ES2816623T3 - Método y sistema para proporcionar comunicaciones seguras asistidas por celular de una pluralidad de dispositivos ad hoc - Google Patents

Método y sistema para proporcionar comunicaciones seguras asistidas por celular de una pluralidad de dispositivos ad hoc Download PDF

Info

Publication number
ES2816623T3
ES2816623T3 ES07797240T ES07797240T ES2816623T3 ES 2816623 T3 ES2816623 T3 ES 2816623T3 ES 07797240 T ES07797240 T ES 07797240T ES 07797240 T ES07797240 T ES 07797240T ES 2816623 T3 ES2816623 T3 ES 2816623T3
Authority
ES
Spain
Prior art keywords
devices
authenticated
network
group key
hoc
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES07797240T
Other languages
English (en)
Inventor
Jeffrey Bonta
Hong-Yon Lach
Bharat Bhargava
Xiaoxin Wu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Purdue University
Arris Enterprises LLC
Original Assignee
Purdue University
Arris Enterprises LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Purdue University, Arris Enterprises LLC filed Critical Purdue University
Application granted granted Critical
Publication of ES2816623T3 publication Critical patent/ES2816623T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Un método para proporcionar comunicaciones seguras entre una pluralidad de dispositivos ad hoc, comprendiendo el método: autenticar uno o más primeros dispositivos (115-1, 115-2, ... 115-5) dentro de una primera red (105); autenticar uno o más segundos dispositivos (120-1, 120-2, ... 120-4) dentro de una segunda red (110); transmitir una clave de grupo a los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados y a los segundos dispositivos (120-1, 120-2, ...120-4) autenticados; establecer una red ad hoc (125) por parte, como mínimo, de uno de los primeros dispositivos (115-2, 115-3, ... 115-5) autenticados y, como mínimo, uno de los segundos dispositivos (120-2, 120-3, 120-4) autenticados utilizando la clave de grupo, comunicarse dentro de la red ad hoc (125) entre, como mínimo, uno de los primeros dispositivos (115-2, 115- 3, ... 115-5) autenticados y el, como mínimo, uno de los segundos dispositivos (120-2, 120-3, 120-4) autenticados; comunicarse mediante los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados a través de la red ad hoc (125) utilizando una primera clave de grupo de servicios para cifrado; comunicarse mediante los segundos dispositivos (120-1, 120-2, ... 120-4) autenticados a través de la red ad hoc (125) utilizando una segunda clave de grupo de servicios para el cifrado; en donde la etapa de establecimiento de la red ad hoc comprende que, como mínimo, uno de los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados y el, como mínimo, uno de los segundos dispositivos (120-1, 120-2, ... 120-4) autenticados intercambie paquetes de control cifrados con la clave de grupo para el descubrimiento de rutas, y utilizar la primera clave de grupo de servicios para el control de capa superior y los paquetes de datos comunicados por los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados a través de la red ad hoc (125).

Description

DESCRIPCIÓN
Método y sistema para proporcionar comunicaciones seguras asistidas por celular de una pluralidad de dispositivos ad hoc
Campo de la Invención
La presente invención se refiere, en general, a los sistemas de comunicación inalámbrica y, en particular, a las comunicaciones seguras entre una pluralidad de dispositivos de comunicación ad hoc.
Antecedentes
Una red inalámbrica basada en una infraestructura incluye habitualmente una red de comunicación con pasarelas fijas y cableadas. Muchas redes inalámbricas basadas en una infraestructura emplean una unidad móvil o un ordenador central que se comunica con una estación base fija que está acoplada a una red cableada. La unidad móvil se puede desplazar geográficamente mientras se comunica a través de un enlace inalámbrico a la estación base. Cuando la unidad móvil se desplaza fuera del alcance de una estación base, se puede conectar o “ser traspasada” a una nueva estación base, y comienza a comunicarse con la red cableada a través de la nueva estación base.
En comparación con las redes inalámbricas basadas en una infraestructura, tales como las redes celulares o las redes satelitales, las redes ad hoc son redes autoconformadas que pueden funcionar en ausencia de una infraestructura fija y, en algunos casos, la red ad hoc está formada completamente por nodos móviles. Una red ad hoc incluye, habitualmente, una serie de unidades potencialmente móviles distribuidas geográficamente, a veces denominadas “nodos”, que están conectadas entre sí de manera inalámbrica mediante uno o más enlaces (por ejemplo, canales de comunicación por radiofrecuencia). Los nodos se pueden comunicar entre sí a través de un medio inalámbrico sin el soporte de una red cableada o basada en una infraestructura. Los enlaces o conexiones entre estos nodos pueden cambiar dinámicamente de manera arbitraria a medida que los nodos existentes se mueven dentro de la red ad hoc, cuando nuevos nodos se unen a la red ad hoc o entran en la misma, o cuando los nodos existentes abandonan la red ad hoc o salen de la misma.
Recientemente, ha habido un interés creciente en la integración de redes inalámbricas. Entre los ejemplos de redes integradas se incluyen el servicio de telefonía móvil avanzada (AMPS - Advanced Mobile Phone Service, en inglés) combinado con las redes celulares IS-95, el sistema de posicionamiento global (GPS - Global Positioning System, en inglés) aplicado en las redes celulares, las redes satelitales y celulares combinadas y las redes de red de área local (LAN - Local Area NetWork, en inglés) celulares e inalámbricas combinadas.
Recientemente, la integración de redes celulares y redes ad hoc también está ganando interés. Se apreciará que la construcción de redes ad hoc depende de una densidad adecuada de dispositivos ad hoc. Se apreciará, además, que en una zona en la que hay suficiente densidad de teléfonos capaces de unirse a una red ad hoc, puede haber una variedad de fabricantes de teléfonos y una variedad de proveedores de servicios de teléfonos. Un problema en este entorno es que cada proveedor de servicios no está acostumbrado a participar o a funcionar conjuntamente con otros proveedores de servicios. Por lo tanto, es probable que se bloquee cualquier intento de establecer una red ad hoc que contenga teléfonos de múltiples proveedores de servicios. Una razón para bloquear la formación ad hoc es la preocupación por la seguridad de los abonados del proveedor de servicios y la preocupación por la utilización no autorizada de los servicios proporcionados por el proveedor de servicios (por ejemplo, un juego o el servicio de correo electrónico).
El documento WO2006 / 000239 explica el control de terminales de modo dual en el que cada terminal aprovecha la red 3G para realizar la autenticación y recibir la información necesaria para establecer una comunicación segura con los otros nodos de una red móvil ad hoc, B. Bhargava et al., Mobile Networks and Applications 9, 393-408, 2004; y el documento US 2003/0235174 dan a conocer cada uno una red ad hoc móvil asistida por celular.
La invención da a conocer un método tal como el expuesto en la reivindicación 1 y un sistema tal como el expuesto en la reivindicación 6.
Breve descripción de las figuras
Las figuras adjuntas, en las que los mismos números de referencia se refieren a elementos idénticos o funcionalmente similares en todas las vistas independientes y que, junto con la descripción que se detalla a continuación se incorporan y forman parte de la memoria descriptiva, sirven para ilustrar aún más diversas realizaciones y para explicar diversos principios y ventajas, todo de acuerdo con la presente invención.
La figura 1 es una red de comunicación a modo de ejemplo, de acuerdo con algunas realizaciones de la invención.
La figura 2 es un dispositivo de comunicación a modo de ejemplo para su funcionamiento dentro de la red de comunicación, de acuerdo con algunas realizaciones de la presente invención.
La figura 3 es un diagrama de flujo que ilustra un funcionamiento a modo de ejemplo de la red de comunicación de la figura 1, de acuerdo con algunas realizaciones de la presente invención.
La figura 4 es un diagrama de flujo que ilustra un funcionamiento a modo de ejemplo del dispositivo de comunicación de la figura 2, de acuerdo con algunas realizaciones de la presente invención.
La figura 5 es un diagrama de flujo de mensajes que ilustra un funcionamiento a modo de ejemplo de la red de la figura 1, de acuerdo con algunas realizaciones de la presente invención.
Los expertos en la técnica apreciarán que los elementos de las figuras se ilustran por sencillez y claridad y no necesariamente han sido dibujados a escala. Por ejemplo, las dimensiones de algunos de los elementos de las figuras pueden estar exagerados con respecto a otros elementos, para ayudar a mejorar la comprensión de las realizaciones de la presente invención.
Descripción detallada
Antes de describir en detalle las realizaciones que están de acuerdo con la presente invención, se debe observar que las realizaciones residen principalmente en combinaciones de etapas de método y componentes de aparatos relacionados con proporcionar comunicaciones seguras asistidas por celular de una pluralidad de dispositivos ad hoc. En consecuencia, los componentes del aparato y las etapas del método se han representado cuando corresponde mediante símbolos convencionales en los dibujos, que muestran solo los detalles específicos que son pertinentes para comprender las realizaciones de la presente invención para no oscurecer la divulgación con detalles que serán fácilmente evidentes para los expertos en la técnica que se beneficien de la descripción en este documento.
En este documento, los términos relacionales tales como primero y segundo, arriba y abajo, y similares pueden ser utilizados únicamente para distinguir una entidad o acción de otra entidad o acción sin requerir o implicar, necesariamente, ninguna relación u orden real entre dichas entidades o acciones. Los términos “comprende”, “que comprende” o cualquier otra variación de los mismos, pretenden cubrir una inclusión no exclusiva, de tal modo que un proceso, método, artículo o aparato que comprende una lista de elementos no incluye solo esos elementos, sino que puede incluir otros elementos no enumerados expresamente o inherentes a dicho proceso, método, artículo o aparato. Un elemento precedido de “comprende ... un” o “comprende ... una” no excluye, sin más limitaciones, la existencia de elementos idénticos adicionales en el proceso, método, artículo o aparato que comprende el elemento.
Se apreciará que las realizaciones de la invención descritas en este documento pueden estar compuestas por uno o más procesadores convencionales e instrucciones de programa almacenadas únicas que controlan el uno o más procesadores a implementar, junto con ciertos circuitos sin procesador, algunos, la mayoría, o todas las funciones de proporcionar comunicaciones seguras asistidas por celular de una pluralidad de dispositivos ad hoc que se describen en este documento. Los circuitos sin procesador pueden incluir, entre otros, un receptor de radio, un transmisor de radio, controladores de señal, circuitos de reloj, circuitos de fuente de alimentación y dispositivos de entrada de usuario. Como tales, estas funciones pueden ser interpretadas como etapas de un método para realizar comunicaciones seguras asistidas por celular de una pluralidad de dispositivos ad hoc. Alternativamente, algunas o todas las funciones podrían ser implementadas por una máquina de estado que no tenga instrucciones de programa almacenadas, o en uno o más circuitos integrados específicos para una aplicación (ASIC - Application Specific Integrated Circuits, en inglés), en los que cada función o algunas combinaciones de algunas de las funciones se implementan como lógica personalizada. Por supuesto, se podría utilizar una combinación de los dos enfoques. Por tanto, en el presente documento se han descrito métodos y medios para estas funciones. Además, se espera que un experto, sin perjuicio de un esfuerzo posiblemente significativo y muchas opciones de diseño motivadas, por ejemplo, por el tiempo disponible, la tecnología actual y las consideraciones económicas, cuando se guíe por los conceptos y principios descritos en este documento, sea fácilmente capaz de generar dichas instrucciones y programas de software y circuitos integrados (IC - Integrated Circuits, en inglés) con una mínima experimentación.
La presente invención da a conocer la aplicación de claves utilizadas en una red jerárquica (por ejemplo, la red ad hoc 802.11 superpuesta con una red de área amplia que contiene un centro de servicios para la distribución de claves). Específicamente, la presente invención utiliza una estructura de clave jerárquica para permitir que las aplicaciones privadas utilicen repetidores de operadores de servicios similares y diferentes o solo de operadores de servicios similares. El método incluye la actualización periódica de las claves para excluir las claves del delincuente o del usuario que no paga. Varias claves son gestionadas por el teléfono y por un centro de servicios de superposición (por ejemplo, un registro de ubicación de abonados locales (HLR - Home Location Register, en inglés) celular). Cada clave tiene una funcionalidad única que permite conjuntamente la cooperación entre iguales entre dispositivos móviles, incluso si los dispositivos móviles tienen diferentes fabricantes y/o diferentes proveedores de servicios.
La figura 1 es una red 100 de comunicación a modo de ejemplo de acuerdo con algunas realizaciones de la invención. Tal como se ilustra, la red 100 de comunicación está compuesta, como mínimo, por dos redes celulares, una primera red celular 105 y una segunda red celular 110. Los expertos en la técnica apreciarán que la red 100 de comunicación puede comprender cualquiera de dos o más redes de comunicación que incluyen redes celulares (tal como se ilustra), redes telefónicas inalámbricas, redes inalámbricas de área local, redes de radio bidireccionales y similares. Además, se apreciará que cada una de las redes dentro de la red 100 de comunicación puede ser operada por un proveedor de servicios único no asociado con cada red. Cada proveedor de servicios, habitualmente, no participa ni colabora con otros proveedores de servicios dentro de la red de comunicación.
Los expertos en la técnica apreciarán que la primera red celular 101 y la segunda red celular 110 de la figura 1 puede funcionar de acuerdo con, como mínimo, uno de varios estándares. Estos estándares incluyen protocolos de sistemas de comunicación analógicos, digitales o de modo dual tales como, entre otros, el Sistema avanzado de telefonía móvil (AMPS - Advanced Mobile Phone System, en inglés), el Sistema avanzado de telefonía móvil de banda estrecha (NAMPS - Narrowband Advanced Mobile Phone System, en inglés), el Sistema global para comunicaciones móviles (GSM - Global System for Mobile communications, en inglés), el IS-136 Sistema celular digital de acceso múltiple por división del tiempo (TDMA - Time Division Multiple Access, en inglés), el IS-95 sistema celular digital de Acceso múltiple por división de código (CDMA - Code Division Multiple Access, en inglés), el sistema CDMA 2000, el sistema CDMA de banda ancha (W-CDMA - Wideband CDMA, en inglés), el sistema de comunicaciones personales (PCS -Personal Communications System, en inglés), el sistema de tercera generación (3G - Third Generation, en inglés), el Sistema Universal de Telecomunicaciones Móviles (UMTS - Universal Mobile Telecommunications System, en inglés) y variaciones y evoluciones de estos protocolos. En la siguiente descripción, el término “red celular” se refiere a cualquiera de los sistemas mencionados anteriormente o a un equivalente.
De acuerdo con la presente invención, cada una de las redes celulares incluye un centro de servicios de seguridad para gestionar la comunicación segura dentro de cada red celular. Por ejemplo, la primera red celular 105 incluye un primer centro de servicios de seguridad 130 y la segunda red celular 110 incluye un segundo centro de servicios de seguridad 135.
Tal como se ilustra en la figura 1, una pluralidad de dispositivos de comunicación funcionan dentro de cada una de las dos o más redes celulares. Por ejemplo, los dispositivos de comunicación 115-n (que incluyen los 115-1, 115-2, 115­ 3, 115-4, 115-5, tal como se ilustra) funcionan dentro de la primera red celular 105. De manera similar, los dispositivos de comunicación 120-n (que incluyen los 120-1, 120-2, 120-3 y 120-4 tal como se ilustra) funcionan dentro de la segunda red celular 105. Un experto en la técnica apreciará que cada uno de los dispositivos de comunicación 115-n y 120-n puede ser un teléfono celular móvil, un terminal móvil de datos de radio, un teléfono celular móvil que tiene un terminal de datos integrado o conectado, un dispositivo de mensajería bidireccional, o un equivalente, según sea apropiado para funcionar dentro de cada una de las redes de la red 100 de comunicación. De manera similar, el dispositivo de comunicación puede ser cualquier otro dispositivo electrónico, tal como un asistente digital personal o un ordenador portátil que tenga capacidades de comunicación inalámbrica. En la siguiente descripción, el término “dispositivo de comunicación” se refiere a cualquier combinación de los dispositivos mencionados anteriormente o a un equivalente.
De acuerdo con la presente invención, como mínimo, algunos de los dispositivos de comunicación 115-n son capaces de comunicarse dentro de más de una red de comunicación, tal como la primera red celular 105 y una red ad hoc 125. Por ejemplo, tal como se ilustra en la figura 1, los dispositivos de comunicación 115-2, 115-3, 115-4 y 115-5 funcionan tanto en la primera red celular 105 como en la red ad hoc 125. De manera similar, como mínimo, algunos de los dispositivos de comunicación 120-n son capaces de comunicarse dentro de más de una red de comunicación tal como la segunda red celular 110 y la red ad hoc 125. Por ejemplo, tal como se ilustra en la figura 1, los dispositivos de comunicación 120-2, 120-3 y 120-4 funcionan tanto dentro de la segunda red celular 110 como de la red ad hoc 125.
Los expertos en la técnica apreciarán que la red ad hoc 125 puede ser una red de arquitectura habilitada en malla (MEA - Mesh Enabled Architecture, en inglés) o una red 802.11 (es decir, 802.11a, 802.11b u 802.11 g). Los expertos en la técnica apreciarán que la red ad hoc 125 puede comprender alternativamente cualquier red de comunicación por paquetes. Por ejemplo, la red 100 de comunicación puede ser una red que utiliza protocolos de paquetes de datos tales como TDMA (Acceso múltiple por división del tiempo), GPRS (Servicio general de radio por paquetes - General Packet Radio Service, en inglés) y EGPRS (GPRS mejorado - Enhanced GPRS, en inglés).
La red ad hoc 125 incluye una pluralidad de nodos móviles (denominados, en general, nodos o nodos móviles o dispositivos de comunicación) tales como los dispositivos de comunicación 115-3,115-4,115-5, 120-2,120-3 y 120-4, tal como se ilustra en la figura 1. Además, la red ad hoc puede incluir, pero no es necesario, una red fija que tenga una pluralidad de puntos de acceso inteligentes (IAP - Intelligent Access Points, en inglés) para proporcionar a los nodos un acceso a la red fija (no mostrada). La red fija 104 puede incluir, por ejemplo, una red central de acceso local (LAN - Local Access NetWork, en inglés) y una pluralidad de servidores y enrutadores de pasarela para proporcionar a los nodos de red un acceso a otras redes, tales como otras redes ad hoc, una red telefónica pública conmutada (PSTN - Public Switched Telephone NetWork, en inglés) e Internet. La red ad hoc 125 puede incluir, además, una pluralidad de enrutadores fijos para enrutar paquetes de datos entre otros nodos (no mostrados). Cabe señalar que, para los fines de esta explicación, los nodos explicados anteriormente se pueden denominar conjuntamente “nodos” o, alternativamente, “dispositivos de comunicación”.
Tal como puede apreciar un experto en la técnica, los nodos dentro de la red ad hoc 125 son capaces de comunicarse entre sí directamente, o mediante uno o más de otros nodos que funcionan como un enrutador o enrutadores para paquetes que se envían entre nodos. Cada nodo se comunica con otros nodos vecinos utilizando un enlace de transmisión y un enlace de recepción asociado con el nodo y con cada uno de los nodos vecinos.
La figura 2 es un dispositivo 200 de comunicación a modo de ejemplo para su funcionamiento dentro de la red 100 de comunicación de acuerdo con algunas realizaciones de la presente invención. El dispositivo 200 de comunicación, por ejemplo, puede ser un dispositivo de comunicación 115-n y 120-n tal como se ilustra en la figura 1. De acuerdo con la presente invención, el dispositivo 200 de comunicación es un dispositivo de modo dual. Solo a modo de ejemplo, el dispositivo 200 de comunicación puede funcionar tanto dentro de la red ad hoc 125 como en una de las redes celulares 105, 110 de la figura 1.
El dispositivo 200 de comunicación incluye hardware de dispositivo convencional (no representado por sencillez) tal como interfaces de usuario, circuitos de alerta, pantallas y similares, que están integrados en un alojamiento compacto.
El dispositivo 200 de comunicación incluye, además, una antena celular 205 y un transceptor celular 210 para comunicarse con la red celular 105, 110. La antena celular 205 intercepta señales transmitidas desde una o más redes celulares 105, 110 y transmite señales a la una o más redes celulares 105, 110. La antena celular 205 está acoplada al transceptor celular 210, que emplea técnicas de demodulación convencionales para recibir las señales de comunicación. El transceptor celular 210 está acoplado a un procesador 225 y responde a las órdenes del procesador 225. Cuando el transceptor celular 210 recibe una orden del procesador 225, el transceptor celular 210 envía una señal a través de la antena celular 205 a una o más de las redes celulares 105, 110. En una realización alternativa (no mostrada), el dispositivo 200 de comunicación incluye una antena de recepción y un receptor, para recibir señales de una o más de las redes celulares 105, 110, y una antena de transmisión y un transmisor, para transmitir señales a una o más de las redes celulares 105, 110. Un experto en la técnica apreciará que se pueden utilizar otros diagramas de bloques electrónicos similares del mismo tipo o de uno alternativo para el bloque celular del dispositivo 200 de comunicación.
El dispositivo 200 de comunicación incluye, además una antena ad hoc 215 y un transceptor ad hoc 220 para comunicarse dentro de la red ad hoc 125. La antena ad hoc 215 intercepta señales transmitidas desde uno o más nodos dentro de la red ad hoc 125 y transmite señales al uno o más nodos dentro de la red ad hoc 125. La antena ad hoc 215 está acoplada al transceptor ad hoc 220, que emplea técnicas de demodulación convencionales para recibir y transmitir señales de comunicación, tales como señales en paquetes, hacia el dispositivo 200 de comunicación y desde el mismo bajo el control del procesador 225. Las señales de datos en paquetes pueden incluir, por ejemplo, información de voz, datos o multimedia, y señales de control en paquetes, que incluyen información de actualización de nodos. Cuando el transceptor ad hoc 220 recibe una orden del procesador 225, el transceptor ad hoc 220 envía una señal a través de la antena ad hoc 215 a uno o más nodos dentro de la red ad hoc 125. En una realización alternativa (no mostrada), el dispositivo 200 de comunicación incluye una antena de recepción y un receptor, para recibir señales de la red ad hoc 125, y una antena de transmisión y un transmisor, para transmitir señales a la red ad hoc 125. Un experto en la técnica apreciará que se pueden utilizar otros diagramas de bloques electrónicos similares del mismo tipo o de uno alternativo para el bloque ad hoc del dispositivo 200 de comunicación.
Acoplado al transceptor celular 210 y al transceptor ad hoc220, está el procesador 225 que utiliza técnicas convencionales de procesamiento de señales para procesar los mensajes recibidos. Un experto en la técnica apreciará que se pueden utilizar procesadores adicionales según sea necesario para manejar los requisitos de procesamiento del procesador 225.
De acuerdo con la presente invención, el procesador 225 incluye un procesador de autenticación 235 para autenticar varias comunicaciones hacia el dispositivo 200 de comunicación y desde el mismo. Además, de acuerdo con la presente invención, el procesador 225 incluye un procesador de aplicaciones 240 para procesar diversos programas de software. programas de aplicación dentro del dispositivo 200 de comunicación. Los expertos en la técnica apreciarán que el procesador de autenticación 235 y el procesador de aplicación 240 pueden ser codificados o programados en el dispositivo 200 de comunicación durante la fabricación, pueden ser programados de manera inalámbrica (Over-the-air, en inglés) tras la suscripción del cliente, o puede ser una aplicación descargable. Se apreciará que se pueden utilizar otros métodos de programación para programar cada uno del procesador de autenticación 235 y el procesador de aplicación 240 en el dispositivo 200 de comunicación. Un experto en la técnica apreciará, además, que cada uno del procesador de autenticación 235 y el procesador de aplicación 240 pueden ser circuitos de hardware dentro del dispositivo 200 de comunicación. De acuerdo con la presente invención, cada uno del procesador 235 y el procesador de aplicación 240 pueden estar contenidos dentro del procesador 225, tal como se ilustra, o alternativamente, puede ser un bloque individual acoplado operativamente al procesador 225 (no mostrado).
Para realizar las funciones necesarias del dispositivo 200 de comunicación, el procesador 225 está acoplado a la memoria 230, que, preferiblemente, incluye una memoria de acceso aleatorio (RAM - Random Access Memory, en inglés), una memoria de solo lectura (ROM - Read Only Memory, en inglés), una memoria de solo lectura programable y borrable eléctricamente (EEPROM - Electrically Erasable Programmable Read Only Memory, en inglés) y una memoria flash.
La memoria 230, de acuerdo con la presente invención, incluye ubicaciones de almacenamiento para el almacenamiento de una o más claves e información de control 245 y una o más aplicaciones 250. De acuerdo con la presente invención, la o más claves 245 pueden incluir, pero no están limitadas a, una clave secreta 255, una clave de grupo general 260, una clave de grupo de servicios 265, una compensación de retardo de reautenticación 270, una clave pública 275, una clave de sesión 280, y un tiempo de cambio de clave 285, cada uno de los cuales se describirá en detalle a continuación.
Los expertos en la técnica apreciarán que la memoria 230 puede estar integrada dentro del dispositivo 200 de comunicación, o alternativamente, puede estar contenida, como mínimo parcialmente, dentro de una memoria externa, tal como un dispositivo de almacenamiento de memoria. El dispositivo de almacenamiento de memoria, por ejemplo, puede ser una tarjeta de módulo de identificación de abonado (SIM - Subscriber Identification Module, en inglés). Una tarjeta SIM es un dispositivo electrónico que, habitualmente, incluye una unidad de microprocesador y una memoria adecuada para estar encapsulada dentro de una pequeña tarjeta de plástico flexible. La tarjeta SIM incluye, adicionalmente, alguna forma de interfaz para comunicarse con el dispositivo 200 de comunicación.
La figura 3 es un diagrama de flujo que ilustra una operación a modo de ejemplo de la red de comunicación de la figura 1 de acuerdo con algunas realizaciones de la presente invención. Tal como se ilustra, algunas de las comunicaciones implicadas con la operación a modo de ejemplo son comunicaciones 305 de red celular, y algunas de las comunicaciones implicadas con la operación a modo de ejemplo son comunicaciones 310 de red ad hoc.
La operación de la figura 3 comienza con la etapa 310, en la que cada dispositivo de comunicación es autenticado con el centro de servicios de seguridad asociado de la red celular en la que funciona. Por ejemplo, cada uno de los dispositivos de comunicación 115-n es autenticado con el primer centro de servicios de seguridad 130 de la red 100. De manera similar, cada uno de los dispositivos de comunicación 120-n es autenticado con el segundo centro de servicios de seguridad 135 de la red 100. Con referencia al dispositivo 200 de comunicación, el procesador de autenticación 235 recupera la clave secreta 255 y la clave pública 275 de la memoria 230, cifra la clave pública 275 con la clave secreta 255 y envía la clave pública cifrada al centro de servicios de seguridad asociado a través del transceptor celular 210 y de la antena celular 205. En la presente invención, la clave secreta 255 es incorporada en el teléfono en el momento de la fabricación y solo es conocida por el centro de servicios de seguridad asociado. El centro de servicios de seguridad asociado descifra la clave pública 275 utilizando su copia conocida de la clave secreta 255 y almacena la clave pública para una futura utilización.
A continuación, en la etapa 315, se transmite una clave de grupo general a todos los dispositivos autenticados. La misma clave de grupo general se transmite a todos los dispositivos de comunicación autenticados dentro de la red 100, independientemente del proveedor de servicios / red celular en la que funciona el dispositivo de comunicación. Por ejemplo, el centro de servicios de seguridad 130 transmite la clave de grupo general a cada dispositivo de comunicación 115-n en respuesta a la autenticación del dispositivo de comunicación 115-n. De manera similar, el centro de servicios de seguridad 135 transmite la clave de grupo general a cada dispositivo de comunicación 120-n en respuesta a la autenticación del dispositivo de comunicación 120-n. La clave de grupo general se cifra utilizando la clave secreta 255 correspondiente al dispositivo de comunicación 115-n o 120-n que se está autenticando. En una realización alternativa, la clave de grupo general se cifra utilizando la clave pública 275 correspondiente al dispositivo de comunicación 115-n o 120-n que se está autenticando. Con referencia al dispositivo 200 de comunicación, la clave de grupo general cifrada 260 es recibida a través de la antena celular 205 y del transceptor celular 210, es descifrada por el dispositivo 200 de comunicación y almacenada por el procesador 225 en la memoria 230 para una futura utilización por parte del dispositivo de comunicación. De acuerdo con la presente invención, todos los dispositivos de comunicación que funcionan dentro de la red ad hoc 125 que tengan la clave de grupo general 260 a partir de entonces (etapa 320) pueden utilizar la clave de grupo general 260 para intercambiar entre sí de manera segura paquetes de control a través de la red ad hoc 125.
A continuación, en la etapa 325, cada centro de servicios de seguridad transmite una clave de grupo de servicios a todos los dispositivos de comunicación autenticados que funcionan dentro de la misma red celular. Por ejemplo, el primer centro de servicios de seguridad 130 transmite una primera clave de grupo de servicios a los dispositivos de comunicación 115-n autenticados; y el segundo centro de servicios de seguridad 130 transmite una segunda clave de grupo de servicios a los dispositivos de comunicación 120-n autenticados. La clave del grupo de servicios se cifra utilizando la clave secreta 255 correspondiente al dispositivo de comunicación 115-n o 120-n que se está autenticando. En una realización alternativa, la clave del grupo de servicios se cifra utilizando la clave pública 275 correspondiente al dispositivo de comunicación 115-n o 120-n que se está autenticando. Con referencia al dispositivo 200 de comunicación, la clave de grupo de servicios 265 cifrada es recibida a través de la antena celular 205 y del transceptor celular 210, es descifrada mediante el dispositivo 200 de comunicación y almacenada en el procesador 225 en la memoria 230 para una futura utilización por parte del dispositivo 200 de comunicación. De acuerdo con la presente invención, todos los dispositivos de comunicación que funcionan dentro de la misma red celular que tienen la misma clave de grupo de servicios a partir de entonces (etapa 330) pueden utilizar la clave de grupo de servicios para intercambiar entre sí de manera segura paquetes de control y datos a través de la red ad hoc.
A continuación, en la etapa 335, cada centro de servicios de seguridad transmite una compensación de retardo de reautenticación a todos los dispositivos de comunicación autenticados que funcionan dentro de la misma red celular. Por ejemplo, el primer centro de servicios de seguridad 130 transmite una primera compensación del retardo de reautenticación a los dispositivos de comunicación 115-n autenticados; y el segundo centro de servicios de seguridad 130 transmite una segunda compensación del retardo de reautenticación a los dispositivos de comunicación 120-n autenticados. Con referencia al dispositivo 200 de comunicación, la compensación del retardo de reautenticación 270 es recibida a través de la antena celular 205 y del transceptor celular 210, y el procesador 225 la almacena en la memoria 230 para una futura utilización por parte del dispositivo 200 de comunicación. De acuerdo con la presente invención, esta compensación del retardo de reautenticación se selecciona al azar para cada dispositivo de comunicación autenticado. Representa un tiempo de retardo que el dispositivo de comunicación autenticado debe esperar antes de generar una nueva solicitud de autenticación. En la etapa 340, cuando el tiempo actual es, como mínimo, igual al tiempo de compensación del retardo de reautenticación, la operación vuelve a las etapas 315 y 325. A continuación, se genera la reautenticación después de recibir una difusión en la red para restablecer una clave de grupo general 260 y una clave de grupo de servicios 265. Este método permite una actualización periódica de las claves para excluir las claves del usuario que no paga o del delincuente.
Haciendo referencia a continuación de nuevo a la comunicación dentro de la red ad hoc 125, después de que la clave de grupo general haya sido recibida por los diversos dispositivos de comunicación de modo dual autenticados, la red ad hoc 125 puede ser establecida en la etapa 345 como es bien conocido en la técnica. En otras palabras, la red ad hoc 125 puede ser establecida para incluir los dispositivos de comunicación 115-2, 115-3, 115-4, 115-5, 120-2, 120-3 y 120-4 utilizando la clave de grupo general 260 para cifrar los paquetes de control para el descubrimiento de rutas. A continuación, en la etapa 350, la comunicación entre los diversos dispositivos participantes en la red ad hoc 125 tiene lugar de manera segura a través de un canal de comunicación asociado de la red ad hoc. Por ejemplo, los mismos dispositivos del proveedor de servicios intercambian paquetes de datos y control en la etapa 330.
Se apreciará que, periódicamente se transmitirá una nueva clave de grupo de servicios y/o una nueva clave de grupo general para cambiar las claves. En la etapa 355, el centro de servicios de seguridad transmite un mensaje de alerta de cambio de clave a cada dispositivo de comunicación. Este mensaje de alerta contiene un tiempo de cambio de clave futura en el que todos los dispositivos de comunicación deben haber completado un procedimiento de reautenticación. Este tiempo de cambio de clave futura es posterior al tiempo actual más la compensación del retardo de reautenticación máximo recibida por cualquier dispositivo de comunicación. Con referencia al dispositivo 200 de comunicación, la compensación del retardo de reautenticación 270 se utiliza como una compensación de tiempo del tiempo actual, por lo que, tras la expiración, el dispositivo 200 de comunicación iniciará un procedimiento de reautenticación tal como se definió previamente en las etapas 310, 315 y 325. El centro de servicios de seguridad autenticará únicamente aquellos dispositivos de comunicación que están autorizados a participar en la red ad hoc 125. Tal como se definió previamente en la etapa 315, cada centro de servicios de seguridad transmite una clave de grupo general a todos los dispositivos de comunicación autenticados que funcionan dentro de la red 100, independientemente del proveedor de servicios / red celular en la que funciona el dispositivo de comunicación. Tal como se definió previamente en la etapa 325, cada centro de servicios de seguridad transmite una clave de grupo de servicios a todos los dispositivos de comunicación autenticados que funcionan dentro de la misma red celular. Todas las claves recibidas del centro de servicios de seguridad son entregadas a cada dispositivo de comunicación a través de un control celular o canal de datos. En la etapa 360, cada dispositivo de comunicación autenticado determina si el tiempo actual es igual o no al tiempo de cambio de clave 285 comunicado. Cuando el tiempo actual es el tiempo de cambio de clave 285, el proceso pasa de nuevo a la etapa 315 y el dispositivo de comunicación comenzará a utilizar la nueva clave de grupo general y la nueva clave de grupo de servicios para todas las comunicaciones futuras, cuando el tiempo actual sea igual al tiempo de cambio de clave 285. Los expertos en la técnica apreciarán que, aunque la figura 3 ilustra una realización a modo de ejemplo en la que la nueva clave de grupo general y la nueva clave de grupo de servicios se comunican en o después del tiempo de cambio de clave 285, alternativamente, la nueva clave de grupo general y la nueva clave de grupo de servicios pueden ser comunicadas y almacenadas dentro de los dispositivos de comunicación en cualquier momento antes del tiempo de cambio de clave 285.
La figura 4 es un diagrama de flujo que ilustra un ejemplo de funcionamiento del dispositivo 200 de comunicación de la figura 2, de acuerdo con algunas realizaciones de la presente invención. Específicamente, la figura 4 ilustra un funcionamiento a modo de ejemplo de la etapa de comunicación 350 de la figura 3, de acuerdo con algunas realizaciones de la presente invención.
El funcionamiento de la figura 4 comienza con la etapa 400, en la que el dispositivo 200 de comunicación lanza una aplicación. Por ejemplo, el procesador de aplicaciones 240 lanza una aplicación almacenada en la memoria de aplicaciones 250. A continuación, en la etapa 405, el dispositivo 200 de comunicación identifica un dispositivo similar para la aplicación. Por ejemplo, el procesador de aplicaciones 240 identifica el dispositivo similar a partir de los datos de aplicación almacenados en la memoria de la aplicación 250. A continuación, en la etapa 410, el dispositivo 200 de comunicación recibe una clave pública 275 y una clave de sesión 280 para compartir una aplicación con el dispositivo similar a través de la red celular en la que funcionan el dispositivo de comunicación y el dispositivo similar. Por ejemplo, un dispositivo 200 de comunicación de origen solicita la utilización de la utilización conjunta de una aplicación entre él y un dispositivo similar identificado. El centro de servicios de seguridad transmite una clave de sesión y una clave pública para el dispositivo similar al dispositivo de comunicación (la clave pública del dispositivo similar y la clave de sesión son cifradas con la clave pública del dispositivo 200 de comunicación). A continuación, en la etapa 415, el dispositivo 200 de comunicación autentica el dispositivo similar con la clave pública recibida. En una realización de la presente invención, las cabeceras de comunicación de enlace de datos y las cabeceras de comunicación de la capa de red son cifradas con la clave de grupo general, la solicitud de autenticación es cifrada con la clave de grupo de servicios y el contenido de la solicitud de autenticación (por ejemplo, clave pública del dispositivo 200 de comunicación de origen) es cifrado con la clave pública del dispositivo similar. Esto permite que cualquier dispositivo autenticado en la red ad hoc (independientemente de la red celular a la que pertenezca) enrute la solicitud de autenticación al dispositivo similar. Además, el hecho de que se está intentando una autenticación es conocido solo por los dispositivos de comunicación en la red celular que contiene el dispositivo 200 de comunicación de origen. Los expertos en la técnica apreciarán que otras realizaciones de la utilización de estas claves están también dentro del alcance de la invención. El dispositivo similar responderá a la solicitud de autenticación utilizando la clave pública del dispositivo 200 de comunicación de origen, así como otras claves, tal como se acaba de describir. A continuación, en la etapa 420, el dispositivo de comunicación cifra una clave de sesión con la clave pública del dispositivo similar en una solicitud de sesión de aplicación. A continuación, en la etapa 425, el dispositivo de comunicación intercambia la clave de sesión con el dispositivo similar a través de la red ad hoc. A modo de ejemplo, en una realización de la presente invención, las cabeceras de comunicación del enlace de datos y las cabeceras de comunicación de la capa de red se cifran con la clave de grupo general, la solicitud de sesión de la aplicación se cifra con la clave de grupo de servicios y el contenido de la solicitud de sesión de la aplicación (es decir, la clave de sesión) se cifra con la clave pública del dispositivo similar. Esto permite que cualquier dispositivo autenticado en la red ad hoc (independientemente de la red celular a la que pertenezca) enrute la solicitud de sesión de la aplicación al dispositivo similar. Además, el hecho de que se está intentando una solicitud de sesión de aplicación es conocido solo por los dispositivos de comunicación en la red celular que contiene el dispositivo 200 de comunicación de origen. Además, la clave de sesión es conocida solo por el dispositivo 200 de comunicación de origen y por el dispositivo similar. Los expertos en la técnica apreciarán que otras realizaciones de la utilización de estas claves también están dentro del alcance de la invención. De nuevo, el dispositivo similar responderá a la solicitud de sesión de la aplicación utilizando la clave pública del dispositivo 200 de comunicación fuente, así como otras claves, como se acaba de describir. A continuación, en la etapa 430, el dispositivo de comunicación cifra los paquetes de aplicación con el dispositivo similar utilizando la clave de sesión y la clave del grupo de servicios recibida previamente. A continuación, en la etapa 435, el dispositivo de comunicación y el dispositivo similar se comunican a través del canal de comunicación de la red ad hoc para procesar las diversas operaciones de la aplicación. Tal como se ejemplificó anteriormente, cada clave de grupo general, clave de grupo de servicio, claves públicas y clave de sesión se utilizan para comunicarse de manera segura entre el dispositivo 200 de comunicación de origen y los elementos de protección del dispositivo similar de la comunicación que el dispositivo de comunicación y el proveedor de servicios consideran necesarios para los dispositivos de comunicación.
La figura 5 es un diagrama de flujo de mensajes que ilustra un ejemplo de funcionamiento de una red 500 de acuerdo con algunas realizaciones de la presente invención. La red 500 incluye una primera red celular 505 y una segunda red celular 510. La primera red celular 505 incluye un primer centro de servicios de seguridad 515 y diversos dispositivos de comunicación que incluyen el dispositivo A 520, el dispositivo B 525 y el dispositivo C 530. La segunda red celular 510 incluye un segundo centro de servicios de seguridad 540 y diversos dispositivos de comunicación que incluyen el dispositivo D 535.
Para los propósitos del escenario a modo de ejemplo de la figura 5, dos usuarios, el dispositivo A 520 y el dispositivo B 525 quieren compartir contenido a través del dispositivo C 530. Tal como se ilustra, el dispositivo A 520, el dispositivo B 525 y el dispositivo C 530 funcionan todos en la misma red celular (red celular 505) utilizando el mismo proveedor de servicios. En este escenario a modo de ejemplo, los usuarios A y B quieren que los datos de su aplicación sean privados, pero quieren que el dispositivo C realice retransmisiones para ellos. Además, A, B y C quieren que todo el control y los datos sean seguros desde el usuario D (el dispositivo D 535 funciona en una red celular 510 diferente). Para habilitar esto, el dispositivo A 520, el dispositivo B 525 y el dispositivo C 530 tienen cada uno una clave de grupo general y una primera clave de grupo de servicios de red celular que también son conocidas por el primer centro de servicios de seguridad 515. El dispositivo D 535 también conoce la misma clave general de grupo conocida por el dispositivo A 520, el dispositivo B 525 y el dispositivo C 530, pero solo conoce la segunda clave de grupo de servicios de la red celular. Si el dispositivo A 520, el dispositivo B 525 y el dispositivo C 530 desean utilizar el dispositivo D 535 como repetidor, utilizarían la clave de grupo general para el descubrimiento de rutas y los repetidores de paquetes sin procesar a través de la dirección de control de acceso a medios (MAC - Media Access control, en inglés) del dispositivo D, pero utilizarían la primera clave de grupo de servicios de red celular para paquetes de datos y control de capa superior.
Tal como se ilustra en el flujo operativo de la figura 5, en la operación 545, cada dispositivo A 520, dispositivo B 525, dispositivo C 530 y dispositivo D 535 se activará inicialmente y comenzará un procedimiento de autenticación utilizando una clave secreta o certificado que está, por ejemplo, incorporado en el teléfono en el momento de la fabricación. Esta autenticación se realiza con su respectivo centro de servicios de seguridad (es decir, el primer centro de servicios de seguridad 515 para el dispositivo A 520, el dispositivo B 525, el dispositivo C 530 y el segundo centro de servicios de seguridad 540 para el dispositivo D 535). A continuación, en la operación 550, una vez que se autentican, a cada uno de los dispositivos A 520, B 525, C 530 y D 535 se les asigna una clave de grupo general. A continuación, en la operación 555, cada dispositivo A 520, dispositivo B 525 y dispositivo C 530 reciben una clave de grupo de servicios del primer centro de servicios de seguridad 515; y el dispositivo D 535 recibe una clave de grupo de servicios del segundo centro de servicios de seguridad 540.
A continuación, en la operación 560, cada dispositivo A 520, dispositivo B 525, dispositivo C 530 y dispositivo D 535 utiliza la clave de grupo general para intercambiar información de control y encontrar una ruta desde el dispositivo A 520 al dispositivo B 525 a través del dispositivo C 530 y el dispositivo D 535. A continuación, en la operación 565, el dispositivo A 520 intercambia una solicitud con el primer proveedor de servicios celulares para iniciar una aplicación (por ejemplo, correo electrónico con el dispositivo B 525). A continuación, en la operación 570, el primer centro de servicios de seguridad 515 verifica que el dispositivo B 525 esté autorizado para utilizar el servicio de correo electrónico y, a continuación, proporciona la clave pública para el dispositivo B 525 al dispositivo A 520. A continuación, en la operación 575, utilizando esta clave pública, el dispositivo A 520 y el dispositivo B 525 intercambian una clave de sesión para la aplicación de correo electrónico, así como la clave pública para el dispositivo A 520. A continuación, en la operación 580, utilizando la clave de grupo de servicios de la primera red celular, la clave de grupo general y la clave de sesión, los datos son cifrados en el nivel apropiado de encapsulación de los paquetes de datos que se intercambian entre el dispositivo A 520 y el dispositivo B 525 a través del dispositivo C 530 y el dispositivo D 535 a través de una red ad hoc común establecida en la operación 560. El dispositivo C 530 y el dispositivo D no pueden decodificar los paquetes de datos, pero son totalmente capaces de funcionar conjuntamente para satisfacer las necesidades de retransmisión del dispositivo A 520 y del dispositivo B 525.
Aunque no se ilustra, los expertos en la técnica apreciarán que, en un momento posterior, el primer centro de servicios de seguridad 515 puede difundir una solicitud para generar una nueva clave de grupo general, una nueva clave de grupo de servicios de primera red celular, o una nueva clave de sesión o clave de aplicación para el dispositivo A 520 y el dispositivo B 525. Esta solicitud especifica un tiempo de cambio de clave futura en la que todos los dispositivos autenticados actualizarán sus respectivas claves. Para conseguir la generación de nuevas claves, la solicitud activará cada dispositivo A 520, dispositivo B 525, dispositivo C 530 y dispositivo D 535 para comenzar un nuevo procedimiento de autenticación utilizando sus respectivas claves secretas o certificados. La autenticación de cada dispositivo ocurre en puntos aleatorios en el tiempo antes del futuro tiempo de cambio de clave. La compensación aleatoria en el tiempo se basa en un parámetro recibido durante la autenticación anterior. Esta operación es necesaria para garantizar que cualquier abonado que no paga ya no participe o escuche las redes ad hoc gestionadas por la red celular. O, si el usuario A o B dejó de pagar por la aplicación de correo electrónico, esta clave de aplicación actualizada también les impide utilizar la aplicación durante más tiempo.
La presente invención, tal como se ha descrito en este documento, da a conocer un sistema y un método para hacerlo atractivo y seguro para que los teléfonos de un proveedor de servicios colaboren con los teléfonos de otro proveedor de servicios para establecer una red ad hoc y permitir la retransmisión de paquetes a través de sus abonados.
En la memoria descriptiva anterior, se han descrito realizaciones específicas de la presente invención. En consecuencia, la memoria descriptiva y las figuras deben ser consideradas en un sentido ilustrativo más que limitativo, y todas estas modificaciones pretenden estar incluidas dentro del alcance de la presente invención.

Claims (6)

REIVINDICACIONES
1. Un método para proporcionar comunicaciones seguras entre una pluralidad de dispositivos ad hoc, comprendiendo el método:
autenticar uno o más primeros dispositivos (115-1, 115-2, ... 115-5) dentro de una primera red (105); autenticar uno o más segundos dispositivos (120-1, 120-2, ... 120-4) dentro de una segunda red (110); transmitir una clave de grupo a los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados y a los segundos dispositivos (120-1, 120-2, ...120-4) autenticados;
establecer una red ad hoc (125) por parte, como mínimo, de uno de los primeros dispositivos (115-2, 115-3, ...
115-5) autenticados y, como mínimo, uno de los segundos dispositivos (120-2, 120-3, 120-4) autenticados utilizando la clave de grupo,
comunicarse dentro de la red ad hoc (125) entre, como mínimo, uno de los primeros dispositivos (115-2, 115­ 3, ... 115-5) autenticados y el, como mínimo, uno de los segundos dispositivos (120-2, 120-3, 120-4) autenticados;
comunicarse mediante los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados a través de la red ad hoc (125) utilizando una primera clave de grupo de servicios para cifrado;
comunicarse mediante los segundos dispositivos (120-1, 120-2, ... 120-4) autenticados a través de la red ad hoc (125) utilizando una segunda clave de grupo de servicios para el cifrado;
en donde la etapa de establecimiento de la red ad hoc comprende que, como mínimo, uno de los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados y el, como mínimo, uno de los segundos dispositivos (120-1, 120-2, ... 120-4) autenticados intercambie paquetes de control cifrados con la clave de grupo para el descubrimiento de rutas, y
utilizar la primera clave de grupo de servicios para el control de capa superior y los paquetes de datos comunicados por los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados a través de la red ad hoc (125).
2. Un método según la reivindicación 1, en el que la primera red (105) comprende una primera red celular operada por un primer proveedor de servicios y, además, en el que la segunda red (110) comprende una segunda red celular operada por un segundo proveedor de servicios.
3. Un método según la reivindicación 2, en el que la primera red (105) incluye un primer centro de servicios de seguridad (130) y, además, en el que la etapa de autenticación del uno o más primeros dispositivos (115-1, 115-2, ...
115-5) comprende que cada uno de los uno o más primeros dispositivos (115-1, 115-2, ... 115-5) se autentique con el primer centro de servicios de seguridad (130); y
en el que, además, la segunda red incluye un segundo centro de servicios de seguridad (135) y, además, en el que la etapa de autenticación de uno o más segundos dispositivos (120-1, 120-2, ... 120-4) comprende que cada uno de los uno o más segundos dispositivos (120-1, 120-2, ... 120-4) se autentique con el segundo centro de servicios de seguridad (135).
4. Un método según la reivindicación 1, que comprende, además:
transmitir un tiempo de compensación del retardo de reautenticación a los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados; y
reautenticar los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados en un tiempo, como mínimo, igual al tiempo de compensación del retardo de reautenticación.
5. Un método según la reivindicación 1, que comprende, además:
transmitir un mensaje de cambio de clave que incluye un tiempo de cambio de clave a los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados; y
generar una reautenticación de, como mínimo, uno de los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados cuando un tiempo actual es, como mínimo, igual al tiempo de cambio de clave.
6. Un sistema para proporcionar comunicaciones seguras entre una pluralidad de dispositivos ad hoc, en una red celular, comprendiendo el sistema:
una primera red (105), para autenticar uno o más primeros dispositivos (115-1, 115-2, ... 115-5);
una segunda red (110), para autenticar uno o más segundos dispositivos (120-1, 120-2, ... 120-4);
un transceptor celular (210), dispuesto para transmitir una clave de grupo a los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados y a los segundos dispositivos (120-1, 120-2, ... 120-4) autenticados; estando el sistema dispuesto para:
establecer una red ad hoc (125) mediante, como mínimo, uno de los primeros dispositivos (115-2, 115­ 3, ... 115-5) autenticados y, como mínimo, uno de los segundos dispositivos (120-2, 120-3, 120-4) autenticados utilizando la clave de grupo;
comunicarse dentro de la red ad hoc (125) entre, como mínimo, uno de los primeros dispositivos (115­ 2, 115-3, ... 115-5) autenticados y el, como mínimo, uno de los segundos dispositivos (120-2, 120-3, 120-4) autenticados;
comunicarse, mediante los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados a través de la red ad hoc (125) utilizando una primera clave de grupo de servicios para el cifrado;
comunicarse mediante los segundos dispositivos (120-1, 120-2, ... 120-4) autenticados a través de la red ad hoc red (125) utilizando una segunda clave de grupo de servicios para el cifrado;
en el que la etapa de establecimiento de la red ad hoc comprende, como mínimo, que uno de los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados y el, como mínimo, uno de los segundos dispositivos (120-1, 120-2, ... 120-4) autenticados intercambie paquetes de control cifrados con la clave de grupo para el descubrimiento de ruta y
utilizar la clave del primer grupo de servicios para el control de capa superior y los paquetes de datos comunicados por los primeros dispositivos (115-1, 115-2, ... 115-5) autenticados a través de la red ad hoc (125).
ES07797240T 2006-04-28 2007-04-17 Método y sistema para proporcionar comunicaciones seguras asistidas por celular de una pluralidad de dispositivos ad hoc Active ES2816623T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/380,809 US7817986B2 (en) 2006-04-28 2006-04-28 Method and system for providing cellular assisted secure communications of a plurality of ad hoc devices
PCT/US2007/066755 WO2007127637A2 (en) 2006-04-28 2007-04-17 Method and system for providing cellular assisted secure communications of a plurality of ad hoc devices

Publications (1)

Publication Number Publication Date
ES2816623T3 true ES2816623T3 (es) 2021-04-05

Family

ID=38648214

Family Applications (1)

Application Number Title Priority Date Filing Date
ES07797240T Active ES2816623T3 (es) 2006-04-28 2007-04-17 Método y sistema para proporcionar comunicaciones seguras asistidas por celular de una pluralidad de dispositivos ad hoc

Country Status (10)

Country Link
US (1) US7817986B2 (es)
EP (1) EP2022282B1 (es)
JP (1) JP4911480B2 (es)
AU (1) AU2007242991B2 (es)
BR (1) BRPI0711079B1 (es)
CA (1) CA2650050C (es)
ES (1) ES2816623T3 (es)
MX (1) MX2008013772A (es)
RU (1) RU2406252C2 (es)
WO (1) WO2007127637A2 (es)

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7817986B2 (en) * 2006-04-28 2010-10-19 Motorola, Inc. Method and system for providing cellular assisted secure communications of a plurality of ad hoc devices
US7804807B2 (en) * 2006-08-02 2010-09-28 Motorola, Inc. Managing establishment and removal of security associations in a wireless mesh network
US7979054B2 (en) * 2006-10-19 2011-07-12 Qualcomm Incorporated System and method for authenticating remote server access
US8588420B2 (en) * 2007-01-18 2013-11-19 Panasonic Corporation Systems and methods for determining a time delay for sending a key update request
JP4881813B2 (ja) * 2007-08-10 2012-02-22 キヤノン株式会社 通信装置、通信装置の通信方法、プログラム、記憶媒体
US9398453B2 (en) * 2007-08-17 2016-07-19 Qualcomm Incorporated Ad hoc service provider's ability to provide service for a wireless network
US20090046644A1 (en) * 2007-08-17 2009-02-19 Qualcomm Incorporated Service set manager for ad hoc mobile service provider
US20090047964A1 (en) 2007-08-17 2009-02-19 Qualcomm Incorporated Handoff in ad-hoc mobile broadband networks
JP4926023B2 (ja) * 2007-12-10 2012-05-09 Kddi株式会社 コンテンツ受信端末、コンテンツ配信端末、外部サーバ装置、ピアツーピアネットワークシステム及びコンピュータプログラム
US20100023752A1 (en) * 2007-12-27 2010-01-28 Motorola, Inc. Method and device for transmitting groupcast data in a wireless mesh communication network
US8656167B2 (en) * 2008-02-22 2014-02-18 Security First Corp. Systems and methods for secure workgroup management and communication
US8185101B1 (en) * 2008-04-10 2012-05-22 Sandia Corporation Handheld portable real-time tracking and communications device
EP2242323A1 (en) 2009-04-17 2010-10-20 Poul Jørgen Holm An ad-hoc network and a method for configuring the ad-hoc network and a mobile repeater telephone for use in the ad-hoc network and use of the mobile repeater telephone
US9179367B2 (en) 2009-05-26 2015-11-03 Qualcomm Incorporated Maximizing service provider utility in a heterogeneous wireless ad-hoc network
KR101293117B1 (ko) * 2009-12-15 2013-08-02 한국전자통신연구원 무선 통신 시스템에서의 그룹 서비스 제공 방법 및 장치
CN102812688B (zh) * 2010-03-24 2016-06-01 诺基亚技术有限公司 用于设备到设备密钥管理的方法和装置
EP2553905B1 (en) 2010-03-31 2018-05-09 Security First Corp. Systems and methods for securing data in motion
CN102884755A (zh) * 2010-05-14 2013-01-16 西门子公司 针对面向通用对象的变电站事件模型的组密钥生成和管理的方法
EP2619939A2 (en) 2010-09-20 2013-07-31 Rick L. Orsini Systems and methods for secure data sharing
WO2012090331A1 (ja) * 2010-12-28 2012-07-05 富士通株式会社 鍵設定方法、ノード、サーバ、およびネットワークシステム
WO2012090332A1 (ja) * 2010-12-28 2012-07-05 富士通株式会社 鍵設定方法、ノード、サーバ、およびネットワークシステム
WO2012090330A1 (ja) * 2010-12-28 2012-07-05 富士通株式会社 鍵設定方法、ノード、およびネットワークシステム
WO2012104976A1 (ja) * 2011-01-31 2012-08-09 富士通株式会社 鍵設定方法、ノード、サーバおよびネットワークシステム
JP5418700B2 (ja) * 2011-01-31 2014-02-19 富士通株式会社 鍵設定方法、ノード、サーバおよびネットワークシステム
US8495377B2 (en) * 2011-02-10 2013-07-23 Telefonaktiebolaget L M Ericsson Enabling secure access to sensor network infrastructure using multiple interfaces and application-based group key selection
EP2700264B1 (en) * 2011-04-21 2021-11-03 Tata Consultancy Services Limited A method and system for preserving privacy during data aggregation in a wireless sensor network
GB2495550A (en) * 2011-10-14 2013-04-17 Ubiquisys Ltd An access point that can be used to establish connections with UE devices using both cellular and wifi air interfaces
CN103096308B (zh) * 2011-11-01 2016-01-20 华为技术有限公司 生成组密钥的方法和相关设备
US9973335B2 (en) * 2012-03-28 2018-05-15 Intel Corporation Shared buffers for processing elements on a network device
PL2893734T3 (pl) * 2012-09-06 2016-10-31 Zestawianie sesji komunikacyjnej od urządzenia do urządzenia
US10341859B2 (en) * 2012-10-19 2019-07-02 Nokia Technologies Oy Method and device of generating a key for device-to-device communication between a first user equipment and a second user equipment
US9444851B2 (en) 2012-10-29 2016-09-13 Koninklijke Kpn N.V. Intercepting device-to-device communication
US9813910B2 (en) * 2014-03-19 2017-11-07 Qualcomm Incorporated Prevention of replay attack in long term evolution device-to-device discovery
CN104765990B (zh) * 2015-03-11 2018-09-04 小米科技有限责任公司 智能设备管理账户的设置方法及装置
US9923715B2 (en) * 2015-06-09 2018-03-20 Intel Corporation System, apparatus and method for group key distribution for a network
US10469464B2 (en) 2015-06-09 2019-11-05 Intel Corporation Self-configuring key management system for an internet of things network
US11153078B2 (en) 2018-01-16 2021-10-19 Raytheon Company Extensible system for authenticated and protected key agreement in large mesh layer 2 ethernet networks

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8261315B2 (en) * 2000-03-02 2012-09-04 Tivo Inc. Multicasting multimedia content distribution system
US7222187B2 (en) * 2001-07-31 2007-05-22 Sun Microsystems, Inc. Distributed trust mechanism for decentralized networks
US7082200B2 (en) * 2001-09-06 2006-07-25 Microsoft Corporation Establishing secure peer networking in trust webs on open networks using shared secret device key
US6904055B2 (en) * 2002-06-24 2005-06-07 Nokia Corporation Ad hoc networking of terminals aided by a cellular network
GB2411086B (en) * 2004-02-12 2006-12-06 Vodafone Plc Secure communications between terminals
WO2005086412A1 (en) * 2004-03-05 2005-09-15 Electronics And Telecommunications Research Institute Method for managing traffic encryption key in wireless portable internet system and protocol configuration method thereof, and operation method of traffic encryption key state machine in subscriber station
JP4554968B2 (ja) * 2004-03-26 2010-09-29 株式会社日立製作所 アドホックネットワークにおける無線通信端末装置
EP1766915B1 (en) 2004-06-24 2008-11-19 Telecom Italia S.p.A. Method and system for controlling access to communication networks, related network and computer program therefor
US7161390B2 (en) * 2004-08-26 2007-01-09 International Business Machines Corporation Dynamic latching logic structure with static interfaces for implementing improved data setup time
US7817986B2 (en) * 2006-04-28 2010-10-19 Motorola, Inc. Method and system for providing cellular assisted secure communications of a plurality of ad hoc devices

Also Published As

Publication number Publication date
WO2007127637A2 (en) 2007-11-08
EP2022282A4 (en) 2012-04-04
US7817986B2 (en) 2010-10-19
CA2650050C (en) 2012-08-28
US20070253376A1 (en) 2007-11-01
CA2650050A1 (en) 2007-11-08
WO2007127637A3 (en) 2008-12-11
AU2007242991A1 (en) 2007-11-08
BRPI0711079A2 (pt) 2011-08-23
BRPI0711079B1 (pt) 2019-10-08
RU2008146960A (ru) 2010-06-10
EP2022282A2 (en) 2009-02-11
AU2007242991B2 (en) 2011-02-03
JP4911480B2 (ja) 2012-04-04
RU2406252C2 (ru) 2010-12-10
JP2009535921A (ja) 2009-10-01
MX2008013772A (es) 2009-04-15
EP2022282B1 (en) 2020-08-12

Similar Documents

Publication Publication Date Title
ES2816623T3 (es) Método y sistema para proporcionar comunicaciones seguras asistidas por celular de una pluralidad de dispositivos ad hoc
CN101183938B (zh) 一种无线网络安全传输方法、系统及设备
TWI451735B (zh) 用於在通訊系統中將用戶認證與設備認證結合的方法和裝置
US9231759B2 (en) Internet key exchange protocol using security associations
US8249553B2 (en) System and method for securing a base station using SIM cards
KR101260536B1 (ko) 유무선 네트워크에 적합한 액세스 인증 방법
JP4551202B2 (ja) アドホックネットワークの認証方法、および、その無線通信端末
KR20090067156A (ko) 보안 연계 메시지의 메시 네트워크를 통한 터널링
CN101300861A (zh) 用于把具有接入节点的第二通信网络连接到具有接触节点的第一通信网络的方法
EP3231151B1 (en) Commissioning of devices in a network
CN113872755A (zh) 一种密钥交换方法及装置
WO2022175538A1 (en) A method for operating a cellular network
Hall Detection of rogue devices in wireless networks
Grecas et al. Introduction of the asymmetric cryptography in GSM, GPRS, UMTS, and its public key infrastructure integration
EP4250641A1 (en) Method, devices and system for performing key management
WO2011023223A1 (en) Method of performing an authentication in a communications network
WO2023212903A1 (zh) 中继通信的方法及设备
EP3231207A1 (en) Secure message exchange in a network
ES2288667T3 (es) Sistema y metodo para gestionar el registro seguro de un dispositivo movil de comunicaciones.
Ma et al. Security Protocols in WLAN Mesh