ES2837141T3 - Unidad de comunicación empleada como enrutador remoto y método de aplicación - Google Patents

Unidad de comunicación empleada como enrutador remoto y método de aplicación Download PDF

Info

Publication number
ES2837141T3
ES2837141T3 ES16197551T ES16197551T ES2837141T3 ES 2837141 T3 ES2837141 T3 ES 2837141T3 ES 16197551 T ES16197551 T ES 16197551T ES 16197551 T ES16197551 T ES 16197551T ES 2837141 T3 ES2837141 T3 ES 2837141T3
Authority
ES
Spain
Prior art keywords
wireless
communication unit
network node
wireless communication
subscriber
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16197551T
Other languages
English (en)
Inventor
Timothy Speight
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Veea Systems Ltd
Original Assignee
Veea Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Veea Systems Ltd filed Critical Veea Systems Ltd
Application granted granted Critical
Publication of ES2837141T3 publication Critical patent/ES2837141T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/04Terminal devices adapted for relaying to or from another terminal or user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Una unidad (325) de comunicación inalámbrica de abonado, que forma parte de una pluralidad de unidades (325) de comunicación inalámbrica de abonado, para comunicarse con un nodo (304) de red; estando el nodo (304) de red configurado para realizar la autenticación de la pluralidad de unidades (325) de comunicación inalámbrica de abonado, así como para realizar las responsabilidades de aplicación de la pluralidad de unidades (325) de comunicación inalámbrica de abonado intentando comunicarse en un sistema (400) de comunicación; en la que el sistema de comunicación comprende el nodo (304) de red que comprende un Agente de Autenticación PANA, PAA, (706) y la pluralidad de unidades (325) de comunicación inalámbrica de abonado; en la que la unidad (325) de comunicación inalámbrica de abonado comprende: un receptor configurado para recibir mensajes de al menos el nodo (304) de red; y un procesador (402) acoplado al receptor y dispuesto para procesar un primer mensaje recibido desde el nodo (304) de red y determinar a partir de este que la unidad (325) de comunicación inalámbrica de abonado está autenticada para comunicarse en el sistema (400) de comunicación; en el que, la unidad (325) de comunicación inalámbrica de abonado se caracteriza porque, una vez que la unidad (325) de comunicación inalámbrica de abonado está autenticada para comunicarse en el sistema (400) de comunicación, el receptor y el procesador se configuran además para recibir desde el nodo (304) de red y procesar un segundo mensaje, mediante el cual el segundo mensaje transfiere al menos una porción de las responsabilidades de aplicación del nodo de red asociadas con un Protocolo para Llevar la Autenticación para el Acceso a la Red, PANA, hasta la unidad (325) de comunicación inalámbrica de abonado de modo que la unidad de comunicación inalámbrica de abonado pueda posteriormente realizar la aplicación de otras unidades (802) de comunicación inalámbrica intentando acceder al sistema (400) de comunicación a través de la unidad (325) de comunicación inalámbrica de abonado mediante el bloqueo de datos (824) hacia y desde otras unidades (802) de comunicación inalámbrica que no sean datos que comprendan una dirección de destino de el Agente (706) de Autenticación de PANA.

Description

DESCRIPCIÓN
Unidad de comunicación empleada como enrutador remoto y método de aplicación
Campo técnico
El campo de esta invención se relaciona en general con la ejecución de la aplicación de las unidades de comunicación inalámbrica que intentan acceder al sistema de comunicación. En particular, el campo de esta invención se relaciona con la aplicación de otros dispositivos inalámbricos, después de la autenticación de la unidad de comunicación inalámbrica, cuando se emplea la autoconfiguración de direcciones sin estado en enrutadores remotos.
Antecedentes
Un desarrollo reciente en las comunicaciones inalámbricas de tercera generación (3G) es el estándar de comunicación celular de evolución a largo plazo (LTE), a veces denominado sistemas de 4ta generación (4G). Ambas tecnologías cumplen con los estándares de proyectos de asociación de tercera generación (3GPP™). Independientemente de si las asignaciones espectrales LTE utilizan asignaciones existentes de segunda generación (2G) o 3G que se están reagrupando para sistemas de cuarta generación (4G), o nuevas asignaciones espectrales para comunicaciones móviles existentes, generalmente usarán espectro emparejado para operación dúplex por división de frecuencia (FDD).
LTE (y otras tecnologías celulares) admite el uso de direccionamiento de protocolo de internet (IP) con IPv6 con el fin de acceder a redes de datos públicas tal como internet. El uso de IPv6 es conveniente para la disposición donde la unidad de comunicación inalámbrica LTE (denominada equipo de usuario (UE) en el lenguaje 3GPP) actúa como un enrutador para permitir la conectividad IP para muchos dispositivos de usuario final, posiblemente en varias subredes diferentes. La configuración automática de direcciones sin estado (véase RFC 4862) también se usa en cada una de las redes (denominadas 'subredes'), con el fin de que los nodos obtengan una dirección IPv6. El UE LTE puede actuar como un enrutador IPv6 para otros dispositivos enviando anuncios de enrutador que contienen un prefijo que se le ha delegado previamente. Otros dispositivos, utilizando un mecanismo de transporte diferente a LTE™ (por ejemplo, WiFi™ o Bluetooth™) seleccionan un identificador de interfaz ((ID) elegido por el cliente de forma autónoma y se puede obtener de la dirección de capa de control de acceso medio (MAC) (por ejemplo, EUI-64) o de una selección aleatoria). La combinación del prefijo y el ID de interfaz elegido da como resultado una dirección global IPv6 tentativa. Con el fin de comprobar la unicidad de esta dirección, los dispositivos posteriormente realizan la detección de direcciones duplicadas. En la detección de direcciones duplicadas, el cliente envía una solicitud de vecino que contiene una dirección tentativa a una dirección de multidifusión específica (dirección de multidifusión de nodo solicitado). Solo los vecinos de esta dirección responden -por lo tanto, si no hay respuesta, el cliente sabe que la dirección seleccionada es única.
En este escenario, el UE (o estación móvil (MS) en algunos estándares) 140 actúa como un enrutador. Esto se ilustra esquemáticamente en la FIG. 1. La autenticación y la aplicación residen en la puerta 120 de enlace, pero el UE 140 es capaz de gestionar subredes utilizando el prefijo/56 que se asigna para tratar con todas las subredes y el propio UE. La autenticación para el UE en sí estará en la puerta 120 de enlace. De manera similar, no existe una función de autenticación local para aquellos dispositivos que están conectados al UE (a través de WiFi™/Bluetooth ™/Ethernet™), ya que cada uno debe ser autenticado por la puerta 120 de enlace. Además, una vez autenticada, toda la aplicación del UE y cualquier dispositivo conectado al UE también está controlada por la puerta 120 de enlace.
En escenarios auténticos y de aplicación, como este, hay dos requisitos en conflicto:
Un primer requisito es que es importante ejercer alguna forma de aplicación en el sistema de comunicación, de modo que solo los datagramas entrantes con direcciones IP que estén asociados con dispositivos o nodos que hayan sido debidamente autenticados puedan pasar a través de la puerta de enlace y al portador. Existe una situación similar para los datos salientes, es decir, los datagramas de solo datos de enlace ascendente asociados con dispositivos o nodos autenticados deben enviarse a un internet 110 más amplio. Esto debería significar que en la puerta de enlace debería emplearse un filtrado complejo de direcciones IPv6 únicas, ya que es importante para emplear un proceso de autenticación riguroso, así como para proporcionar un proceso de aplicación efectivo permitiendo solo las direcciones IP individuales de los dispositivos que han sido autenticados centralmente. Sin embargo, el problema aquí es que es computacionalmente costoso y difícil realizar tal operación de aplicación teórica en la puerta de enlace; por ejemplo, podría haber una gran cantidad de direcciones IP individuales de 128 bits que deban filtrarse.
Un segundo requisito es que la puerta de enlace debe tener un mecanismo de filtrado simple para representar todos los prefijos que se han delegado al enrutador de borde, con estos prefijos mapeados en el portador. Esto permite pasar todos los datagramas al portador que tenía un prefijo específico (de al menos 64 bits y correspondiente al prefijo previamente delegado al UE) en su dirección IPv6 de 128 bits. Sin embargo, en un escenario donde se requiere que la puerta de enlace deje pasar todos los datagramas al portador que tenía un prefijo específico en su dirección IPv6 de 128 bits, no se realiza ninguna aplicación de dirección IP individual.
En algunas tecnologías, tal como los servicios de proximidad ('ProSe'), definidos en 3GPP v10 s23.303) en LTE™, los UE pueden comunicarse directamente entre ellos. En particular, un UE dentro de la cobertura celular puede actuar como un relé para un dispositivo fuera de cobertura, tal como otro UE. En este escenario, a cada nodo individual al que el UE transmite comunicaciones se le proporciona un prefijo 64/único completo, esto limita el número de nodos que se pueden soportar. La PGW debe asignar un prefijo IP a cada dispositivo UE individual que esté conectado y mantener un registro completo de todas las direcciones IP ya asignadas y todas las direcciones IP que están disponibles para ser asignadas. Esto aumenta considerablemente la complejidad del sistema. En este punto, cabe señalar que a pesar de que el estándar 3GPP™ recomienda el uso de la configuración automática de direcciones sin estado, tal mecanismo no tiene sentido en un escenario de nodo de relé de UE porque el prefijo asignado por PGW es único para cada UE individual.
Si el UE 140 en la FIG. 1 actúa como un nodo de relé (a veces denominado enrutador remoto), luego la puerta 120 de enlace puede delegar un prefijo IPv6 completo a este nodo de relé. Además, los dispositivos fuera de cobertura pueden configurar su propia dirección IPv6 utilizando la configuración automática de direcciones sin estado. Por lo tanto, la configuración automática de direcciones automáticas sin estado se puede utilizar en las subredes 150, 160, 170 y la puerta 120 de enlace no tiene que preocuparse por asignar a los usuarios individuales sus direcciones individuales. La puerta 120 de enlace que delega un prefijo IPv6 completo al nodo 140 de relé de UE también es mucho más eficiente en términos de espacio de direcciones IP, aunque eso podría no ser significativo con direcciones IPv6 de 128 bits.
Con referencia ahora a la FIG. 2. se ilustra un diagrama 200 de secuencia de mensajes conocido de comunicaciones en una comunicación inalámbrica que soporta procesos de autenticación y ejecución mediante los cuales una unidad de comunicación inalámbrica, tal como un UE LTE ™ está configurada para actuar como un enrutador. El diagrama de secuencia de mensajes describe un escenario para un UE de servicios con base en proximidad LTE (ProSe) convencional para un caso de relé de red, es decir, donde se asignan prefijos individuales a todos los dispositivos retransmitidos. En el cuadro 200 de secuencia de mensajes, un (EPS) 230 Sistema de Paquetes Evolucionado LTE™ se comunica con un dispositivo 210 de cliente a través de un UE LTE™ que actúa como un relé 220. El dispositivo 210 de cliente ha tenido que conectarse a la red previamente para obtener parámetros de descubrimiento ProSe, así como estar suscrito a un servicio apropiado para obtener estos datos, como en 240. El UE LTE ™ que actúa como un relé 220 autentica el UE con el EPS 230 LTE™ y obtiene una dirección IP predeterminada en 250. Una delegación 260 de prefijo también es proporcionada por el EPS 230 LTE ™ al UE LTE ™ que actúa como un relé 220. A partir de entonces, el dispositivo 210 de cliente y el UE LTE™ que actúa como un relé 220 realizan el descubrimiento 270 para permitir que el dispositivo 210 de cliente configure un enlace de comunicación. Los mensajes de solicitud de enrutador se envían desde el dispositivo 210 de cliente a una dirección de capa 2 del UE LTE™ que actúa como un relé 220 en 280. El UE LTE™ que actúa como un relé 220 envía mensajes de anuncio del enrutador que contienen un prefijo único del dispositivo 210 de cliente en 280. Por lo tanto, no se requiere la detección de direcciones duplicadas.
El RFC 5193 describe la arquitectura para la especificación del " Protocol for carrying Authentication for Network Access (PANA) Framework" en el RFC 5191 publicado por Internet Society (ISOC) en Suiza, mayo de 2008.
El documento US2011/119737A1 describe un punto de terminación inalámbrico que bloquea los datos si las direcciones de datos de origen no coinciden con las direcciones de una tabla proporcionada.
Por lo tanto, existe la necesidad de proporcionar una forma más flexible pero eficiente de aplicación en los sistemas de comunicación, de modo que solo se permitan datagramas entrantes y salientes con direcciones IP que estén asociados con dispositivos o nodos que hayan sido debidamente autenticados.
Sumario de la invención
La invención se define en las reivindicaciones independientes. En las reivindicaciones dependientes se establecen realizaciones particulares.
En un primer aspecto de la invención, se describe una unidad de comunicación inalámbrica para comunicarse con un nodo de red que está configurado para realizar responsabilidades de aplicación de múltiples unidades de comunicación inalámbrica que intentan acceder al sistema de comunicación que comprende una pasarela que tiene un PAA.
La unidad de comunicación inalámbrica que es una de dichas múltiples unidades de comunicación inalámbrica comprende: un receptor configurado para recibir mensajes de al menos el nodo de red; y un procesador acoplado al receptor y dispuesto para procesar un primer mensaje recibido desde el nodo de red y determinar a partir del mismo que la unidad de comunicación inalámbrica está autenticada para comunicarse en el sistema de comunicación.
Una vez que la unidad de comunicación inalámbrica está autenticada para comunicarse en el sistema de comunicación, el receptor y el procesador se configuran además para recibir y procesar un segundo mensaje, por lo que el segundo mensaje transfiere al menos una porción de las responsabilidades de aplicación del nodo de red asociadas con un PANA a la unidad de comunicación inalámbrica de modo que la unidad de comunicación inalámbrica pueda posteriormente realizar la aplicación de otras unidades de comunicación inalámbrica que intenten acceder al sistema de comunicación a través de la unidad de comunicación inalámbrica bloqueando los datos (824) hacia y desde las unidades de comunicación inalámbrica adicionales diferentes de los datos que comprenden una dirección de destino de un agente de autenticación de PANA.
De esta manera, se proporciona una forma de aplicación más flexible y más eficiente en los sistemas de comunicación que permite que un punto de aplicación haga la transición de una puerta de enlace en una red central a una unidad de comunicación inalámbrica, de modo que solo se permiten los datagramas de entrada y salida con direcciones IP que están asociadas con dispositivos o nodos que se han autenticado correctamente.
En un ejemplo opcional, el procesador puede configurarse adicionalmente después de la transferencia de la porción de las responsabilidades de aplicación del nodo de red para permitir únicamente que datagramas desde o hacia unidades de comunicación inalámbrica adicionales autenticadas pasen a través de la unidad de comunicación inalámbrica. De esta manera, una unidad de comunicación inalámbrica puede ser autenticada primero por la red central, antes de que se le transfiera al menos una porción de las responsabilidades de aplicación del nodo de red.
En un ejemplo opcional, el segundo mensaje puede transferir al menos una porción de las responsabilidades de aplicación del nodo de red después de que la unidad de comunicación inalámbrica reciba una solicitud para cambiar su función a un enrutador por otra unidad de comunicación inalámbrica. De esta manera, una unidad de comunicación inalámbrica adicional puede solicitar que la unidad de comunicación inalámbrica cambie su funcionalidad para incluir una función de punto de cumplimiento y, por lo tanto, admitir comunicaciones debidamente autenticadas y reforzadas.
En un ejemplo opcional, la unidad de comunicación inalámbrica puede configurarse además para recibir un mensaje que comprende información de autenticación de al menos el nodo de red que indica que la red ha autenticado otra unidad de comunicación inalámbrica y el procesador está dispuesto para almacenar dicha información de autenticación en la memoria para uso futuro. De esta manera, se puede informar a la unidad de comunicación inalámbrica de que la unidad de comunicación inalámbrica adicional está debidamente autenticada.
En un ejemplo opcional, el segundo mensaje puede asignar un único prefijo de múltiples direcciones IP, Protocolo de Internet, a la unidad de comunicación inalámbrica. En un ejemplo opcional, el segundo mensaje puede asignar un único prefijo de múltiples direcciones IP, Protocolo de Internet, a la unidad de comunicación inalámbrica después de que la unidad de comunicación inalámbrica haya sido autenticada por el nodo de red. De esta manera, la unidad de comunicación inalámbrica puede estar provista con un único prefijo de múltiples direcciones IP para ser utilizado como parte de su funcionalidad de punto de aplicación.
En un ejemplo opcional, el procesador puede configurarse para realizar la aplicación de otras unidades de comunicación inalámbrica que intentan acceder al sistema de comunicación a través de la unidad de comunicación inalámbrica mediante el anuncio del prefijo para permitir así que otras unidades de comunicación inalámbrica configuren automáticamente sus direcciones IP a través de una configuración automática de direcciones usando el prefijo.
En un ejemplo opcional, la unidad de comunicación inalámbrica puede usar el prefijo único de múltiples direcciones IP, Protocolo de Internet, para formar una o más redes de malla de otras unidades de comunicación inalámbrica para acceder al sistema de comunicación.
En un ejemplo opcional, el receptor y el procesador pueden configurarse para recibir y procesar al menos un tercer mensaje de una o más unidades de comunicación inalámbrica adicionales y, en respuesta a ello, el procesador puede configurarse para enviar una solicitud de autenticación desde la una o más unidades de comunicación inalámbricas adicionales al nodo de red. En un ejemplo opcional, el receptor puede configurarse para recibir un mensaje de autenticación desde el nodo de red en respuesta a la solicitud de autenticación y el procesador puede configurarse para reenviar el mensaje de autenticación a una solicitud respectiva desde una o más unidades de comunicación inalámbrica adicionales.
En un ejemplo opcional, el receptor puede configurarse para recibir el al menos un tercer mensaje a lo largo de un portador de radio utilizado para transportar datos entre la unidad de comunicación inalámbrica y el sistema de comunicación o un portador de radio diferente.
En un ejemplo opcional, el receptor puede configurarse para recibir al menos un cuarto mensaje desde la una o más unidades de comunicación inalámbrica adicionales y el procesador está configurado para procesar el al menos un cuarto mensaje e identificar a partir del mismo que la al menos una unidad de comunicación inalámbrica adicional está correctamente autenticada y los mensajes posteriores deben poder pasar.
En un ejemplo opcional, el procesador puede configurarse para enrutar únicamente datagramas con direcciones IP asociadas con otras unidades de comunicación inalámbrica que se hayan autenticado correctamente en el sistema de comunicación.
En un ejemplo opcional, el procesador puede configurarse para actuar como un enrutador para permitir la conectividad de Protocolo de Internet, IP, para múltiples unidades de comunicación inalámbrica adicionales usando la configuración automática de direcciones sin estado para obtener una dirección IP para acceder al sistema de comunicación.
En un ejemplo opcional, el procesador puede configurarse para actuar como un enrutador para permitir la conectividad de Protocolo de Internet, IP, para múltiples unidades de comunicación inalámbrica adicionales usando DHCP para la asignación de IPv4.
En un ejemplo opcional, en el que a medida que la red autentica cada unidad de comunicaciones inalámbricas, entonces la unidad de comunicación inalámbrica puede recibir un mensaje autenticado del nodo de red para actualizar su información de aplicación en consecuencia.
En un ejemplo opcional, el receptor puede configurarse para recibir mensajes adicionales de al menos el nodo de red que identifica otras unidades de comunicación inalámbrica que se autentican para operar en una red de malla; y el procesador puede estar configurado para almacenar las direcciones de dichas unidades de comunicación inalámbrica adicionales en la memoria de modo que la unidad de comunicación inalámbrica permita la conectividad IP para dichas unidades de comunicación inalámbrica adicionales.
Por lo tanto, en ejemplos opcionales, un primer mensaje puede comprender una indicación de que la unidad de comunicación inalámbrica, como un equipo de usuario (UE), está autenticada; un segundo mensaje puede comprender un prefijo delegado para la unidad de comunicación inalámbrica; un tercer mensaje (que podrían ser múltiples mensajes) puede comprender una autenticación desde un nodo a través de la unidad de comunicación inalámbrica a la red; y un cuarto mensaje puede comprender una indicación de que los nodos están autenticados y que las comunicaciones posteriores deben dejarse pasar por el nuevo punto de aplicación.
En algunos ejemplos de la invención, se describe un circuito integrado para una unidad de comunicación inalámbrica para comunicarse con un nodo de red que está configurado para realizar las responsabilidades de aplicación de las unidades de comunicación inalámbrica que intentan acceder al sistema de comunicación. El circuito integrado comprende: un procesador acoplable a un receptor y está dispuesto para procesar un primer mensaje recibido desde el nodo de red y determinar a partir del mismo que la unidad de comunicación inalámbrica está autenticada para comunicarse en el sistema de comunicación. Una vez que la unidad de comunicación inalámbrica está autenticada para comunicarse en el sistema de comunicación, el procesador se configura además para recibir y procesar un segundo mensaje, por lo que el segundo mensaje transfiere al menos una porción de las responsabilidades de aplicación del nodo de red a la unidad de comunicación inalámbrica de manera que el procesador puede entonces ejecutar la aplicación de otras unidades de comunicación inalámbrica que intentan acceder al sistema de comunicación a través de la primera unidad de comunicación inalámbrica.
En un segundo aspecto de la invención, se describe un método de aplicación en un sistema de comunicación inalámbrica que comprende al menos una unidad de comunicación inalámbrica para comunicarse con un nodo de red que está configurado para realizar responsabilidades de aplicación de múltiples unidades de comunicación inalámbrica que intentan acceder al sistema de comunicación
El método en la unidad de comunicación inalámbrica, que es una de dichas múltiples unidades de comunicación inalámbrica, comprende: recibir y procesar un primer mensaje recibido desde el nodo de red; determinar a partir del primer mensaje procesado que la unidad de comunicación inalámbrica está autenticada para comunicarse en el sistema de comunicación; recibir y procesar un segundo mensaje, en respuesta a la autenticación de la unidad de comunicación inalámbrica, por lo que el segundo mensaje transfiere al menos una porción de las responsabilidades de aplicación del nodo de red asociadas con una PANA a la unidad de comunicación inalámbrica; y realizar posteriormente, en la unidad de comunicación inalámbrica y en respuesta a la misma, la aplicación de otras unidades de comunicación inalámbrica que intentan acceder al sistema de comunicación a través de la unidad de comunicación inalámbrica mediante el bloqueo de datos hacia y desde las unidades de comunicación inalámbrica adicionales distintos de los datos que comprenden una dirección de destino de un PAA.
En un tercer aspecto de la invención, un sistema de comunicación comprende: un nodo de red configurado para realizar las responsabilidades de autenticación y aplicación de múltiples unidades de comunicación inalámbrica que intentan acceder al sistema de comunicación; siendo una primera unidad de comunicación inalámbrica una de dichas múltiples unidades de comunicación inalámbrica capaces de comunicarse con el nodo de red. El nodo de red está configurado para autenticar la primera unidad de comunicación inalámbrica, de acuerdo con el primer aspecto. Breve descripción de los dibujos
Se describirán más detalles, aspectos y realizaciones de la invención, sólo a modo de ejemplo, con referencia a los dibujos. En los dibujos, se utilizan números de referencia similares para identificar elementos similares o funcionalmente similares. Los elementos de las figuras se ilustran por motivos de simplicidad y claridad y no necesariamente se han dibujado a escala.
La FIG. 1 ilustra una descripción general de un sistema de comunicación inalámbrica conocido mediante el cual una estación móvil está configurada para actuar como un enrutador.
La FIG. 2. ilustra un diagrama de secuencia de mensajes conocido de comunicaciones en una comunicación inalámbrica que soporta procesos de autenticación y aplicación mediante los cuales se configura una estación móvil para actuar como un enrutador.
La FIG. 3 ilustra un sistema de comunicación celular 3GPP ™ LTE adaptado de acuerdo con algunas realizaciones de ejemplo de la presente invención.
La FIG. 4 ilustra una descripción general de un sistema de comunicación inalámbrica mediante el cual se configura una unidad de comunicación inalámbrica para realizar una función de aplicación de acuerdo con algunas realizaciones de ejemplo de la presente invención.
La FIG. 5 ilustra un ejemplo de empleo de direccionamiento de prefijo de acuerdo con algunas realizaciones de ejemplo de la invención.
La FIG. 6 ilustra un diagrama de bloques de una unidad de comunicación inalámbrica, adaptada de acuerdo con algunas realizaciones de ejemplo de la invención.
La FIG. 7 ilustra una descripción general de un sistema de comunicación inalámbrica que emplea la autenticación EAP transportada por PANA cuando se usa la tunelización a través de la red de un operador de acuerdo con algunas realizaciones de ejemplo de la invención.
La FIG. 8 ilustra un diagrama de secuencia de mensajes de ejemplo de comunicaciones en un sistema de comunicación inalámbrica que soporta procesos de autenticación y aplicación mediante los cuales se configura una estación móvil para realizar una función de aplicación, de acuerdo con algunas realizaciones de ejemplo de la invención.
La FIG. 9 ilustra un sistema informático típico que puede emplearse como una unidad de comunicación inalámbrica para realizar una función de cumplimiento de acuerdo con algunas realizaciones de ejemplo de la invención.
Los expertos en la técnica apreciarán que los elementos de las figuras están ilustrados por simplicidad y claridad y no necesariamente han sido dibujados a escala. Por ejemplo, las dimensiones y/o el posicionamiento relativo de algunos de los elementos en las figuras pueden exagerarse con respecto a otros elementos para ayudar a mejorar la comprensión de diversas realizaciones de la presente invención. Además, los elementos comunes, pero bien entendidos que son útiles o necesarios en una realización comercialmente viable a menudo no se representan con el fin de facilitar una vista menos obstruida de estas diversas realizaciones de la presente invención. Se apreciará además que determinadas acciones y/o pasos pueden describirse o representarse en un orden particular de aparición, mientras que los expertos en la técnica entenderán que tal especificidad con respecto a la secuencia no es realmente necesaria. También se entenderá que los términos y expresiones usados en el presente documento tienen el significado técnico ordinario que las personas expertas en el campo técnico les otorgan a dichos términos y expresiones como se establece anteriormente, excepto cuando por el contrario se hayan establecido aquí diferentes significados específicos.
Descripción detallada
Los ejemplos de la invención proponen un mecanismo para hacer la transición de la aplicación al borde de la cobertura celular y ubicar la función de aplicación en una unidad de comunicación inalámbrica que está configurada como un enrutador de borde. En el contexto de la descripción, el término "unidad de comunicación inalámbrica" abarca cualquier dispositivo inalámbrico que pueda ser reconfigurado para soportar comunicaciones entre el sistema celular y una o más unidades de comunicación inalámbrica adicionales. El término "unidad de comunicación inalámbrica" abarca además cualquier dispositivo inalámbrico fijo, un equipo de usuario (UE) en un sistema Long Term Evolution (LTE™), una estación móvil (MS) en un sistema de 2da generación o cualquier dispositivo similar con capacidad de relé. En el contexto de la descripción, el término "enrutador de borde" abarca cualquier dispositivo inalámbrico que esté ubicado distal del núcleo celular central, así como la respectiva estación base o NodoB conectada a. El término 'enrutador de borde' abarca el nodo de relé o similares y los términos se usan indistintamente.
Los ejemplos de la invención proponen que la autenticación permanezca en un nodo de red central. De esta manera, el nodo de red central puede administrar la red sin ejecutar la aplicación de direcciones IP individuales dentro del prefijo asignado (típicamente el prefijo /56), que es demasiado complejo cuando se autentican potencialmente millones o miles de millones de dispositivos. Por lo tanto, de esta manera, la unidad de comunicación inalámbrica configurada como un enrutador de borde nunca realiza autenticación para otras unidades, dispositivos o UE de comunicación inalámbrica. Todas las demás unidades, dispositivos o UE de comunicación inalámbrica se autenticarán con un autenticador/servidor central.
Sin embargo, la unidad de comunicación inalámbrica configurada como lo hace un enrutador de borde también está configurada para realizar la aplicación de otras unidades, dispositivos o UE de comunicación inalámbrica, una vez que la propia unidad de comunicación inalámbrica se ha autenticado correctamente. La aplicación, en el contexto de los conceptos descritos en el presente documento, al menos abarca el bloqueo de todo el tráfico de direcciones IP específicas, excepto los mensajes asociados con la autenticación. Por ejemplo, de acuerdo con los ejemplos de la invención, se permite que los mensajes de autenticación pasen a través de la unidad de comunicación inalámbrica configurada como un enrutador de borde porque la autenticación se realiza de forma centralizada.
Ventajosamente, al mantener un registro central de dispositivos autenticados, se puede lograr más fácilmente la gestión de múltiples mallas. Por lo tanto, aunque la aplicación se realiza en la unidad de comunicación inalámbrica, todavía se controla efectivamente mediante autenticación en el autenticador/servidor central, ya que se le informa a la unidad de comunicación inalámbrica configurada para funcionar como un enrutador de borde de que otro dispositivo ha sido autenticado centralmente. Solo entonces, una vez autenticada, la unidad de comunicación inalámbrica configurada para funcionar como un enrutador de borde puede modificar su funcionalidad de aplicación para permitir el paso de datos para el nuevo dispositivo.
En algunos ejemplos, cuando un primer nodo se une a la red y realiza la autenticación, el punto de aplicación se ubica junto con el agente de autenticación en la red. En este escenario, la señalización entre el autenticador y el punto de aplicación es interna al elemento de red. A partir de entonces, se transfiere la función de punto de aplicación. Por ejemplo, una vez que este primer nodo ha sido autenticado y comienza a actuar como enrutador para otros nodos, entonces el punto de aplicación se mueve a este primer nodo mientras que la ubicación del agente de autenticación permanece fija. Dentro de la red solo se realiza una aplicación limitada, mapeando todo el espacio de prefijo asignado al primer nodo en un portador.
Ventajosamente, de acuerdo con algunos ejemplos, la señalización entre un autenticador y un punto de aplicación sigue ahora el mismo camino que el tráfico del plano de usuario, simplificando así el flujo de datos.
Con referencia ahora a la FIG. 3, se muestra esquemáticamente un sistema 300 de comunicación inalámbrica, de acuerdo con un ejemplo de realización de la invención. En esta realización de ejemplo, el sistema 300 de comunicación inalámbrica es compatible con, y contiene elementos de red capaces de operar sobre una interfaz aérea del sistema universal de telecomunicaciones móviles (UMTS™). En particular, la realización se relaciona con la arquitectura de un sistema para un sistema de comunicación inalámbrica Evolved-UMTS Terrestrial Radio Access Network (E-UTRAN), que se encuentra actualmente en discusión en el Third Generation Partnership Project (3GPP™) para la evolución a largo plazo (LTE ), con base en OFDMA (Acceso Múltiple por División de Frecuencia Ortogonal) en el enlace descendente (DL) y SC-FDMA (Acceso Múltiple por División de Frecuencia de Portador Único) en el enlace ascendente (UL), como se describe en la serie de especificaciones 3GPP™ TS 36.xxx . Dentro de LTE, se definen los modos dúplex por división de tiempo (TDD) y dúplex por división de frecuencia (FDD).
La arquitectura del sistema 300 de comunicación inalámbrica consiste en una red de acceso por radio (RAN) y una red central (CN), a veces denominada sistema 304 de paquetes evolucionados (EPS), con elementos de la red central acoplados a redes 302 externas (llamadas redes de datos por paquetes (PDN)), tal como internet o una red corporativa. Los elementos CN comprenden una puerta 307 de enlace de red de paquetes de datos (P-GW). Con el fin de servir contenido local, la P-GW puede acoplarse a un proveedor de contenido. El P-GW 307 puede estar acoplado además a una entidad de función de reglas y control de políticas (PCRF) 397 y una puerta 306 de enlace.
El PCRF 397 es operable para controlar la toma de decisiones de control de políticas, así como para controlar las funcionalidades de carga con base en flujo en una función de aplicación de control de políticas PCEF (no mostrada) que puede residir en el P-GW 307. El PCRF 397 puede proporcionar además un identificador de clase de autorización de calidad de servicio (QoS) e información de rata de bits que dicta cómo se tratará un determinado flujo de datos en la PCEF, y asegura que esto está de acuerdo con el perfil de suscripción de un UE 325.
En realizaciones de ejemplo, la puerta 306 de enlace es una puerta de enlace de servicio (S-GW). La puerta 306 de enlace está acoplada a una entidad de gestión de movilidad MME 308 a través de una interfaz S11. La MME 308 se puede operar para gestionar el control de sesión de los portadores de la puerta de enlace y está acoplada de manera operativa a una base 330 de datos de servidor de abonado doméstico (HSS) que está dispuesta para almacenar información relacionada con la unidad 325 de comunicación del abonado (equipo de usuario (UE)). Como se ilustra, la MME 308 también tiene una conexión directa a cada eNodoB 310, a través de una interfaz S1-MME.
La base 330 de datos HSS puede almacenar datos de suscripción de UE tales como perfiles de QoS y cualquier restricción de acceso para itinerancia. La base 330 de datos HSS también puede almacenar información relacionada con el P-GW 307 al que se puede conectar un UE 325. Por ejemplo, estos datos pueden tener la forma de un nombre de punto de acceso (APN) o una dirección de red de paquetes de datos (PDN). Además, la base 330 de datos HSS puede contener información dinámica relacionada con la identidad del MME 308 a la que una unidad de comunicación inalámbrica (como UE 325) está actualmente conectada o registrada.
La MME 308 puede funcionar además para controlar protocolos que se ejecutan entre la unidad de comunicación inalámbrica, tal como el equipo 325 de usuario (UE) y los elementos CN, que se conocen comúnmente como protocolos de estrato sin acceso (NAS). La MME 308 puede soportar al menos las siguientes funciones que pueden clasificarse en: funciones relacionadas con la gestión de portadores (que pueden incluir el establecimiento, mantenimiento y liberación de portadores), funciones relacionadas con la gestión de conexiones (que pueden incluir el establecimiento de la conexión y seguridad entre la red y el UE 325) y funciones relacionadas con el interfuncionamiento con otras redes (que pueden incluir el traspaso de llamadas de voz a redes heredadas). La puerta 306 de enlace actúa predominantemente como un punto de anclaje de movilidad y es capaz de proporcionar distribución de multidifusión de datos de plano de usuario de protocolo de Internet (IP) a los eNodoBs 310. La puerta 306 de enlace puede recibir contenido a través del P-GW 307, desde uno o más proveedores 309 de contenido o mediante el PDN 302 externo. La MME 308 puede acoplarse además a un centro de ubicación móvil de servicio evolucionado (E-SMLC) 398 y un centro de ubicación móvil de puerta de enlace (GMLC) 399.
El E-SMLC 398 se puede operar para gestionar la coordinación general y la programación de los recursos necesarios para encontrar la ubicación del UE que está conectado a la RAN, en esta realización de ejemplo la E-UTRAN. El GMLC 399 contiene las funcionalidades necesarias para admitir los servicios de ubicación (LCS). Después de realizar una autorización, envía solicitudes de posicionamiento al MME 308 y recibe estimaciones de ubicación finales.
El P-GW 307 se puede operar para determinar la asignación de direcciones IP para un UE 325, así como la aplicación de QoS y el cobro con base en el flujo de acuerdo con las reglas recibidas del PCRF 397. El P-GW 307 se puede operar además para controlar el filtrado de paquetes IP de usuario de enlace descendente en diferentes portadores con base en QoS (no mostrados). El P-GW 307 también puede servir como un ancla de movilidad para el interfuncionamiento con tecnologías que no son 3GPP tal como las redes CDMA2000 y WiMAX.
Como la puerta 306 de enlace comprende un S-GW, los eNodoBs 310 se conectarían directamente al S-GW 306 y a la MME 308. En este caso, todos los paquetes UE se transferirían a través del S-GW 306, que puede servir como un anclaje de movilidad local para los portadores de datos cuando un UE 325 se mueve entre los eNodoB 310. El S-GW 306 también es capaz de retener información sobre los portadores cuando el UE 325 está en un estado inactivo (conocido como gestión de conexión de EPS IDLE), y almacena temporalmente datos de enlace descendente mientras la MME 308 inicia la búsqueda del UE 325 para restablecer los portadores. Además, el S-GW 306 puede realizar algunas funciones administrativas en la red visitada, tal como recopilar información para cargar (es decir, el volumen de datos enviados o recibidos desde el UE 325). El S-GW 306 puede servir además como un anclaje de movilidad para interfuncionar con otras tecnologías 3GPP™ tal como GPRS™ y UMTS™.
Como se ilustra, el EPS 304 está conectado operativamente a dos eNodoBs 310, con sus respectivas zonas de cobertura o celdas 385, 390 y una pluralidad de UE 325 que reciben transmisiones desde el EPS 304 a través de los eNodoBs 310. De acuerdo con las realizaciones de ejemplo de la presente invención, se han adaptado al menos un eNodoB 310 y al menos un UE 325 (entre otros elementos) para soportar los conceptos descritos a continuación.
El componente principal de la RAN es un eNodoB (un NodoB evolucionado) 310, que realiza muchas funciones de estación base estándar y está conectado al EPS 304 a través de una interfaz S1 y a los UE 325 a través de una interfaz Uu. Un sistema de comunicación inalámbrica típicamente tendrá un gran número de tales elementos de infraestructura donde, por motivos de claridad, solo se muestra un número limitado en la FIG. 3. Los eNodoBs 310 controlan y gestionan las funciones relacionadas con los recursos de radio para una pluralidad de unidades/terminales de comunicación de abonado inalámbricos (o equipo de usuario (UE) 325 en la nomenclatura UMTS™). Cada uno de los UE 325 comprende una unidad 327 transceptora acoplada operativamente a la lógica 308 de procesamiento de señales (con un UE ilustrado con tal detalle sólo por motivos de claridad). El sistema comprende muchos otros UE 325 y eNodoB 310, que por motivos de claridad no se muestran.
La FIG. 4 ilustra una descripción general de un sistema 400 de comunicación inalámbrica mediante el cual una unidad de comunicación inalámbrica, tal como UE 325, está configurada para realizar una función de cumplimiento, cuando se configura como un enrutador de borde de acuerdo con algunas realizaciones de ejemplo de la presente invención. El sistema 400 de comunicación inalámbrica comprende una red pública de datos tal como internet 302 que se conecta a una puerta de enlace tal como EPS 304 en un sistema LTE™. El EPS 304 comprende la funcionalidad 330 del procesador configurada para realizar la autenticación de unidades y dispositivos de comunicación inalámbrica, así como la funcionalidad 404 del procesador configurada para realizar la funcionalidad de aplicación. Un portador 321 transporta datos, por ejemplo, datos IPv6, entre UE 325 y EPS 304. Una vez que UE 325 es autenticado por la funcionalidad 330 del procesador del EPS 304, UE 325 se configura para enrutar datos, por ejemplo, datos IPv6, entre dispositivos de comunicación ubicados en redes 410, 420, 430 de malla (a veces denominadas subredes) y EPS 304.
De acuerdo con los ejemplos de la invención, antes de que el UE 325 sea autenticado, no tiene acceso a Internet 302. Una vez que el UE 325 es autenticado por EPS 304, solo los datos con el prefijo asignado al UE 325 pueden pasar. De acuerdo con algunos ejemplos de la invención, la funcionalidad de aplicación se transfiere desde el procesador 404 dentro de EPS 304 al procesador 402 de aplicación en UE 325. De acuerdo con ejemplos de la invención, el UE 325 se configura entonces, básicamente, para no permitir que ningún dato sea enviado a/desde un dispositivo particular al que está conectado, por ejemplo, dentro de cualquiera de las redes 410, 420, 430 de malla, a menos que el dispositivo haya sido autenticado, por ejemplo, mediante la funcionalidad 330 del procesador del EPS 304, y los datos contienen el prefijo delegado al UE 325, por ejemplo un prefijo IPv6 /64. De esta manera, el procesador 402 de aplicación en UE 325 puede esencialmente filtrar o bloquear direcciones IP de manera que solo permita que los datos fluyan hacia/desde dispositivos que han sido autenticados.
La autenticación continúa ocurriendo en la puerta de enlace (o en la red en otro nodo). En la puerta de enlace, el procesador 404 de aplicación solo puede existir como un filtro simple que toma todos los datagramas para todo el espacio de prefijo que se ha delegado y asignado a la unidad de comunicación inalámbrica (nótese que esto incluirá la dirección IP de la unidad de comunicación y los nodos y dispositivos para los que enruta los datos).
Para que la función 402 de aplicación en la unidad 325 de comunicación inalámbrica funcione correctamente se debe informar cuando cada nuevo dispositivo o UE, por ejemplo, un nuevo dispositivo o UE ubicado en una de las redes 410, 420, 430 de malla, está correctamente autenticado para poder actualizar en consecuencia su operación de filtrado. Por lo tanto, esta información de autenticación debe pasarse a lo largo de otro portador, por ejemplo, el portador 406, o el mismo portador 321 que se utiliza para transportar datos de regreso al UE 325.
Ahora, la aplicación solo es manejada parcialmente por el procesador 404 en la PGW, por ejemplo, la aplicación inicial de una unidad de comunicación inalámbrica que puede configurarse como un enrutador de borde. En este sentido, todo el espacio de prefijo /56 (o /64) se asigna al portador del UE 325, pero no se aplican las direcciones IP individuales. En un ejemplo de 3GPP™ o LTE™, será necesario delegar al menos otro prefijo /64, lo que significa que todo el espacio de prefijo es /63, a pesar de que un espacio de prefijo /56 típicamente se delega a la mayoría de las funciones del enrutador en IPv6.
Con referencia ahora a la FIG. 5, se ilustra un ejemplo de una arquitectura 500 que admite el empleo de direccionamiento de prefijo de acuerdo con algunas realizaciones de ejemplo de la invención. En este ejemplo, la unidad de comunicación inalámbrica, tal como UE 325, está configurada para realizar una función de punto de aplicación, cuando se configura como un enrutador de borde de acuerdo con algunas realizaciones de ejemplo de la presente invención. La unidad de comunicación inalámbrica obtiene una dirección IP, por ejemplo, '2a00:f0c0:0:1::1', cuando se conecta inicialmente a la red. Por lo tanto, la unidad de comunicación inalámbrica recibe todo el espacio de prefijo para su uso con la unidad de comunicación inalámbrica adicional. Un ejemplo ilustrado del espacio de prefijo es el conjunto del /64 utilizado para el propio UE 325 (2a00:f0c0:0:1/64) y el /64 delegado (2a00:f0c0:0:2/64). De esta manera, la puerta 304 de enlace permitirá la entrada de todo lo que haya en el espacio /63, es decir, se dejan pasar 2A(128-63) posibles direcciones IP individuales. Por ejemplo, la puerta 304 de enlace permite un intervalo completo de direcciones IP desde '2a00:f0c0:0:1:0:0:0:0' hasta '2a00:f0c0:0:2:ffff:ffff:fffff:ffff' al portador LTE™.
En este ejemplo, la unidad de comunicación inalámbrica, tal como el UE 325, puede entonces emplear anuncios de enrutador que contengan el prefijo: '2a00:f0c0:0:2' y transmitirlos a uno o más dispositivos 510, 520, 530 cliente. El UE 325 puede obtener la dirección IP: '2a00:f0c0:0:2' de una delegación de prefijo. Cada uno de los dispositivos 510, 520, 530 de cliente obtiene sus respectivas direcciones IP individuales, 2a00:f0c0:0:2::1, 2a00:f0c0:0:2::2, 2a00:f0c0:0:2::3 usando anuncios de enrutador y un SLAAC. A partir de entonces, el punto de aplicación (EP) proporcionado por el procesador en el UE 325 solo deja pasar paquetes desde, en este ejemplo ilustrado, las tres direcciones IP individuales.
Con referencia ahora a la FIG. 6, se muestra un diagrama de bloques de una unidad de comunicación inalámbrica, adaptada de acuerdo con algunas realizaciones de ejemplo de la invención. En la práctica, únicamente con el propósito de explicar las realizaciones de la invención, la unidad de comunicación inalámbrica se describe en términos de una unidad de comunicación inalámbrica de abonado, tal como un UE 325. La unidad de comunicación inalámbrica contiene una o más antenas 602, 603 para recibir o transmitir señales 321, 322 acopladas a un conmutador de antena o duplexor 604 que proporciona aislamiento entre las cadenas de recepción y transmisión dentro del UE 325. Una o más cadenas de recepción, como se conoce en la técnica, incluyen el circuito 606 de entrada frontal del receptor (proporcionando efectivamente recepción, filtrado y conversión de frecuencia de base-banda o intermedia). El circuito 606 de entrada frontal del receptor está acoplado a un procesador 328 de señal (generalmente realizado por un procesador de señal digital (DSP)). Un experto en la técnica apreciará que el nivel de integración de los circuitos o componentes del receptor puede ser, en algunos casos, dependiente de la implementación.
El controlador 614 mantiene el control operativo global de la unidad 325 de comunicación inalámbrica. El controlador 614 también está acoplado al circuito 606 de entrada frontal del receptor y al procesador 328 de señal. En algunos ejemplos, el controlador 614 también está acoplado a un módulo 617 de memoria intermedia y un dispositivo 616 de memoria que almacenan selectivamente regímenes operativos, tales como funciones de decodificación/codificación, patrones de sincronización, secuencias de código y similares. Un temporizador 618 está acoplado operativamente al controlador 614 para controlar la sincronización de las operaciones (por ejemplo, transmisión o recepción de señales dependientes del tiempo) dentro de la unidad 325 de comunicación inalámbrica.
En cuanto a la cadena de transmisión, ésta incluye esencialmente un módulo 620 de entrada, acoplado en serie a través de un circuito 622 transmisor/modulación y un amplificador 624 de potencia a la antena 602, conjunto de antenas o pluralidad de antenas. La circuitería 622 de transmisor/modulación y el amplificador 624 de potencia responden operativamente al controlador 614.
De acuerdo con los ejemplos de la invención, el UE 325 está configurado de modo que sea capaz de cambiar su funcionamiento para que funcione como un enrutador de borde. De acuerdo con ejemplos de la invención, el procesador 328 de señal comprende un procesador 402 configurado para realizar la funcionalidad de aplicación, que se transfiere desde, digamos, una PGW. De acuerdo con ejemplos de la invención, el UE 325 se configura entonces, básicamente, para no permitir que ningún dato sea enviado hacia/desde un dispositivo particular al que está conectado, por ejemplo, dentro de cualquiera de las redes 410, 420, 430 de malla de la FIG. 4, a menos que el dispositivo haya sido autenticado. Por lo tanto, el procesador 402 está configurado para determinar un prefijo de una dirección IP, digamos una dirección IPv6 de los datos que se envían al UE 325. Si los datos contienen el prefijo asignado al UE 325, por ejemplo, un prefijo IPv6 /64, el procesador 402 permite que los datos pasen por allí. De esta manera, el procesador 402 de aplicación en UE 325 puede esencialmente filtrar o bloquear direcciones IP de modo que solo permita que los datos fluyan hacia/desde dispositivos que han sido autenticados.
En algunos ejemplos, el procesador 402 de aplicación en UE 325 puede estar ubicado en un circuito 630 integrado.
En algunos ejemplos, el receptor puede configurarse para recibir más mensajes de la estación base del sistema celular identificando otras unidades de comunicación inalámbricas remotas que pueden (o desean) operar en una red de malla. En respuesta a ello, el procesador 402 está configurado para almacenar las direcciones de dichas otras unidades de comunicación inalámbrica remotas en la memoria 616, de modo que el UE 325 puede permitir posteriormente la conectividad IP para dichas otras unidades de comunicación inalámbrica remotas.
El procesador 328 de señal en la cadena de transmisión puede implementarse como distinto del procesador de señal en la cadena de recepción. Alternativamente, se puede usar un solo procesador para implementar un procesamiento de señales de transmisión y recepción, como se muestra en la FIG. 6. Claramente, los diversos componentes de la unidad 325 de comunicación inalámbrica pueden realizarse en forma de componentes discretos o integrados, siendo la estructura final una selección de diseño o aplicación específica.
La FIG. 7 ilustra una descripción general de un sistema 700 de comunicación inalámbrica que emplea autenticación de Protocolo de Autenticación Extensible (EAP) usando PANA para transportar los mensajes EAP cuando se usa tunelización a través de la red de un operador de acuerdo con algunas realizaciones de ejemplo de la invención. EAP es un marco de autenticación ampliamente utilizado en WiFi™ y otros sistemas de comunicación inalámbrica, redes y conexiones punto a punto. EAP define formatos de mensaje, donde cada protocolo que usa EAP define una forma de encapsular mensajes EAP dentro de los mensajes de ese protocolo.
En los sistemas de comunicación inalámbrica actuales, se desarrolló un Protocolo para Llevar la Autenticación para el Acceso a la Red (PANA, RFC 5191) para permitir que EAP se transporte sobre IP entre el solicitante y el autenticador y, por lo tanto, permitir que EAP se utilice en una mayor variedad de entornos. Convencionalmente, se utiliza un mecanismo de capa de enlace (802.1X) para transportar mensajes EAP. Es relativamente sencillo para un dispositivo bloquear todo el tráfico desde un dispositivo hasta que se autentique. Sin embargo, en PANA se necesita una dirección IP para enviar datos; por lo tanto, se requiere un nodo separado dentro de la ruta hacia el internet más amplio que bloquee todo el resto del tráfico del nodo autenticador excepto el enviado a la PANA. Por lo tanto, se debe introducir un nuevo elemento funcional en la arquitectura para garantizar que solo los nodos autenticados tengan acceso al sistema. En algunos ejemplos de la invención, este elemento funcional se denomina punto de aplicación y puede implementarse como un procesador de señales dentro de una unidad de comunicación inalámbrica, tal como el procesador de señales 402 del UE 325 en la FIG. 4 y FIG. 6.
En este ejemplo, el sistema 700 de comunicación inalámbrica, un PDN por ejemplo PDN 702 IPv6 está conectado a una puerta 704 de enlace que comprende un agente de autenticación PANA (PAA). La puerta 704 de enlace está acoplada a un servidor de autenticación (AS) 718 que se encarga de verificar las credenciales de un cliente, a través de un enlace 716 de Radio. La puerta 704 de enlace está acoplada a un PDN 712 del operador, que está conectado a un Núcleo de Paquete Evolucionado (EPC) a veces denominado Sistema de Paquetes Evolucionado (EPS) 304, que en algún ejemplo comprende una puerta de enlace, que puede ser una puerta de enlace de paquetes (PGW) 408 en un sistema LTE™. El EPS 304 está conectado a una unidad de comunicación inalámbrica, tal como UE 325 a través de un portador 321 de radio, que en este ejemplo es un portador LTE™. El UE 325 comprende un procesador 402 que se puede configurar como un Punto de Aplicación (EP). El procesador 402 está a cargo de permitir el tráfico de datos de clientes autenticados (por ejemplo, autorizados) mientras evita el acceso de otros dispositivos no autenticados. El UE 325 puede configurarse como un enrutador de borde para facilitar las comunicaciones hacia/desde una o más de, por ejemplo, la red 710 donde la conectividad se logra usando WiFi™, la red 720 donde la conectividad se logra usando Bluetooth™, la red 730 donde se logra la conectividad utilizando Ethernet™. Cualquier dispositivo dentro de las redes 710, 720, 730 se conoce como cliente PANA (PaC), es decir, admite una implementación de cliente de PANA. La ubicación de estas entidades funcionales dentro de la red es flexible.
Aquí, el UE 325 se conecta a la red LTE y luego usa un túnel IP dentro del operador PDN 712 para llegar a una puerta 704 de enlace que controla el acceso a un PDN 702 IPv6. En este ejemplo, EAP usando PANA puede usarse con el PAA 706 y un procesador EP (no mostrado) en la puerta 704 de enlace para controlar el acceso del UE 325 al IPv6 702 PDN. Sin embargo, cuando los dispositivos finales se conectan, digamos a través de la autoconfiguración de direcciones sin estado, con el UE 325, el UE 325 ahora actuando como un enrutador de borde debe asegurarse de que la puerta 704 de enlace al IPV6702 PDN solo filtre prefijos completos (como fue el caso del EPS 304) en lugar de direcciones IPv6 asignadas individualmente. Por lo tanto, como se ilustra, la puerta de enlace no puede contener el EP y, en cambio, se reubica dentro del procesador 402 del propio UE 325. De esta manera, las reglas de aplicación de IPv6 se transfieren al UE 325. Un ejemplo de implementación para lograr esta transferencia es utilizar la autenticación 802.1X que admite EAP, una vez que el UE 325 se ha autenticado y se ha delegado un prefijo, los ejemplos de la invención admiten una porción de la funcionalidad de EP que se transfiere o se extrae del PAA 706 y que ubica la funcionalidad de EP localizada en el procesador 402 del UE 325. Nuevamente, en este caso PAA, la puerta de enlace puede informar al procesador 402 de EP en el UE 325, digamos a través de un portador 404 separado, siempre que se autentique un dispositivo de extremo, de modo que los filtros en el procesador EP 402 puedan actualizarse de forma apropiada.
Por lo tanto, en un ejemplo, se asigna inicialmente un prefijo /56 al UE 325. En este punto inicial, el punto/función de aplicación reside en la puerta 704 de enlace. Luego, una vez que el UE 325 está completamente autenticado y el prefijo /56 delegado hasta el UE 325 para que actúe como un enrutador, el punto de aplicación se mueve al procesador 402 del UE 325. Por ejemplo, se puede considerar que la función de EP por lo tanto, se mueve dentro de un único prefijo. De esta manera, un cliente PANA (PaC), una vez que se ha autenticado, puede asumir el papel de un punto de aplicación para los clientes PANA posteriores que se conectan a la red a través de este primer cliente PANA. Esta transferencia de funcionalidad no es posible actualmente como se define en RFC 5191.
Aunque la FIG. 7 se describe para su uso con PANA y EAP, se prevé que el concepto inventivo descrito en el presente documento sea aplicable a cualquier otro sistema o dispositivo que pueda reconfigurarse para proporcionar una función de capacidad de enrutamiento.
Una vez que el UE se ha autenticado en el PAA, la función de EP se elimina en gran medida de la puerta de enlace y mapea todas las direcciones IP asignadas al UE cuando se conecta al IPv6 PDN (o, por ejemplo, a otras redes de paquetes, como IPv4) y cualquier prefijo que se le delegue al UE para admitir subredes enrutadas en el túnel.
La FIG. 8 ilustra un diagrama 800 de secuencia de mensajes de ejemplo adicional de comunicaciones en un sistema de comunicación inalámbrica que soporta procesos de autenticación y aplicación mediante los cuales una estación móvil está configurada para realizar una función de aplicación de acuerdo con algunas realizaciones de ejemplo de la invención. El diagrama 800 de secuencia de mensajes comprende comunicaciones entre un cliente 802, una unidad de comunicación inalámbrica, tal como el UE 325 que actúa como un enrutador de borde y que está configurado con funcionalidad de punto de cumplimiento, un autenticador 706 de PAA y un servidor 718 de autenticación. En 810, el cliente 802 ya obtuvo una dirección IP local de enlace. En 812, se envían mensajes de solicitud de enrutador desde el cliente 802 hasta el UE 325 y en 814 se envían mensajes de anuncio de enrutador desde el UE 325 hasta el cliente 802. A continuación, se pueden enviar mensajes de solicitud de vecino desde el cliente 802 hasta el UE 325, en 816. En este punto 820, el cliente 802 ha obtenido una dirección IPv6 única y la ha validado para su unicidad, por ejemplo, utilizando el proceso de configuración de direcciones sin estado como se describe en la FIG. 7. Por lo tanto, en 822, el cliente 802 conoce la dirección IP del PAA 706, por ejemplo, se conoce a priori o a través de los mensajes 814 de anuncio del enrutador. El procesador del punto de aplicación en el UE 325 está configurado para bloquear todos los datos hacia/desde el cliente 802 en el sistema de comunicación más amplio, excepto los datos con una dirección de destino del PAA 706 desde la dirección IPv6 global del cliente en 824.
Posteriormente, el cliente 802 se autentica con el servidor 718 de autenticación conectado al PAA 706. Por ejemplo, el proceso de autenticación puede emplear un enfoque de Protocolo para Llevar Autenticación para Acceso a la Red (PANA) para autenticar la unidad de comunicación remota inalámbrica. Esto puede incluir un mensaje 830 de inicio de cliente de PANA enviado desde el cliente 802 hasta el PAA 706, con una Solicitud 832 de Autenticación de PANA enviada desde el PAA 706 hasta el cliente 802. Una Respuesta 834 de Autenticación de PANA se envía luego desde el cliente 802 hasta el PAA 706. En respuesta al mismo, el PAA 706 envía una Solicitud 836 de Autenticación de PANA, que encapsula una Solicitud/Identidad de Protocolo de Autenticación Extensible (EAP) dentro del mensaje (por ejemplo, la primera parte indica una solicitud y la segunda parte indica una identidad), hasta el cliente 802. El cliente 802 envía entonces una Respuesta 838 de Autenticación de PANA, que encapsula una Solicitud/Identidad de EAP dentro del mensaje, hasta el PAA 706.
En respuesta a ello, el PAA 706 envía una Solicitud 840 de Acceso de Radio, que encapsula una Respuesta/Identidad de EAP, hasta el servidor 718 de autenticación, que responde con un Desafío 842 de Acceso de Radio, que encapsula una Solicitud/método de EAP, hasta el PAA 706. En respuesta a ello, el PAA 706 envía una Solicitud 850 de Autenticación de PANA, que encapsula una Solicitud/método de EAP dentro del mensaje, hasta el cliente 802. El cliente 802 envía entonces una Respuesta 852 de Autenticación PANA, que encapsula una Respuesta/método de EAP dentro del mensaje, hasta el PAA 706. El cliente 802 luego envía una Solicitud 844 de Acceso de Radio, que encapsula una Respuesta/método de EAP dentro del mensaje, hasta el servidor 718 de autenticación. Este intercambio de solicitudes y respuestas puede repetirse 854 tantas veces como lo requiera el enfoque EAP hasta que la autenticación en el servidor 718 de autenticación se considere exitosa en 846.
Después de la autenticación, el servidor 718 de autenticación envía un mensaje 848 de aceptación de acceso de Radio al PAA 706. El PAA 706 informa esto al cliente 802 en una Solicitud 860 de Autenticación de PANA, que encapsula un éxito de EAP dentro del mensaje. El cliente 802 responde con una Respuesta 862 de Autenticación de PANA al PAA 706. A continuación, el PAA 706 proporciona una indicación dentro de los mensajes 870 seguros de que el cliente 802 ha sido autenticado. El procesador EP dentro del UE 325 puede modificarse entonces para actualizar sus filtros en 872 para permitir que todos los datos 880 de la dirección IP del cliente entren en el sistema.
Con referencia ahora a la FIG. 9, se ilustra un sistema 900 informático típico que puede emplearse para implementar la conmutación controlada por software entre un primer modo de operación donde un enlace terrestre puede estar disponible y un segundo modo de operación donde un enlace terrestre puede no estar disponible en algunas realizaciones de ejemplo de la invención. Los sistemas informáticos de este tipo pueden usarse en unidades de comunicación inalámbrica. Los expertos en la técnica relevante también reconocerán cómo implementar la invención utilizando otros sistemas o arquitecturas informáticas. El sistema 900 informático puede representar, por ejemplo, un ordenador de escritorio, portátil o portable, dispositivo informático de mano (PDA, teléfono móvil, ordenador de mano, etc.), ordenador central, servidor, cliente o cualquier otro tipo de dispositivo informático de propósito general o especial que sea deseable o apropiado para una aplicación o entorno determinados. El sistema 900 informático puede incluir uno o más procesadores, tal como un procesador 904. El procesador 904 se puede implementar usando un motor de procesamiento general o de propósito especial tal como, por ejemplo, un microprocesador, microcontrolador u otra lógica de control. En este ejemplo, el procesador 904 está conectado a un bus 902 u otro medio de comunicaciones.
El sistema 900 informático también puede incluir una memoria 908 principal, tal como una memoria de acceso aleatorio (RAM) u otra memoria dinámica, para almacenar información e instrucciones que se van a ejecutar por el procesador 904. La memoria 908 principal también puede usarse para almacenar variables temporales u otra información intermedia durante la ejecución de las instrucciones que se van a ejecutar por el procesador 904. El sistema 900 informático también puede incluir una memoria de solo lectura (ROM) u otro dispositivo de almacenamiento estático acoplado al bus 902 para almacenar información estática e instrucciones para el procesador 904.
El sistema 900 informático también puede incluir el sistema 910 de almacenamiento de información, que puede incluir, por ejemplo, una unidad 912 de medios y una interfaz 920 de almacenamiento extraíble. La unidad 912 de medios puede incluir una unidad u otro mecanismo para soportar medios de almacenamiento fijos o extraíbles, tal como una unidad de disco duro, una unidad de disquetes, una unidad de cinta magnética, una unidad de disco óptico, un disco compacto (CD) o unidad de video digital (DVD), unidad de lectura o escritura (R o RW) u otra unidad de medios extraíble o fija. El medio 918 de almacenamiento puede incluir, por ejemplo, un disco duro, disquete, cinta magnética, disco óptico, CD o DVD, u otro medio fijo o extraíble que sea leído y escrito por la unidad 912 de medios. Como ilustran estos ejemplos, el medio 918 de almacenamiento puede incluir un medio de almacenamiento legible por ordenador que tiene un software de ordenador particular o datos almacenados en el mismo.
En realizaciones alternativas, el sistema 910 de almacenamiento de información puede incluir otros componentes similares para permitir la carga de programas informáticos u otras instrucciones o datos en el sistema 900 informático. Dichos componentes pueden incluir, por ejemplo, una unidad 922 de almacenamiento extraíble y una interfaz 920, tal como un cartucho de programa y una interfaz de cartucho, una memoria extraíble (por ejemplo, una memoria flash u otro módulo de memoria extraíble) y una ranura de memoria, y otras unidades 922 de almacenamiento extraíble e interfaces 920 que permiten transferir software y datos desde la unidad 918 de almacenamiento extraíble hasta el sistema 900 informático.
El sistema 900 informático también puede incluir una interfaz 924 de comunicaciones. La interfaz 924 de comunicaciones se puede utilizar para permitir la transferencia de software y datos entre el sistema 900 informático y dispositivos externos. Los ejemplos de interfaz 924 de comunicaciones pueden incluir un módem, una interfaz de red (como una tarjeta Ethernet u otra NIC), un puerto de comunicaciones (tal como, por ejemplo, un puerto de bus de serie universal (USB)), una ranura y tarjeta PCMCIA, etc. El software y los datos transferidos a través de la interfaz 924 de comunicaciones tienen la forma de señales que pueden ser electrónicas, electromagnéticas y ópticas u otras señales que pueden ser recibidas por la interfaz 924 de comunicaciones. Estas señales se proporcionan a la interfaz 924 de comunicaciones a través de un canal 928. Este canal 928 puede transportar señales y puede implementarse utilizando un medio inalámbrico, alambre o cable, fibra óptica u otro medio de comunicaciones. Algunos ejemplos de un canal incluyen una línea telefónica, un enlace de teléfono celular, un enlace de RF, una interfaz de red, una red de área local o amplia y otros canales de comunicación.
En este documento, los términos "producto de programa informático", "medio legible por ordenador" y similares se pueden utilizar generalmente para referirse a medios tales como, por ejemplo, memoria 908, dispositivo 918 de almacenamiento o unidad 922 de almacenamiento. Estas y otras formas de medios legibles por ordenador pueden almacenar una o más instrucciones para su uso por el procesador 904, para hacer que el procesador realice operaciones específicas. Dichas instrucciones, generalmente denominadas "código de programa informático" (que puede agruparse en forma de programas de ordenador u otras agrupaciones), cuando se ejecutan, permiten al sistema 900 informático realizar funciones de realizaciones de la presente invención. Nótese que el código puede provocar directamente que el procesador realice operaciones específicas, se compile para hacerlo y/o se combine con otro software, hardware y/o elementos de firmware (por ejemplo, bibliotecas para realizar funciones estándar) para hacerlo.
En una realización donde los elementos se implementan mediante software, el software puede almacenarse en un medio legible por ordenador y cargarse en el sistema 900 informático utilizando, por ejemplo, la unidad 922 de almacenamiento extraíble, la unidad 912 o la interfaz 924 de comunicaciones. La lógica de control (en este ejemplo, instrucciones de software o código de programa informático), cuando se ejecuta por el procesador 904, hace que el procesador 904 realice las funciones de la invención como se describe en el presente documento.
Se apreciará además que, por motivos de claridad, las realizaciones descritas de la invención con referencia a diferentes unidades funcionales y procesadores pueden modificarse o reconfigurarse con cualquier distribución adecuada de funcionalidad entre diferentes unidades funcionales o procesadores si es posible, sin desmerecer la invención. Por ejemplo, la funcionalidad ilustrada que va a ser realizada por procesadores o controladores separados puede ser realizada por el mismo procesador o controlador. Por lo tanto, las referencias a unidades funcionales específicas solo deben verse como referencias a medios adecuados para proporcionar la funcionalidad descrita, más que como indicativas de una estructura u organización lógica o física estricta.
Los aspectos de la invención pueden implementarse en cualquier forma adecuada, incluyendo hardware, software, firmware o cualquier combinación de estos. La invención puede implementarse opcionalmente, al menos en parte, como software informático que se ejecuta en uno o más procesadores de datos y/o procesadores de señales digitales. Por ejemplo, el software puede residir en un producto de programa informático no transitorio que comprende un código de programa ejecutable para aumentar la cobertura en un sistema de comunicación inalámbrica.
En un ejemplo, un producto de programa informático tangible no transitorio comprende un código de programa ejecutable almacenado en el mismo para su aplicación en un sistema de comunicación inalámbrica. En algunas realizaciones de ejemplo de la invención, el código es operable para, cuando se ejecuta en una unidad de comunicación inalámbrica remota, recibir y procesar un primer mensaje recibido desde el nodo de red; determinar a partir del primer mensaje procesado que la unidad de comunicación remota inalámbrica está autenticada para comunicarse en el sistema de comunicación; recibir y procesar un segundo mensaje, en respuesta a la autenticación de la unidad de comunicación remota inalámbrica, por lo que el segundo mensaje transfiere al menos una porción de las responsabilidades de aplicación del nodo de red a la unidad de comunicación remota inalámbrica; y realizar, en la unidad de comunicación remota inalámbrica y en respuesta a la misma, la aplicación de otras unidades de comunicación remota inalámbrica que intentan acceder al sistema de comunicación a través de la primera unidad de comunicación remota inalámbrica.
En un ejemplo adicional, el código de programa puede ser empleado por un nodo de red. El código de programa ejecutable puede ser operable para, cuando se ejecuta en el nodo de red, autenticarse en un sistema de comunicación inalámbrica que comprende al menos una unidad de comunicación remota inalámbrica para comunicarse con un nodo de red que está configurado para realizar las responsabilidades de ejecución de las unidades de comunicación inalámbrica que intentan acceder al sistema de comunicación. El código en el nodo de red facilita: recibir un mensaje de solicitud de autenticación desde la al menos una unidad de comunicación remota inalámbrica, autenticar la al menos una unidad de comunicación remota inalámbrica; generar y transmitir a la unidad de comunicación remota inalámbrica un primer mensaje que identifica la unidad de comunicación remota inalámbrica como siendo autenticada en la que el primer mensaje comprende un prefijo de múltiples direcciones IP, Protocolo de Internet, para transferir al menos una porción de la función de aplicación a la unidad de comunicación remota inalámbrica; recibir un mensaje de solicitud de autenticación que incluye el prefijo desde una unidad de comunicación remota inalámbrica adicional a través de la al menos una unidad de comunicación remota inalámbrica, una vez que la unidad de comunicación remota inalámbrica está autenticada; y autenticar la unidad de comunicación remota inalámbrica adicional que intenta acceder al sistema de comunicación sin realizar la aplicación de la unidad de comunicación remota inalámbrica adicional.
Por tanto, los elementos y componentes de una realización de la invención pueden implementarse física, funcional y lógicamente de cualquier forma adecuada. De hecho, la funcionalidad puede implementarse en una sola unidad, en una pluralidad de unidades o como parte de otras unidades funcionales. Los expertos en la técnica reconocerán que los bloques funcionales y/o elementos lógicos aquí descritos pueden implementarse en un circuito integrado para su incorporación en una o más de las unidades de comunicación. Por ejemplo, el circuito integrado puede ser adecuado para una unidad de comunicación remota inalámbrica para comunicarse con un nodo de red que está configurado para realizar las responsabilidades de aplicación de las unidades de comunicación remota inalámbrica que intentan acceder al sistema de comunicación. El circuito integrado comprende: un procesador acoplable a un receptor y dispuesto para procesar un primer mensaje recibido desde el nodo de red y determinar a partir del mismo que la unidad de comunicación remota inalámbrica está autenticada para comunicarse en el sistema de comunicación; en el que, una vez que la unidad de comunicación remota inalámbrica está autenticada para comunicarse en el sistema de comunicación, el procesador se configura además para recibir y procesar un segundo mensaje, por lo que el segundo mensaje transfiere al menos una porción de las responsabilidades de aplicación del nodo de red a la unidad de comunicación remota inalámbrica de manera que el procesador pueda entonces ejecutar la aplicación de otras unidades de comunicación remota inalámbrica que intenten acceder al sistema de comunicación a través de la primera unidad de comunicación remota inalámbrica.
Además, se pretende que los límites entre bloques lógicos sean meramente ilustrativos y que realizaciones alternativas puedan fusionar bloques lógicos o elementos de circuito o imponer una composición alternativa de funcionalidad sobre diversos bloques lógicos o elementos de circuito. Además, se pretende que las arquitecturas representadas en el documento sean meramente a manera de ejemplo y que, de hecho, se puedan implementar muchas otras arquitecturas que logren la misma funcionalidad.
Aunque la presente invención se ha descrito en relación con algunas realizaciones de ejemplo, no se pretende que se limite a la forma específica expuesta en el presente documento. Más bien, el alcance de la presente invención está limitado únicamente por las reivindicaciones adjuntas. Además, aunque puede parecer que se describe una característica en relación con realizaciones particulares, un experto en la técnica reconocerá que diversas características de las realizaciones descritas pueden combinarse de acuerdo con la invención. En las reivindicaciones, el término "que comprende" no excluye la presencia de otros elementos o pasos.
Además, aunque se enumeran individualmente, una pluralidad de medios, elementos o pasos de método pueden implementarse, por ejemplo, mediante una sola unidad o procesador. Además, aunque pueden incluirse características individuales en diferentes reivindicaciones, estas posiblemente pueden combinarse ventajosamente, y la inclusión en diferentes reivindicaciones no implica que una combinación de características no sea factible y/o ventajosa. Además, la inclusión de una característica en una categoría de reivindicaciones no implica una limitación a esta categoría, sino que indica que la característica es igualmente aplicable a otras categorías de reivindicaciones, según corresponda.
Además, el orden de las características en las reivindicaciones no implica ningún orden específico en el que deban realizarse las características y, en particular, el orden de los pasos individuales en una reivindicación de método no implica que los pasos deban realizarse en este orden. Más bien, los pasos se pueden realizar en cualquier orden adecuado. Además, las referencias singulares no excluyen una pluralidad. Por tanto, las referencias a "un", "una", "primero", "segundo", etc. no excluyen una pluralidad.

Claims (12)

REIVINDICACIONES
1. Una unidad (325) de comunicación inalámbrica de abonado, que forma parte de una pluralidad de unidades (325) de comunicación inalámbrica de abonado, para comunicarse con un nodo (304) de red; estando el nodo (304) de red configurado para realizar la autenticación de la pluralidad de unidades (325) de comunicación inalámbrica de abonado, así como para realizar las responsabilidades de aplicación de la pluralidad de unidades (325) de comunicación inalámbrica de abonado intentando comunicarse en un sistema (400) de comunicación;
en la que el sistema de comunicación comprende el nodo (304) de red que comprende un Agente de Autenticación PANA, PAA, (706) y la pluralidad de unidades (325) de comunicación inalámbrica de abonado; en la que la unidad (325) de comunicación inalámbrica de abonado comprende:
un receptor configurado para recibir mensajes de al menos el nodo (304) de red; y
un procesador (402) acoplado al receptor y dispuesto para procesar un primer mensaje recibido desde el nodo (304) de red y determinar a partir de este que la unidad (325) de comunicación inalámbrica de abonado está autenticada para comunicarse en el sistema (400) de comunicación;
en el que, la unidad (325) de comunicación inalámbrica de abonado se caracteriza porque, una vez que la unidad (325) de comunicación inalámbrica de abonado está autenticada para comunicarse en el sistema (400) de comunicación, el receptor y el procesador se configuran además para recibir desde el nodo (304) de red y procesar un segundo mensaje, mediante el cual el segundo mensaje transfiere al menos una porción de las responsabilidades de aplicación del nodo de red asociadas con un Protocolo para Llevar la Autenticación para el Acceso a la Red, PANA, hasta la unidad (325) de comunicación inalámbrica de abonado de modo que la unidad de comunicación inalámbrica de abonado pueda posteriormente realizar la aplicación de otras unidades (802) de comunicación inalámbrica intentando acceder al sistema (400) de comunicación a través de la unidad (325) de comunicación inalámbrica de abonado mediante el bloqueo de datos (824) hacia y desde otras unidades (802) de comunicación inalámbrica que no sean datos que comprendan una dirección de destino de el Agente (706) de Autenticación de PANA.
2. La unidad (325) de comunicación inalámbrica de abonado de la reivindicación 1, en la que el procesador se configura además después de la transferencia de la porción de las responsabilidades de aplicación del nodo de red para permitir únicamente datagramas desde o hacia unidades (802) de comunicación inalámbrica adicionales autenticadas desde el paso por la unidad (325) de comunicación inalámbrica de abonado.
3. La unidad (325) de comunicación inalámbrica de abonado de la reivindicación 1 o la reivindicación 2, en la que el segundo mensaje transfiere al menos una porción de las responsabilidades de aplicación del nodo de red después de que la unidad (325) de comunicación inalámbrica de abonado recibe una solicitud de cambiar su función a un enrutador por otra unidad (802) de comunicación inalámbrica.
4. La unidad (325) de comunicación inalámbrica de abonado de cualquier reivindicación anterior, configurada además para recibir un mensaje que comprende información de autenticación de al menos el nodo (304) de red que indica que se ha autenticado otra unidad (802) de comunicaciones inalámbricas por la red y el procesador está dispuesto para almacenar dicha información de autenticación en la memoria para uso futuro.
5. La unidad (325) de comunicación inalámbrica de abonado de cualquier reivindicación anterior, en la que el segundo mensaje asigna un único prefijo de múltiples direcciones IP, Protocolo de Internet, a la unidad (325) de comunicación inalámbrica de abonado, o asigna un único prefijo de múltiples direcciones IP, Protocolo de Internet, a la unidad (325) de comunicación inalámbrica de abonado después de que la unidad (325) de comunicación inalámbrica de abonado haya sido autenticada por el nodo (304) de red, o se usa un prefijo único de múltiples direcciones IP, Protocolo de Internet, por la unidad (325) de comunicación inalámbrica de abonado para formar una o más redes de otras unidades (802) de comunicación inalámbrica para acceder al sistema de comunicación.
6. La unidad (325) de comunicación inalámbrica de abonado de la reivindicación 5, en la que el procesador está configurado para realizar la aplicación de otras unidades (802) de comunicación inalámbrica intentando acceder al sistema de comunicación a través de la unidad (325) de comunicación inalámbrica de abonado anunciando el prefijo para permitir así que otras unidades (802) de comunicaciones inalámbricas configuren automáticamente sus direcciones IP a través de la configuración automática de direcciones sin estado usando el prefijo.
7. La unidad (325) de comunicación inalámbrica de abonado de cualquier reivindicación anterior, en la que el receptor y el procesador están configurados para recibir y procesar al menos un tercer mensaje desde una o más unidades (802) de comunicación inalámbrica adicionales y en respuesta al mismo procesador está configurado para reenviar una solicitud de autenticación desde una o más unidades (802) de comunicación inalámbrica adicionales hasta el nodo (304) de red.
8. La unidad (325) de comunicación inalámbrica de abonado de la reivindicación 7, en la que el receptor está configurado para recibir al menos uno de:
un mensaje de autenticación desde el nodo (304) de red en respuesta a la solicitud de autenticación y el procesador está configurado para reenviar el mensaje de autenticación a una respectiva solicitud de una o más unidades (802) de comunicación inalámbrica adicionales; o
el al menos un tercer mensaje a lo largo de un portador de radio utilizado para transportar datos entre la unidad (325) de comunicación inalámbrica de abonado y el sistema de comunicación o un portador de radio diferente; o al menos un cuarto mensaje del nodo (304) de red y el procesador está configurado para procesar el al menos un cuarto mensaje e identificar a partir del mismo que la al menos una unidad (802) de comunicación inalámbrica adicional está correctamente autenticada y que ahora se permitirá el paso de paquetes de datos que contengan cualquier dirección IP; o
mensajes adicionales de al menos el nodo (304) de red que identifican otras unidades (802) de comunicación inalámbrica que se autentican para operar en una red; y el procesador está configurado para almacenar las direcciones de dichas unidades (802) de comunicación inalámbrica adicionales en la memoria de modo que la unidad (325) de comunicación inalámbrica permita la conectividad IP para dichas unidades (802) de comunicación inalámbrica adicionales.
9. La unidad (325) de comunicación inalámbrica de abonado de la reivindicación 7 u 8, en la que el procesador (402) de la unidad (325) de comunicación inalámbrica de abonado ha realizado previamente las operaciones de una unidad (325) de comunicación inalámbrica de abonado para que sea autenticado y, posteriormente, reciba al menos una porción de las responsabilidades de aplicación del nodo de red.
10. La unidad (325) de comunicación inalámbrica de abonado de cualquier reivindicación anterior, en la que el procesador (402) está configurado para realizar al menos uno de un grupo de:
enrutar únicamente datagramas con direcciones IP asociadas a otras unidades (802) de comunicación inalámbrica que hayan sido correctamente autenticadas en el sistema de comunicación;
actuar como un enrutador para permitir la conectividad de Protocolo de Internet, IP, para múltiples unidades de comunicación inalámbrica adicionales utilizando al menos una de un grupo de:
configurar automáticamente direcciones sin estado para obtener una dirección IPv6 para acceder al sistema de comunicación;
DHCP para asignación de IPv4 o DHCP v6.
11. Un método de ejecución en un sistema (400) de comunicación que comprende al menos una unidad (325) de comunicación inalámbrica de abonado, que forma parte de una pluralidad de unidades (325) de comunicación inalámbrica de abonado, para comunicarse con un nodo (304) de red que está configurado para realizar la autenticación de la pluralidad de unidades (325) de comunicación inalámbrica de abonado, así como configurado para realizar las responsabilidades pde aplicación de la pluralidad de unidades (325) de comunicación inalámbrica de abonado que intentan comunicarse en un sistema (400) de comunicación, siendo el método de la unidad (325) de comunicación inalámbrica de abonado uno de dicha pluralidad de unidades de comunicación inalámbrica de abonado, que comprende:
recibir y procesar un primer mensaje recibido del nodo (304) de red; y
determinar a partir del primer mensaje procesado que la unidad (325) de comunicación inalámbrica de abonado está autenticada para comunicarse en el sistema de comunicación;
en el que el método se caracteriza por:
recibir desde el nodo (304) de red y procesar un segundo mensaje, en respuesta a la autenticación de la unidad (325) de comunicación inalámbrica de abonado, por lo que el segundo mensaje transfiere al menos una porción de las responsabilidades de aplicación del nodo de red asociadas con un Protocolo para Llevar la Autenticación para el Acceso a la Red, PANA, a la unidad (325) de comunicación inalámbrica de abonado; y
realizar posteriormente, en la unidad de comunicación inalámbrica del abonado y en respuesta a ella, la aplicación de otras unidades (802) de comunicación inalámbrica que intentan acceder al sistema de comunicación a través de la unidad (325) de comunicación inalámbrica de abonado mediante el bloqueo de datos (824) hacia y desde las unidades adicionales (802) de comunicación inalámbrica distintas de los datos que comprenden una dirección de destino de un Agente (706) de Autenticación de PANA del nodo de red.
12. Un sistema (400) de comunicación que comprende:
un nodo (304) de red y una pluralidad de dispositivos de comunicación inalámbrica de abonado; en el que el nodo (304) de red está configurado para realizar la autenticación y las responsabilidades de aplicación de la pluralidad de unidades de comunicación inalámbrica de abonados que intentan comunicarse en un sistema de comunicación; en el que
siendo una primera unidad (325) de comunicación inalámbrica de abonado una de dicha pluralidad de unidades de comunicación inalámbrica de abonado, capaz de comunicarse con el nodo (304) de red; y
en el que el nodo (304) de red está configurado para autenticar la primera unidad (325) de comunicación inalámbrica de abonado;
en el que el sistema (400) de comunicación se caracteriza porque, una vez autenticada la primera unidad (325) de comunicación inalámbrica de abonado, el nodo (304) de red se configura para transferir al menos una porción de sus responsabilidades de aplicación asociadas a un Protocolo para Llevar la Autenticación para el Acceso a la Red, PANA, a la primera unidad (325) de comunicación inalámbrica de abonado para posteriormente realizar la aplicación de otras unidades (802) de comunicación inalámbrica que intentan acceder al sistema de comunicación a través de la primera unidad (325) de comunicación inalámbrica de abonado mediante el bloqueo de datos (824) hacia y desde otras unidades (802) de comunicación inalámbrica distintas de los datos que comprenden una dirección de destino de un agente (706) de autenticación PANA del nodo de red.
ES16197551T 2015-11-10 2016-11-07 Unidad de comunicación empleada como enrutador remoto y método de aplicación Active ES2837141T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB1519851.8A GB2544292A (en) 2015-11-10 2015-11-10 Communication unit employed as a remote router and method for enforcement

Publications (1)

Publication Number Publication Date
ES2837141T3 true ES2837141T3 (es) 2021-06-29

Family

ID=55132593

Family Applications (1)

Application Number Title Priority Date Filing Date
ES16197551T Active ES2837141T3 (es) 2015-11-10 2016-11-07 Unidad de comunicación empleada como enrutador remoto y método de aplicación

Country Status (4)

Country Link
US (1) US20170134954A1 (es)
EP (1) EP3169096B1 (es)
ES (1) ES2837141T3 (es)
GB (1) GB2544292A (es)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
PL3443713T3 (pl) * 2016-04-11 2020-07-13 Nokia Technologies Oy Egzekwowanie zarządzania przepływami QoS/QoE w sieci 5G
US10575220B2 (en) * 2017-03-21 2020-02-25 Electronics And Telecommunications Research Institute Session management method based on reallocation of PDU session anchor device, and device performing the session management method
CN109067791B (zh) * 2018-09-25 2020-05-12 阿里巴巴集团控股有限公司 网络中用户身份认证方法和装置
US11032743B1 (en) * 2019-11-30 2021-06-08 Charter Communications Operating, Llc Methods and apparatus for supporting devices of different types using a residential gateway

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
CN101123549B (zh) * 2006-08-11 2010-05-12 华为技术有限公司 控制与承载分离的接入网系统及其实现通信的方法
CN101651537B (zh) * 2008-08-15 2013-07-10 上海贝尔阿尔卡特股份有限公司 一种在通信网络系统中进行分散式安全控制的方法和装置
US10756804B2 (en) * 2014-05-08 2020-08-25 Apple Inc. Lawful intercept reporting in wireless networks using public safety relays

Also Published As

Publication number Publication date
EP3169096B1 (en) 2020-09-16
US20170134954A1 (en) 2017-05-11
GB2544292A (en) 2017-05-17
GB201519851D0 (en) 2015-12-23
EP3169096A1 (en) 2017-05-17

Similar Documents

Publication Publication Date Title
US10993112B2 (en) Systems and methods for accessing a network
CN111034273B (zh) 从非3gpp接入网络请求网络切片能力的终端
US9386480B2 (en) Systems and methods for providing LTE-based backhaul
ES2658049T3 (es) Reubicación de pasarela servidora y elegibilidad de nodo secundario para conectividad dual
ES2908267T3 (es) Equipo de usuario directo a equipo de usuario sin identificador de acceso a la red de datos
ES2735625T3 (es) Procesamiento de búsquedas mediante un servidor que gestiona la movilidad para evitar, en caso de fallo en la búsqueda, la pérdida de los datos de enlace descendente almacenados temporalmente en una pasarela de servicio
ES2780024T3 (es) Configuración de servicio IP en redes de comunicaciones inalámbricas
EP2676463B1 (en) Mobile router and method in an eps
CN114424597A (zh) 无人机接入网络的认证和授权
ES2837141T3 (es) Unidad de comunicación empleada como enrutador remoto y método de aplicación
ES2761586T3 (es) Servidor de aplicación para funcionalidad de enrutador de límite dinámico
ES2916801T3 (es) Procedimiento y aparato para el establecimiento de portadores de radio de señalización (SRB) de enlace lateral en un sistema de comunicación inalámbrica
US11659446B2 (en) Systems and methods for providing LTE-based backhaul
JP7503557B2 (ja) Pc5インターフェース上においてv2xユニキャスト通信を可能にする手順
WO2012149783A1 (zh) 用于接入移动网络的方法和装置以及用户设备
CN114846841A (zh) 使用wtru到wtru中继的直接发现和通信的方法和设备
JP2024503367A (ja) レイヤ3無線送信/受信ユニットとネットワークに関連する認証及び許可
CN105165039A (zh) 用于网关发现层2移动的机制
CN115211156A (zh) 用于直接无线通信的安全和隐私支持
ES2738385T3 (es) Funcionalidad de encaminador dinámico en redes celulares
ES2697910T3 (es) Funcionalidad de enrutador dinámico en redes celulares
ES2730754T3 (es) División de mapa de bits señalada por una RAN para usuarios itinerantes y no itinerantes
CN114342436B (zh) 针对具有多个usim的wtru的注册和安全增强
US20240224271A1 (en) Determination of harq process id for higher carrier frequency
US20240172224A1 (en) Transmission and/or retransmission schemes for data in systems with high carrier frequencies