ordenador se ha movido a otra red. Así un ordenador externo podría hacerse cargo de todos los paquetes de datos de un ordenador móvil o terminal móvil, sin que un emisor se entere de ello. Para impedirlo, el ordenador móvil y el agente inicial disponen de claves secretas comunes. Si un ordenador móvil regresa a su red doméstica, se da de baja en el agente inicial, dado que el ordenador móvil puede recibir ahora todos los paquetes de datos por sí mismo. Una red de radio móvil debe presentar entre otros las siguientes propiedades de seguridad. Las informaciones sólo se deben hacer accesibles para interlocutores de comunicación deseados, es decir, los escuchas no deseados no tienen que obtener ningún acceso a los datos transmitidos. La red de radio móvil debe presentar así la propiedad de la confidencialidad (Confidentiality). Junto a ello se debe dar la autenticidad. La autenticidad (Authenticity) le permite a un interlocutor de comunicación constatar sin lugar a duda si se ha establecido una comunicación realmente con un interlocutor de comunicación deseado, o si una parte externa se hace pasar como interlocutor de comunicación. Las autentificaciones se pueden realizar por mensaje o por conexión. Si se autentifica sobre la base de conexiones, ahora se identifica el interlocutor de comunicación una vez al inicio de una sesión (Session). Para el desarrollo posterior de la sesión se parte de que los mensajes siguientes proceden además del emisor correspondiente. Aun cuando está fijada la identidad de un interlocutor de comunicación, es decir, el interlocutor de comunicación está autentificado, puede ocurrir el caso de que este interlocutor de comunicación no pueda acceder a todos los recursos o no pueda usar todos los servicios a través de la red. Una autorización correspondiente presupone en este caso una autentificación anterior del interlocutor de comunicación.
En el caso de redes de datos móviles, los mensajes deben recorrer trayectos más largos a través de interfaces aéreas y por consiguiente son fácilmente localizables por agresores potenciales. En el caso de redes de datos móviles e inalámbricas, los aspectos de seguridad desempeñan por ello un papel especial. Las técnicas de encriptación representan un medio esencial para el aumento de la seguridad en las redes de datos. Mediante la encriptación es posible transmitir datos a través de vías de comunicación inseguras, por ejemplo, a través de interfaces aéreas, sin que terceros no autorizados logren acceso a los datos. Para el encriptado se transforman los datos, es decir, el así denominado texto no codificado en texto cifrado con la ayuda de un algoritmo de encriptación. El texto encriptado se puede transportar a través del canal de transmisión de datos inseguro y desencriptarse o descifrarse a continuación.
Como una tecnología de acceso inalámbrica muy prometedora se propone WiMax (Worldwide Interoperability for Microwave Access (interoperabilidad mundial para acceso por microondas)) como nuevo estándar que se usa para la transmisión de radio IEEE 802.16. Con WiMax se deben atender gracias estaciones emisoras un área de hasta 50 km con tasas de datos de por encima de 100 Mbit por segundo.
La figura 3 muestra un modelo de referencia para una red de radio WiMax. Un terminal móvil MS se sitúa en el área de una red de acceso (ASN: Access Serving Network (red de servicio de acceso)). La red de acceso ASN está conectada a través de al menos una red visitada (Visited Connectivity Service Network, VCSN (red visitada de servicio de conectividad)) o red intermedia con una red doméstica HCSN (Home Connectivity Service Network (red doméstica de servicio de conectividad). Las distintas redes están conectadas entre sí a través de interfaces o puntos de referencia R. El agente inicial HA de la estación móvil MS se sitúa en la red doméstica HCSN o en una de las redes visitadas VCSN.
WiMax asiste en dos variantes de realización de Mobile IP, así denominado MIP de cliente (CMIP), en el que la estación móvil misma realiza la función de cliente MIP y proxy MIP (PMIP), en el que la función de cliente MIP se realiza por la red de acceso WiMax. La funcionalidad prevista para ello en la ASN se designa como nodo móvil proxy (Proxy Mobile Node, PMN) o como cliente PMIP. De este modo MIP también se puede usar con estaciones móviles que no asisten en sí ningún MIP.
5
10
15
20
25
30
35
40
45
50
55
60
65
La figura 4 muestra el establecimiento de conexión en el caso de proxy MIP cuando el agente inicial se sitúa en la red visitada según el estado de la técnica.
Después de un establecimiento de conexión de radio entre el terminal móvil y una estación base se realiza en primer lugar una autentificación de acceso. La función de la autentificación, la autorización y la contabilidad se realiza mediante un así denominado servidor AAA (AAA: Authentication Autorización and Accounting). Entre el terminal móvil MS y el servidor AAA de la red doméstica (HAAA) se intercambian mensajes de autentificación mediante los que se obtienen la dirección del agente inicial y una clave de autentificación. El servidor de autentificación en la red doméstica contiene los datos de perfil del usuario. El servidor AAA contiene un mensaje de solicitud de autentificación, que contiene una identidad de usuario del terminal móvil. El servidor AAA genera después de la autentificación satisfactoria una clave MSK (MSK: Master Session Key (clave de sesión maestro)) para la protección el trayecto de transmisión de datos entre el terminal móvil MS y la estación base de la red de acceso ASN. Esta clave MSK se transmite del servidor AAA de la red doméstica a través de la red intermedia CSN a la red de acceso ASN.
Después de la autentificación de acceso se configura, según se puede ver en la figura 4, el servidor proxy DHCP en la red de acceso ASN. Si la dirección IP y la configuración host ya está contenida en el mensaje de respuesta AAA, toda la información se descarga en el servidor proxy DHCP.
Después de la autentificación y autorización satisfactorias, la estación móvil o el terminal móvil MS envía un mensaje de descubrimiento DHCP y se realiza una asignación de dirección IP.
Si la red de acceso ASN asiste tanto en la movilidad PMIP como también CMIP, el agente externo informa a la función de entrega ASN, en tanto que envía un mensaje de texto de movilidad R3. En redes, que sólo puede favorecer el PMIP, se puede prescindir de ello. Después de que se ha leído la dirección doméstica, ésta se le retransmite al cliente PMIP.
A continuación se realiza un registro MIP. En el registro se le informa al agente inicial sobre la ubicación actual del terminal móvil. Para el registro el ordenador móvil envía la solicitud de registro al agente inicial, que contiene la dirección de custodia actual. El agente inicial inscribe la dirección de custodia en una lista gestionada por él y responde con una respuesta de registro (Registration Reply). Dado que cada ordenador puede enviar en principio a un agente inicial una solicitud de registro, se podría simular de manera sencilla ante un agente inicial que un ordenador se ha movido a otra red. Para impedirlo tanto el ordenador móvil como también el agente inicial disponen de una clave común secreta, a saber, una clave MIP. Si el agente inicial (HA) no conoce la clave MIP, la configura para que se comunique con un servidor AAA doméstico.
Tras la conclusión del establecimiento de conexión representado en la figura 4, el terminal móvil ha obtenido una dirección doméstica y está registrado en el agente inicial.
Sin embargo, el establecimiento de conexión representado en la figura 4 no es posible cuando el servidor AAA doméstico no proporciona los atributos o datos esperados por el protocolo WiMax. Si, por ejemplo, en el caso del servidor AAA doméstico se trata de un servidor 3GPP u otro servidor AAA, que no asiste el interfuncionamiento WiMax, entonces éste no es capaz de poner a disposición los atributos de datos necesarios para el registro MIP, en particular la dirección doméstica y una clave criptográfica. El agente inicial HA no obtiene por consiguiente ninguna clave MIP (MSK: Master Session Key) y rechaza el usuario.
El documento de trabajo IETF (borrador de internet) de Nakhjiri et. al., “EAP based Proxy Mobile IP key bootstrapping for WiMAX” da a conocer producir una clave común entre un nodo móvil y un agente inicial, de modo que se puedan transmitir los mensajes de registro MIP autentificados, y explica los principios para ello.
La publicación de la conferencia de Daehyon et al., “Architecture for 3G and 802.16 Wireless Networks Integration with QoS Support” propone una arquitectura de red que conecta una red 3G con una red 802-16 y a este respecto proporciona un respaldo de calidad de servicio para aplicaciones multimedia.
El documento WO 2007/011995 A1 da a conocer un sistema para la manipulación de registros de Mobile IP seguros usando un nodo móvil proxy y un servidor AAA, y detalla los procesos entre los nodos móviles proxy, agente inicial y servidor de seguridad, en particular con vistas a una clave PMN-HA.
El documento del estándar IETF (RFC 3846) de Johansson et al., "Mobile IPv4 Extension for Carrying Network Access Identifiers" propone una extensión de soporte NAI que se puede usar en solicitudes y respuestas de registro de Mobile IP.
El documento del estándar IETF (RFC 4004) de Calhoun et al., “Diameter Mobile IPv4 Application” muestra el uso de un servidor proxy AAA, que actúa en representación para cada servidor AAA que pudiera usar el agente inicial.
5
10
15
20
25
30
35
40
45
50
55
60
65
El objetivo de la presente invención es crear un procedimiento para la facilitación de una clave de movilidad para una red de telefonía móvil, en la que el servidor de autentificación de la red doméstica no asista ningún registro MIP.
Este objetivo se consigue según la invención mediante un procedimiento con las características indicadas en la reivindicación 1.
La invención crea un procedimiento para la facilitación al menos de una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para un agente inicial con las siguientes etapas, a saber:
- establecimiento de una conexión de radio entre un terminal móvil de usuario y una red de acceso,
en donde un servidor proxy de autentificación de una red intermedia retransmite para la autentificación del usuario al menos un mensaje de autentificación, que contiene una identidad de usuario, entre la red de acceso y una red doméstica del usuario y en el caso de autentificación satisfactoria por un servidor de autorización de la red doméstica se le asigna a la identidad del usuario una clave de movilidad específica al grupo, cuando la identidad de usuario contenida en el mensaje de autentificación ya está almacenada en el servidor proxy de autentificación;
- recepción por el agente inicial de un mensaje de solicitud de registro que procede de un terminal de usuario, que contiene una identidad de usuario;
- envío de un mensaje de solicitud de clave para una clave de movilidad por el agente inicial al servidor proxy de autentificación correspondiente;
en donde el mensaje de solicitud de clave contiene la identidad de usuario contenida en el mensaje de solicitud de registro; y
- facilitación de una clave de movilidad por el servidor proxy de autentificación para el agente inicial, cuando la identidad de usuario contenida en el mensaje de clave concuerda con una de las identidades de usuario almacenadas por el servidor proxy de autentificación.
En una forma de realización preferida del procedimiento según la invención, el servidor proxy de autentificación genera en el caso de autentificación satisfactoria por el servidor de autentificación de la red doméstica una clave de movilidad específica al usuario y la asigna a la identidad de usuario, cuando la identidad de usuario contenida en el mensaje de autentificación todavía no está almacenada en el servidor proxy de autentificación.
En una forma de realización preferida del procedimiento según la invención se borra una clave de movilidad específica al usuario generada después de un corto lapso de tiempo predeterminado por el servidor proxy de autentificación.
En una forma de realización preferida del procedimiento, una clave de movilidad específica al usuario generada se borra por el servidor proxy de autentificación después de su facilitación para el agente inicial.
En una forma de realización preferida del procedimiento según la invención, la clave de movilidad específica al grupo se borra después de un largo lapso de tiempo predeterminado por el servidor proxy de autentificación.
En una forma de realización preferida del procedimiento según la invención, el servidor proxy de autentificación actualiza un sello de tiempo correspondiente a la identidad de usuario y pone una bandera correspondiente, que indica que la clave de movilidad correspondiente es una clave de movilidad específica al grupo, cuando la identidad de usuario contenida en el mensaje de autentificación ya está almacenada en el servidor proxy de autentificación.
En una forma de realización preferida del procedimiento según la invención, la clave de movilidad se genera al azar por el servidor proxy de autentificación.
En una forma de realización preferida del procedimiento según la invención, el servidor de autentificación de la red doméstica transmite en el caso de autentificación satisfactoria una clave MSK contenida en un mensaje de autentificación a través del servidor proxy de autentificación a un cliente de autentificación de la red de acceso.
En una forma de realización alternativa del procedimiento según la invención, la clave de movilidad no se genera al azar por el servidor proxy de autentificación, sino que se deriva por el servidor proxy de autentificación de la clave MSK transmitida.
En una forma de realización del procedimiento según la invención, la clave de movilidad forma una parte de la clave MSK transmitida.
En una forma de realización alternativa del procedimiento según la invención, la clave de movilidad es idéntica a la clave MSK transmitida.
5
10
15
20
25
30
35
40
45
50
55
60
65
En una forma de realización del procedimiento según la invención, los mensajes de autentificación se transmiten según un protocolo de transmisión de datos Radius.
En una forma de realización alternativa del procedimiento según la invención, los mensajes de autentificación se transmiten según un protocolo de transmisión de datos Diameter.
En una forma de realización preferida del procedimiento según la invención, la red de acceso se forma por una red de acceso WiMax ASN.
En una forma de realización preferida del procedimiento según la invención, la red de acceso se forma por una red intermedia WiMax CSN.
En una primera forma de realización del procedimiento según la invención, la red doméstica es una red 3GPP.
En una forma de realización alternativa del procedimiento según la invención, la red doméstica se forma por una red que proporciona una infraestructura AAA para usuarios WLAN (red WLAN).
En una forma de realización preferida del procedimiento según la invención, la identidad de usuario se forma por un identificador de acceso de red NAI (Network Access Identifier).
En una forma de realización preferida del procedimiento según la invención, la clave de movilidad se le proporciona adicionalmente a un cliente PMIP de la red de acceso.
En una forma de realización preferida del procedimiento según la invención están presentes varias redes intermedias entre la red de acceso y la red doméstica.
En una primera forma de realización del procedimiento según la invención, el agente inicial se sitúa en la red doméstica.
En una forma de realización alternativa del procedimiento según la invención, el agente inicial se sitúa en una de las redes intermedias.
En una primera forma de realización del procedimiento según la invención, el servidor proxy de autentificación está previsto en la red doméstica.
En una forma de realización alternativa del procedimiento según la invención, el servidor proxy de autentificación está previsto en una de las redes intermedias.
La invención crea además un servidor proxy de autentificación para la facilitación de una clave de movilidad para un aseguramiento criptográfico de mensajes de señalización de movilidad, en donde el servidor proxy de autentificación le asocia después de la autentificación satisfactoria de un usuario mediante un mensaje de autentificación, que contiene una identidad de usuario, a la identidad de usuario una clave de movilidad específica al grupo, cuando la identidad de usuario correspondiente ya está almacenada en el servidor proxy de autentificación.
A continuación se describen formas de realización preferidas del procedimiento según la invención y del servidor proxy de autentificación según la invención en referencia a las figuras adjuntas para la explicación de las características esenciales para la invención.
Muestran:
Figura 1
Figura 2
Figura 3
Figura 4
Figura 5
Figura 6
Figura 7
un ejemplo de una tabla de enlaces de movilidad según el estado de la técnica; un ejemplo para una lista de visitantes según el estado de la técnica; una estructura de red de referencia para una red de radio WiMax;
un establecimiento de conexión en una red Wi-Max convencional según el estado de la técnica;
una estructura de red según una forma de realización preferida del procedimiento según la invención;
un diagrama de desarrollo para la explicación del modo de funcionamiento del procedimiento según la invención;
otro diagrama de desarrollo para la explicación del modo de funcionamiento del procedimiento según la invención;
5
10
15
20
25
30
35
40
45
50
55
60
65
Figura 8 un diagrama para la explicación del modo de funcionamiento del procedimiento según la invención.
Figura 9 un ejemplo de una tabla que está almacenada en una forma de realización preferida del servidor proxy de autentificación según la invención.
Según se puede reconocer de la figura 5, un terminal móvil 1 está conectado a través de una interfaz inalámbrica 2 con una estación base 3 de una red de acceso 4. En el caso del terminal móvil 1 se trata de un terminal móvil cualquiera, por ejemplo, un portátil, una PDA, un teléfono móvil u otro terminal móvil. La estación base 3 de la red de acceso 4 está conectada con una pasarela de red de acceso 6 a través de una línea de transmisión de datos 5. En el ordenador de la pasarela de acceso 6 están integradas preferentemente otras funcionalidades, en particular un agente externo 6A, un cliente PMIP 6B, un servidor de cliente AAA 6C y un servidor proxy DHCP 6D. El agente externo 6A es un router que pone a disposición servicios de enrutamiento para el terminal móvil 1. Los paquetes de datos dirigidos al terminal móvil 1 se transmiten de forma tunelada y se desempaquetan por el agente externo 6A.
La pasarela 6 de la red de acceso 4 está conectada con un ordenador 8 de una red intermedia 9 a través de una interfaz 7. El ordenador 8 contiene un servidor DCHP 8A, un agente inicial 8B y un servidor proxy AAA 8C. El agente inicial 8B es el representante del terminal móvil 1, cuando éste no se sitúa en su red doméstica original. El agente inicial 8B está informado constantemente sobre el paradero del ordenador móvil 1. Los paquetes de datos para el terminal móvil 1 se transmiten en primer lugar al agente inicial y se transfiere desde el agente inicial de forma tunelada al agente externo 6A. A la inversa los paquetes de datos, que se emiten por el terminal móvil 1, se pueden enviar directamente al interlocutor de comunicación correspondiente. Los paquetes de datos del terminal móvil 1 contienen a este respecto la dirección doméstica como dirección de remitente. La dirección doméstica tiene el mismo prefijo, es decir, la dirección de red y dirección de subred, que el agente inicial 8B. Los paquetes de datos, que se envían a la dirección doméstica del terminal móvil 1, se interceptan por el agente inicial 8B y se transmiten de forma tunelada del agente inicial 8B a la dirección de custodia del terminal móvil 1 y finalmente se reciben en el punto final del túnel, es decir, por el agente externo 6A o el mismo terminal móvil.
El ordenador 8 de la red intermedia 9 está conectado con un servidor de autentificación 11 de una red doméstica 12 a través de otra interfaz 10. En el caso de una red doméstica 12 se trata, por ejemplo, una red 3GPP para UMTS. En una forma de realización, en el caso del servidor 11 se trata un servidor de autentificación de una red WLAN. El servidor de autentificación 11 representada en la figura 5 no asiste un registro MIP.
En cuanto el servidor proxy AAA 8C del ordenador 8 reconoce que el servidor AAA 11 de la red doméstica 12 no asiste un MIP (CMIP/PMIP), la facilitación de una clave de movilidad para el aseguramiento criptográfica de mensajes de señalización de movilidad para el agente inicial 8B se realiza según el procedimiento según la invención. El servidor proxy AAA 8B reconoce la falta de asistencia CMIP/PMIP, por ejemplo, porque no se proporcionan los atributos MIP por el servidor 11 de la red doméstica 12 a una solicitud. Para el aseguramiento criptográfico de los mensajes de señalización de movilidad se necesita una clave de movilidad común (clave MIP) para el agente inicial 8B y el terminal móvil 1 para el caso PMIP o una clave de movilidad común para el agente inicial 8B y un cliente PMIP 6B para el caso PMIP. Si la red doméstica 12 es apta al interfuncionamiento WiMax, el agente inicial 8B obtiene esta clave MIP por el servidor AAA de la red doméstica 12. Sin embargo, según está representado en la figura 5, si el servidor AAA 11 no es capaz de poner a disposición los atributos MIP necesarios a la solicitud correspondiente del agente inicial 8B, se activa el procedimiento según la invención. El servidor 3GPP AAA 11, según está representado en la figura 5, dado que no puede interpretar la solicitud del agente inicial 8B, no puede proporcionar ninguna clave criptográfica correspondiente para el aseguramiento de los mensajes de señalización de movilización. En el procedimiento según la invención, el servidor de autentificación 11 de la red doméstica 12 no apto a WiMax se deja de forma invariable y la clave de movilidad se le proporciona por el servidor proxy AAA 8C al agente inicial 8B. Después de que se ha reconocido que el servidor de autentificación 11 de la red doméstica 12 no proporciona ninguna clave de movilidad, una así denominada funcionalidad proxy Home MIP se activa y para esta sesión AAA se aplica un juego de datos por el servidor proxy de autentificación 8C. La funcionalidad requerida PMIP/CMIP no se pone a disposición así según la invención por el servidor de autentificación 11 de la red doméstica 12, sino mediante el servidor proxy AAA de la red intermedia 9, que se sitúa en el camino de comunicación entre el servidor de autentificación 11 de la red 3GPP y la pasarela 6 de la red de acceso 4.
La figura 6 muestra un diagrama de desarrollo para la autentificación de un terminal móvil 1 en una forma de realización del procedimiento según la invención.
Después de una etapa de inicio, en una etapa S1 se establece en primer lugar una conexión de radio entre el terminal móvil 1 y una estación base 3 de la red de acceso 4 en la etapa S1. A continuación en la etapa S2 se transmiten los mensajes de autentificación entre la red de acceso 4 y la red doméstica 12 mediante el servidor proxy de autentificación 8C de la red intermedia 9. Los mensajes de autentificación contienen una identidad de usuario para la identificación del terminal móvil 1 correspondiente. En el caso de la identidad de usuario se trata, por ejemplo, de un identificador de acceso de red NAI. Alternativamente la identidad de usuario se forma, por ejemplo, por una dirección doméstica del terminal móvil 1. Los mensajes de autentificación transmitidos por el
5
10
15
20
25
30
35
40
45
50
55
60
65
servidor proxy AAA 8C llegan al servidor de autentificación 11 de la red doméstica 12. El servidor de autentificación 11 de la red doméstica 12 realiza entonces la autentificación del usuario. Si la autentificación es satisfactoria, el servidor de autentificación 11 envía un mensaje correspondiente a través del servidor proxy de autentificación 8C de la red intermedia 9 a la red de acceso 4. En la etapa S3 el servidor proxy de autentificación 8C de la red intermedia 9 examina si la autentificación se ha terminado satisfactoriamente por el servidor de autentificación 11 de la red doméstica 12. Lo reconoce, por ejemplo, en una comunicación de éxito correspondiente (comunicación de "success") del servidor de autentificación 11. Si el servidor proxy de autentificación 8C reconoce mediante los mensajes transmitidos por la red doméstica 12 a la red de acceso 4 que la autentificación de un usuario se ha terminado de forma satisfactoria, mediante el servidor proxy de autentificación 8C se examina en la etapa S4, si la identidad de usuario contenida en el mensaje de autentificación ya está almacenada en el servidor proxy de autentificación 8C.
Si la identidad de usuario ya está almacenada de forma intermedia en el servidor proxy de autentificación 8C, a la identidad de usuario se le asocia en la etapa S5 una clave de movilidad específica al grupo. A este respecto se actualiza preferentemente un sello de tiempo correspondiente a la identidad de usuario y además se pone una bandera correspondiente, que indica que la clave de movilidad correspondiente es una clave de movilidad específica al grupo. A las identidades de usuario idénticas o iguales se les proporciona por consiguiente una clave de movilidad idéntica o específica al grupo mediante el servidor proxy de autentificación 8C. Esto posibilita el uso de identidades de usuario anónimas o identificadores de red anónimos NAI (Network Access Identifier). Una identidad de usuario es anónima cuando no está asociada de forma unívoca a un usuario determinado. Una identidad de usuario anónima de este tipo suena, por ejemplo, "
user@vodafone.com" según se muestra en la primera línea de la tabla representada en la figura 9. La clave de movilidad específica al grupo, puesta a disposición para la identidad de usuario anónima se lee en el ejemplo representado en la figura 9 como "12AF". El tipo de clave de la clave de movilidad está caracterizado como específica al grupo a través de una bandera o carácter indicador correspondiente "group specific key".
Si en la etapa S4 se constata que la identidad de usuario contenida en el mensaje de autentificación todavía no está almacenado en el servidor proxy de autentificación 8C, en la etapa S6 se genera una clave de movilidad específica al usuario y se le asocia a la identidad de usuario correspondiente. La clave correspondiente se caracteriza como específica al usuario y se actualiza el sello temporal correspondiente. En el ejemplo representado en la figura 9, en la primera aparición de la identidad de usuario "
glyn@isarpatent.com" se genera la clave de movilidad específica al usuario "14BC" y se caracteriza como clave específica al usuario "user specific key". En una forma de realización preferida, la clave de movilidad específica al usuario se deriva por el servidor proxy de autentificación 8C de una clave MSK transmitida, que está contenida en el mensaje de autentificación, que se transmite a través del servidor proxy de autentificación 8C hacia un cliente de autentificación 6C de la red de acceso
En una forma de realización preferida del procedimiento según la invención, la clave de movilidad específica al grupo asociada a la etapa S5 se genera al azar por el servidor proxy de autentificación 8C. En el ejemplo representado en la figura 9, al aparecer de nuevo la identidad de usuario "
glyn@isarpatent.com" se genera, en una primera forma de realización, otra clave de movilidad específica al usuario generada al azar o la clave de movilidad específica al usuario ya presente "14BC" se caracteriza, en una forma de realización alternativa, al aparecer de nuevo la identidad de usuario como clave específica al usuario, en tanto que la bandera "user specific key" se sobrescribe por la bandera "group specific key".
Mediante el procedimiento según la invención se garantiza que no se produzca una colisión o conflictos cuando dos usuarios usan al azar o de forma deseada la misma identidad de usuario.
En una forma de realización preferida del procedimiento según la invención, la clave de movilidad específica al usuario genera en la etapa S6 se borra por un lapso de tiempo corto predeterminado, por ejemplo después de algunos segundos, usando un sello de tiempo por parte del servidor proxy de autentificación 8C.
El borrado de la clave de movilidad específica al grupo de los participantes anónimos se realiza después de un lapso de tiempo esencialmente más largo de, por ejemplo, algunos segundos o no se realiza en absoluto. Es necesario que se pueden registrar simultáneamente varios usuarios PMIP, que usan la misma identidad de usuario anónima.
En una forma de realización alternativa del procedimiento según la invención, la clave de movilidad específica al grupo no se genera al azar, sino que se preconfigura de forma fija.
En el procedimiento según la invención todos los usuarios anónimos contienen asociada la misma clave de movilidad. Mediante el procedimiento según la invención es posible usar identidades de usuario anónimas en el marco de la autentificación de la solicitud en una red WiMax. De este modo es posible la asistencia de identidades de usuario anónimas o NAI anónimos. El procedimiento según la invención permite además una simplificación de complejidad significativa de la gestión de las relaciones de seguridad requeridas para Mobile IP y PMIP. Esto conduce a una necesidad de almacenamiento dinámica claramente reducida.
5
10
15
20
25
30
35
40
45
50
55
60
65
Según se puede reconocer por la figura 7, cuando después de la etapa de inicio el agente inicial 8B obtiene en un instante posterior un mensaje de solicitud de registro, el agente inicial 8B envía en la etapa S8 un mensaje de solicitud de clave correspondiente a su servidor proxy de autentificación 8C. En el mensaje de solicitud de registro obtenido está contenida una identidad de usuario de un terminal móvil 1. El mensaje de solicitud de clave generado acto seguido correspondiente del agente inicial 8B al servidor proxy de autentificación 8C contiene igualmente esta identidad de usuario. El servidor proxy de autentificación 8C examina en la etapa S9 si la identidad de usuario contenida en el mensaje de solicitud de clave concuerda con una de las identidades de usuario almacenadas por él en la etapa S4. Si éste es el caso, el servidor proxy de autentificación 8C pone a disposición en la etapa S10 una clave de movilidad para el aseguramiento criptográfico de mensajes de aseguramiento de movilidad. El servidor proxy de autentificación 8C transmite la clave de movilidad proporcionada al agente inicial 8B. Preferentemente la clave de movilidad también se le transmite a un servidor de cliente de autentificación 6D de la red de acceso 4.
La clave de movilidad proporcionada en la etapa S10 se genera al azar en una primera forma de realización del procedimiento según la invención mediante el servidor proxy de autentificación 8C.
En una forma de realización alternativa, la clave de movilidad (clave MIP) se deriva por el servidor proxy de autentificación 8C de una clave MSK (Master Session Key), que ha retransmitido el servidor proxy de autentificación 8C del servidor de autentificación 11 a la red de acceso 4. A este respecto, la clave MIP se puede derivar de la clave MSK según una función de derivación de clave cualquiera, por ejemplo, mediante una función hash. La función hash reduce los datos de cualquier tamaño a una así denominada huella digital. SHA-1 representa un ejemplo para una función hash de este tipo. A este respecto los datos se derivan de como máximo 264 bits a 160 bits. mD5 es una función hash alternativa. MD5 divide como SHA-1 la entrada en bloques del tamaño de 500 bits y genera valores hash de 128 bits de tamaño.
En una forma de realización alternativa, la clave de movilidad puesta a disposición se forma por una parte de la clave MSK 12 recibida por el servidor proxy de autentificación 8C.
En otra forma de realización alternativa, la clave de movilidad proporcionada es idéntica a la clave MSK transmitida.
En formas de realización preferidas, los mensajes de autentificación se transmiten según el protocolo Radius o Diameter.
En el procedimiento según la invención, la red intermedia 9 ofrece la funcionalidad Home MIP si no se asiste por la red doméstica 12. De este modo también es posible hacer posible en redes domésticas, que no asisten ningún MIP, por ejemplo en redes 3GPP, una macromovilidad en base a MIP. MIP se usa dentro de la red de acceso 4 y de la red intermedia 9, para realizar una entrega entre las distintas redes de acceso 4. En el caso del registro MIP del agente externo 6A, el agente inicial 8B de la red intermedia 9 solicitud la clave de movilidad del servidor proxy de autentificación 8C correspondiente. A este respecto usa la identidad de usuario correspondiente, es decir, por ejemplo, una identificación de acceso de red NAI (Network Access Identifier) o la dirección doméstica del terminal móvil 1. Este mensaje de solicitud de clave se responde por el servidor proxy de autentificación 8C de forma local si se aplica un juego de datos correspondiente. Para que el servidor proxy de autentificación 8C pueda poner a disposición la clave correspondiente, está diseñado de manera que interpreta los mensajes, que se intercambian entre el servidor de autentificación 11 de la red doméstica 12 y un autentificador en la red de acceso 4 durante la autentificación de la red móvil 1.
El agente inicial 8B se sitúa preferentemente, según se representa en la figura 5, en la red intermedia 9. En una forma de realización alternativa, el agente inicial 8B se sitúa en la red doméstica 12.
En una forma de realización alternativa del procedimiento según la invención se usa como funcionalidad IP móvil Mobile IPV6 [RFC3775].
En una forma de realización preferida del procedimiento según la invención, la clave de movilidad se solicitud por el agente inicial 8B sólo una vez mediante un mensaje de solicitud de clave del servidor proxy de autentificación 8C.
Con el procedimiento según la invención se posibilita el uso de servidores AAA heredados, como por ejemplo servidores WLAN o 3GPP para redes WiMax, aunque estos servidores no proporcionan la funcionalidad CMIP/PMIP esperada por las redes WiMax. Con el procedimiento según la invención, pese al uso de servidores AAA heredados en la red doméstica 12 es posible una macromovilidad basada en PMIP. Un operador de red de una red WLAN o 3GPP no debe asistir en sí por ello PMIP y puede posibilitar a sus clientes un roaming / interfuncionamiento con redes de radio WiMax. Con el procedimiento según la invención es posible en particular permitir el interfuncionamiento WiMax con la asistencia PMIP también terminales sin asistencia de Mobile IP. En
particular el procedimiento según la invención posibilita un interfuncionamiento WiMax 3GPP de forma análoga al acceso IP directo WLAN especificado actualmente.
La figura 8 muestra un diagrama de flujo de mensajes de una forma de realización preferida del procedimiento 5 según la invención. En la forma de realización representada en la figura 8, la red de acceso 4 y la red intermedia 9 se compone de una red WiMax. La red doméstica 12 se forma por una red 3GPP. El servidor proxy de autentificación 8C previsto en la red intermedia asocia a la estación móvil MS2 la misma clave de movilidad específica al grupo que la estación móvil MS1, cuando la identidad de usuario contenida en el mensaje de autentificación para la segunda estación móvil MS2 ya está almacenada en el servidor proxy de autentificación 10 8C de la red WiMax 2. El mensaje de solicitud de clave, que contiene la identidad de usuario, se responde en el procedimiento según la invención por el servidor proxy de autentificación 8C de la red intermedia 9. El procedimiento según la invención posibilita por consiguiente una gestión de macromovilidad en redes WiMax sin asistencia de la red doméstica.
15 La figura 9 muestra un ejemplo de una tabla, que está almacenada preferentemente dentro del servidor proxy de autentificación 8C de la red intermedia 9, para la clarificación del procedimiento según la invención.

Claims (35)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Procedimiento para la facilitación al menos de una clave de movilidad para el aseguramiento criptográfico de mensajes de señalización de movilidad para un agente inicial con las siguientes etapas:
    (a) establecimiento de una conexión de radio entre un terminal móvil de usuario (1) y una red de acceso (4),
    en donde un servidor proxy de autentificación (8C) de una red intermedia (9) retransmite para la autentificación del usuario al menos un mensaje de autentificación, que contiene una identidad de usuario, entre la red de acceso (4) y una red doméstica (12) del usuario y en el caso de autentificación satisfactoria por un servidor de autorización (11) de la red doméstica (12) se le asigna a la identidad del usuario una clave de movilidad específica al grupo, cuando la identidad de usuario contenida en el mensaje de autentificación ya está almacenada en el servidor proxy de autentificación (8C);
    (b) recepción por el agente inicial (8B) de un mensaje de solicitud de registro procedente del terminal de usuario (1), que contiene una identidad de usuario;
    (c) envío de un mensaje de solicitud de clave para una clave de movilidad por el agente inicial (8B) al servidor proxy de autentificación (8C) correspondiente;
    en donde el mensaje de solicitud de clave contiene la identidad de usuario contenida en el mensaje de solicitud de registro; y
    (d) facilitación de una clave de movilidad por el servidor proxy de autentificación (8C) para el agente inicial (8B),
    - cuando se reconoce que el servidor de autentificación (11) de la red doméstica (12) no proporciona una clave de movilidad, y
    - cuando la identidad de usuario contenida en el mensaje de solicitud de clave concuerda con una de las identidades de usuario almacenadas por el servidor proxy de autentificación (8C).
  2. 2. Procedimiento según la reivindicación 1,
    en donde el servidor proxy de autentificación (8C) genera una clave de movilidad específica al usuario en el caso de autentificación satisfactoria por el servidor de autentificación (11) de la red doméstica (12) y la asocia a la identidad de usuario, cuando la identidad de usuario contenida en el mensaje de autentificación todavía no está almacenada en el servidor proxy de autentificación (8C).
  3. 3. Procedimiento según la reivindicación 1,
    en donde una clave de movilidad específica al usuario generada se borra por el servidor proxy de autentificación (8C) después de un corto lapso de tiempo predeterminado.
  4. 4. Procedimiento según la reivindicación 1,
    en donde una clave de movilidad específica al usuario generada se borra por el servidor proxy de autentificación (8C) después de su facilitación para el agente inicial (8B).
  5. 5. Procedimiento según la reivindicación 1,
    en donde una clave de movilidad específica al grupo se borra por el servidor proxy de autentificación (8C) después de un largo lapso de tiempo predeterminado.
  6. 6. Procedimiento según la reivindicación 1,
    en donde, cuando la identidad de usuario contenida en el mensaje de autentificación ya está almacenada en el servidor proxy de autentificación (8C), el servidor proxy de autentificación (8C) actualiza un sello de tiempo correspondiente a la identidad de participante y pone una bandera correspondiente, que muestra que la clave de movilidad correspondiente es una clave de movilidad específica al grupo.
  7. 7. Procedimiento según la reivindicación 1,
    en donde la clave de movilidad específica al grupo se genera al azar por el servidor proxy de autentificación (8C).
  8. 8. Procedimiento según la reivindicación 1,
    en donde el servidor de autentificación (11) de la red doméstica (12) transmite en el caso de autentificación satisfactoria una clave de Master Session Key, clave MSK, contenida en el mensaje de autentificación, a través del servidor proxy de autentificación (8C) hacia un cliente de autentificación (6C) de la red de acceso (4).
  9. 9. Procedimiento según la reivindicación 8,
    en donde la clave de movilidad específica al cliente se deriva por el servidor proxy de autentificación (8C) de la clave MSK transmitida.
  10. 10. Procedimiento según la reivindicación 9,
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    en donde la clave de movilidad específica al usuario forma una parte de la clave MSK transmitida.
  11. 11. Procedimiento según la reivindicación 9,
    en donde la clave de movilidad específica al usuario es idéntica a la clave MSK transmitida.
  12. 12. Procedimiento según la reivindicación 9,
    en donde la clave de movilidad específica al usuario se deriva por una función de derivación de clave criptográfica o por una función hash criptográfica.
  13. 13. Procedimiento según la reivindicación 1,
    en donde el al menos un mensaje de autentificación se transmite según un protocolo de transmisión de datos RADIUS.
  14. 14. Procedimiento según la reivindicación 1,
    en donde el al menos un mensaje de autentificación se transmite según un protocolo de transmisión de datos Diameter.
  15. 15. Procedimiento según la reivindicación 1,
    en donde la red de acceso (4) se forma por una red de acceso WIMAX (ASN).
  16. 16. Procedimiento según la reivindicación 1,
    en donde la red intermedia (9) se forma por una red intermedia WIMAX (CSN).
  17. 17. Procedimiento según la reivindicación 1,
    en donde la red doméstica (12) se forma por una red 3GPP.
  18. 18. Procedimiento según la reivindicación 1,
    en donde la red doméstica se forma por una red WLAN.
  19. 19. Procedimiento según la reivindicación 1,
    en donde la identidad de usuario se forma por un identificador de acceso de red Network Access Identifier, NAI.
  20. 20. Procedimiento según la reivindicación 1,
    en donde la clave de movilidad se le proporciona adicionalmente a un cliente Proxy Mobile IP, cliente PIMIP, (6B) de la red de acceso (4).
  21. 21. Procedimiento según la reivindicación 1,
    en donde varias redes intermedias (9) se encuentran entre la red de acceso (4) y la red doméstica (12).
  22. 22. Procedimiento según la reivindicación 21,
    en donde el agente inicial (8B) está previsto en la red doméstica (12) o en una de las redes intermedias (9).
  23. 23. Procedimiento según la reivindicación 21,
    en donde el servidor proxy de autentificación (8C) está previsto en la red doméstica (12) o en una de las redes intermedias (9).
  24. 24. Servidor proxy de autentificación (8C) de una red intermedia (9) para la autentificación de un usuario,
    para la retransmisión al menos de un mensaje de autentificación, que contiene una identidad de usuario, entre una red de acceso (4) y una red doméstica (12) del usuario,
    para la recepción de un mensaje de solicitud de clave para una clave de movilidad de un agente inicial (8B), para la facilitación de la clave de movilidad para un aseguramiento criptográfico de mensajes de señalización de movilidad para un agente inicial, cuando se reconoce que un servidor de autentificación (11) de la red doméstica (12) no proporciona una clave de movilidad,
    en donde el servidor proxy de autentificación (8C), después de una autentificación satisfactoria de un usuario mediante un mensaje de autentificación que contiene una identidad de usuario, le asocia a la identidad de usuario una clave de movilidad específica al grupo, cuando la identidad de usuario correspondiente ya está almacenada en el servidor proxy de autentificación (8C).
  25. 25. Servidor proxy de autentificación (8C) según la reivindicación 24,
    en donde el servidor proxy de autentificación (8C) genera una clave de movilidad específica al usuario en el caso de autentificación satisfactoria de un usuario mediante un mensaje de autentificación que contiene una identidad de usuario y asocia la identidad de usuario correspondiente cuando la identidad de usuario obtenida en el mensaje de autentificación todavía no está almacenada en el servidor proxy de autentificación (8C).
    5
    10
    15
    20
    25
    30
    35
  26. 26. Servidor proxy de autentificación (8C) según la reivindicación 25,
    en donde una clave de movilidad específica al usuario generada se borra por el servidor proxy de autentificación (8C) después de un corto lapso de tiempo predeterminado.
  27. 27. Servidor proxy de autentificación (8C) según la reivindicación 25,
    en donde una clave de movilidad generada específica al usuario se borra por el servidor proxy de autentificación (8C) después de su facilitación para el agente inicial.
  28. 28. Servidor proxy de autentificación (8C) según la reivindicación 24,
    en donde una clave de movilidad específica al grupo se borra por el servidor proxy de autentificación (8C) antes de un largo lapso de tiempo predeterminado.
  29. 29. Servidor proxy de autentificación (8C) según la reivindicación 24,
    en donde, cuando la identidad de usuario contenida en el mensaje de autentificación ya está almacenada en el servidor proxy de autentificación (8C), el servidor proxy de autentificación (8C) actualiza un sello de tiempo correspondiente a la identidad de participante y pone una bandera correspondiente, que muestra que la clave de movilidad correspondiente es una clave de movilidad específica al grupo.
  30. 30. Servidor proxy de autentificación (8C) según la reivindicación 24,
    en donde el servidor proxy de autentificación (8C) genera al azar la clave de movilidad.
  31. 31. Servidor proxy de autentificación (8C) según la reivindicación 24,
    en donde el servidor proxy de autentificación (8C) está conectado con un servidor de autentificación (11) de una red doméstica (12).
  32. 32. Servidor proxy de autentificación (8C) según la reivindicación 24,
    en donde el servidor proxy de autentificación (8C) deriva la clave de movilidad de una clave Master Session Key, clave MSK, entregada por el servidor de autentificación (11) de la red doméstica (12).
  33. 33. Servidor proxy de autentificación (8C) según la reivindicación 24, en donde la red doméstica (12) es una red 3GPP.
  34. 34. Servidor proxy de autentificación (8C) según la reivindicación 24, en donde la red doméstica (12) es una red WLAN.
  35. 35. Servidor proxy de autentificación (8C) según la reivindicación 24,
    en donde el servidor proxy de autentificación (8C) es un servidor proxy de autentificación WIMAX.
ES06819187.3T 2005-11-04 2006-10-30 Procedimiento y servidor para la facilitación de una clave de movilidad Active ES2662591T3 (es)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
DE102005052724 2005-11-04
DE102005052724 2005-11-04
DE102006008745A DE102006008745A1 (de) 2005-11-04 2006-02-24 Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
DE102006008745 2006-02-24
PCT/EP2006/067930 WO2007051776A1 (de) 2005-11-04 2006-10-30 Verfahren und server zum bereitstellen eines mobilitätsschlüssels

Publications (1)

Publication Number Publication Date
ES2662591T3 true ES2662591T3 (es) 2018-04-09

Family

ID=37801439

Family Applications (1)

Application Number Title Priority Date Filing Date
ES06819187.3T Active ES2662591T3 (es) 2005-11-04 2006-10-30 Procedimiento y servidor para la facilitación de una clave de movilidad

Country Status (8)

Country Link
US (1) US8477945B2 (es)
EP (1) EP1943808B1 (es)
JP (1) JP4861426B2 (es)
KR (1) KR101377186B1 (es)
CN (1) CN101300815B (es)
DE (1) DE102006008745A1 (es)
ES (1) ES2662591T3 (es)
WO (1) WO2007051776A1 (es)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8630414B2 (en) * 2002-06-20 2014-01-14 Qualcomm Incorporated Inter-working function for a communication system
EP1538779B1 (en) * 2002-10-11 2020-02-19 Panasonic Intellectual Property Corporation of America Identification information protection method in wlan interconnection
US8094821B2 (en) * 2004-08-06 2012-01-10 Qualcomm Incorporated Key generation in a communication system
DE102006008745A1 (de) 2005-11-04 2007-05-10 Siemens Ag Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels
JP4869057B2 (ja) * 2006-12-27 2012-02-01 富士通株式会社 ネットワーク接続復旧方法及びaaaサーバ及び無線アクセス網ゲートウェイ装置
US8170529B1 (en) * 2007-02-08 2012-05-01 Clearwire Ip Holdings Llc Supporting multiple authentication technologies of devices connecting to a wireless network
WO2008099802A1 (ja) * 2007-02-13 2008-08-21 Nec Corporation 移動端末管理システム、ネットワーク機器及びそれらに用いる移動端末動作制御方法
US20080279151A1 (en) * 2007-05-09 2008-11-13 Nokia Siemens Networks Gmbh & Co. Kg Method and device for processing data and communication system comprising such device
KR101341720B1 (ko) 2007-05-21 2013-12-16 삼성전자주식회사 이동통신 시스템에서 프록시 이동 인터넷 프로토콜을 이용한 단말의 이동성 관리 방법 및 시스템과 이를 위한 단말의 홈 주소 할당 방법
US8769611B2 (en) * 2007-05-31 2014-07-01 Qualcomm Incorporated Methods and apparatus for providing PMIP key hierarchy in wireless communication networks
CN101345997B (zh) * 2007-07-12 2011-08-10 中兴通讯股份有限公司 一种提供网络服务的方法
EP2242211A4 (en) * 2008-02-04 2011-12-07 Zte Corp DEVICE AND METHOD FOR OBTAINING WI-FI DEVICES ACCESSING A WIMAX NETWORK
US8208375B2 (en) * 2008-03-17 2012-06-26 Microsoft Corporation Selective filtering of network traffic requests
US10706402B2 (en) 2008-09-22 2020-07-07 Visa International Service Association Over the air update of payment transaction data stored in secure memory
US8977567B2 (en) 2008-09-22 2015-03-10 Visa International Service Association Recordation of electronic payment transaction information
US9824355B2 (en) 2008-09-22 2017-11-21 Visa International Service Association Method of performing transactions with contactless payment devices using pre-tap and two-tap operations
US9037844B2 (en) * 2009-02-27 2015-05-19 Itron, Inc. System and method for securely communicating with electronic meters
US8150974B2 (en) * 2009-03-17 2012-04-03 Kindsight, Inc. Character differentiation system generating session fingerprint using events associated with subscriber ID and session ID
KR101338487B1 (ko) 2010-12-21 2013-12-10 주식회사 케이티 I-wlan에서 인증 서버 및 그의 접속 인증 방법
CA2873773A1 (en) * 2011-03-06 2012-09-06 PCN Technology, Inc. Systems and methods of data transmission and management
CN102281287B (zh) * 2011-06-23 2014-05-28 北京交通大学 基于tls的分离机制移动性信令保护系统及保护方法
CN102595398B (zh) * 2012-03-05 2015-04-29 黄东 一种减小系统开销的无线网络匿名认证方法
US9882713B1 (en) 2013-01-30 2018-01-30 vIPtela Inc. Method and system for key generation, distribution and management
US9167427B2 (en) * 2013-03-15 2015-10-20 Alcatel Lucent Method of providing user equipment with access to a network and a network configured to provide access to the user equipment
US9467478B1 (en) 2013-12-18 2016-10-11 vIPtela Inc. Overlay management protocol for secure routing based on an overlay network
US10148669B2 (en) * 2014-05-07 2018-12-04 Dell Products, L.P. Out-of-band encryption key management system
CN104284332A (zh) * 2014-09-26 2015-01-14 中兴通讯股份有限公司 一种鉴权方法及无线路由器
KR20160056551A (ko) * 2014-11-12 2016-05-20 삼성전자주식회사 잠금 해제 수행 방법 및 사용자 단말
US10285053B2 (en) * 2015-04-10 2019-05-07 Futurewei Technologies, Inc. System and method for reducing authentication signaling in a wireless network
US9980303B2 (en) 2015-12-18 2018-05-22 Cisco Technology, Inc. Establishing a private network using multi-uplink capable network devices
US11128661B2 (en) 2016-12-31 2021-09-21 Huawei Technologies Co., Ltd. Terminal matching method and apparatus
KR101997984B1 (ko) * 2017-10-25 2019-07-08 이화여자대학교 산학협력단 프록시 재암호화를 이용한 위치 기반 차량 통신 방법 및 차량 통신을 위하여 프록시 재암호화를 수행하는 프록시 서버

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020120844A1 (en) * 2001-02-23 2002-08-29 Stefano Faccin Authentication and distribution of keys in mobile IP network
US7483411B2 (en) * 2001-06-04 2009-01-27 Nec Corporation Apparatus for public access mobility LAN and method of operation thereof
JP3870081B2 (ja) 2001-12-19 2007-01-17 キヤノン株式会社 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体
US7298847B2 (en) * 2002-02-07 2007-11-20 Nokia Inc. Secure key distribution protocol in AAA for mobile IP
US20070208864A1 (en) * 2002-10-21 2007-09-06 Flynn Lori A Mobility access gateway
US7475241B2 (en) * 2002-11-22 2009-01-06 Cisco Technology, Inc. Methods and apparatus for dynamic session key generation and rekeying in mobile IP
US7774828B2 (en) 2003-03-31 2010-08-10 Alcatel-Lucent Usa Inc. Methods for common authentication and authorization across independent networks
EP1549010B1 (en) * 2003-12-23 2008-08-13 Motorola Inc. Rekeying in secure mobile multicast communications
EP1638261A1 (en) * 2004-09-16 2006-03-22 Matsushita Electric Industrial Co., Ltd. Configuring connection parameters in a handover between access networks
US7639802B2 (en) * 2004-09-27 2009-12-29 Cisco Technology, Inc. Methods and apparatus for bootstrapping Mobile-Foreign and Foreign-Home authentication keys in Mobile IP
BRPI0516835A (pt) * 2004-10-01 2008-09-23 Nextel Communications sistema e método para registro de roaming de despacho
US7313394B2 (en) * 2005-07-15 2007-12-25 Intel Corporation Secure proxy mobile apparatus, systems, and methods
US20070086382A1 (en) * 2005-10-17 2007-04-19 Vidya Narayanan Methods of network access configuration in an IP network
DE102006008745A1 (de) 2005-11-04 2007-05-10 Siemens Ag Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels

Also Published As

Publication number Publication date
CN101300815B (zh) 2012-11-14
WO2007051776A1 (de) 2007-05-10
US20090193253A1 (en) 2009-07-30
US8477945B2 (en) 2013-07-02
EP1943808A1 (de) 2008-07-16
JP2009515450A (ja) 2009-04-09
DE102006008745A1 (de) 2007-05-10
JP4861426B2 (ja) 2012-01-25
KR101377186B1 (ko) 2014-03-25
KR20080068732A (ko) 2008-07-23
CN101300815A (zh) 2008-11-05
EP1943808B1 (de) 2018-01-31

Similar Documents

Publication Publication Date Title
ES2662591T3 (es) Procedimiento y servidor para la facilitación de una clave de movilidad
ES2349292T3 (es) Procedimiento y servidor para proporcionar una clave de movilidad.
ES2609257T3 (es) Procedimiento y sistema para proporcionar una clave específica de acceso
US9043599B2 (en) Method and server for providing a mobility key
US7545768B2 (en) Utilizing generic authentication architecture for mobile internet protocol key distribution
US8584207B2 (en) Infrastructure-less bootstrapping: trustless bootstrapping to enable mobility for mobile devices
ES2321878T3 (es) Activacion forzada especifica para un abonado de proxy mobiles ip (pmip) en lugar de client mobile ip (cmip).
US8117454B2 (en) Fast update message authentication with key derivation in mobile IP systems
US7984486B2 (en) Using GAA to derive and distribute proxy mobile node home agent keys
KR101414711B1 (ko) 이동 ip 키를 제공하기 위한 방법 및 시스템
US20100046434A1 (en) Network-based and host-based mobility management in packet-based communication networks
WO2006071055A1 (en) A system and method for providing secure mobility and internet protocol security related services to a mobile node roaming in a foreign network