ES2908416T3 - Procedimiento, dispositivo y sistema para conexión segura en redes de comunicaciones inalámbricas - Google Patents
Procedimiento, dispositivo y sistema para conexión segura en redes de comunicaciones inalámbricas Download PDFInfo
- Publication number
- ES2908416T3 ES2908416T3 ES19382429T ES19382429T ES2908416T3 ES 2908416 T3 ES2908416 T3 ES 2908416T3 ES 19382429 T ES19382429 T ES 19382429T ES 19382429 T ES19382429 T ES 19382429T ES 2908416 T3 ES2908416 T3 ES 2908416T3
- Authority
- ES
- Spain
- Prior art keywords
- user device
- user
- network
- access point
- networks
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000004891 communication Methods 0.000 title description 14
- 238000012795 verification Methods 0.000 claims abstract description 58
- 238000010200 validation analysis Methods 0.000 claims abstract description 18
- 238000004590 computer program Methods 0.000 claims description 5
- 230000002708 enhancing effect Effects 0.000 claims 1
- 230000001052 transient effect Effects 0.000 claims 1
- 230000007246 mechanism Effects 0.000 description 13
- 238000005259 measurement Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000003339 best practice Methods 0.000 description 1
- 238000010367 cloning Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000002062 proliferating effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/009—Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
- H04W12/64—Location-dependent; Proximity-dependent using geofenced areas
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/73—Access point logical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/79—Radio fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Un procedimiento para mejorar la seguridad de la conexión de un dispositivo de usuario a redes WiFi, en el que el procedimiento comprende las siguientes etapas: a) recibir, por parte del dispositivo de usuario, una señal de baliza procedente de un punto de acceso perteneciente a una red WiFi; b) tras recibir la señal de baliza, si el dispositivo de usuario no se ha conectado nunca a dicha red WiFi, ir a la etapa c), en caso contrario, ir a la etapa e) c) el dispositivo de usuario proporciona información al usuario de apoyo a la decisión a través de una interfaz de usuario del dispositivo de usuario y, después de proporcionar dicha información de apoyo a la decisión, si el dispositivo de usuario recibe del usuario a través de la interfaz de usuario una validación de la red WiFi, pasa a la etapa d), de lo contrario el procedimiento termina; d) el dispositivo de usuario envía una solicitud de conexión al punto de acceso y el dispositivo de usuario proporciona al usuario a través de la interfaz de usuario la siguiente lista de parámetros: posición del punto de acceso, conjunto de redes vecinas a la red WiFi detectadas por el dispositivo de usuario, intensidad de la señal de las redes vecinas, identificador del punto de acceso y de los dispositivos de usuario conectados a la red WiFI, y el dispositivo de usuario recibe del usuario a través de la interfaz de usuario, una selección de algunos o de todos ellos como parámetros de verificación a comprobar para futuros intentos de conexión a la red WiFi y el procedimiento termina; e) el dispositivo de usuario obtiene el valor actual de los parámetros de verificación seleccionados la primera vez que el dispositivo de usuario se conectó a la red, compara el valor actual de los parámetros de verificación seleccionados con un valor habitual preestablecido de los parámetros de verificación, determina si la verificación de la red es positiva o negativa basándose al menos en dicha comparación y que, sólo si la verificación de la red es positiva, el dispositivo de usuario envía una solicitud de conexión al punto de acceso.
Description
DESCRIPCIÓN
Procedimiento, dispositivo y sistema para conexión segura en redes de comunicaciones inalámbricas
Campo técnico de la invención
La presente invención se aplica al sector de las telecomunicaciones y se refiere en particular al acceso a una red de comunicaciones inalámbricas por medio de equipos electrónicos. La invención descrita en la presente memoria descriptiva se refiere a una conexión segura de un dispositivo electrónico inalámbrico, normalmente un dispositivo electrónico móvil (también llamado terminal móvil o dispositivo móvil), a una red de comunicaciones inalámbricas y, más concretamente, a redes WiFi.
Antecedentes de la invención
Proliferan los dispositivos móviles (teléfonos móviles, tabletas, ordenadores portátiles, etc.), la mayoría de los cuales dependen principalmente de su interfaz WiFi para la conectividad a la red. Estos dispositivos se utilizan para una amplia gama de ámbitos, incluidos los negocios, y desde una amplia gama de ubicaciones, incluidas las zonas públicas y el acceso a las redes públicas.
Como es sabido, las redes WiFi (también llamadas Wi-Fi) son redes inalámbricas que implementan cualquiera de los estándares IEEE 802.11. Dichas redes se utilizan para proporcionar conexiones inalámbricas a dispositivos electrónicos para que se conecten a Internet (o se comuniquen entre sí de forma inalámbrica dentro de un área determinada).
Los actuales mecanismos de seguridad que ofrecen las redes WiFi incluyen la autenticación del cliente, el cifrado de las comunicaciones, el SSID (Service Set Identifier (Identificador de Conjunto de Servicios)) no revelado y el filtrado de clientes por dirección de hardware (es decir, la dirección MAC). El Service Set Identifier es el nombre asignado a una red WiFi. Cuando se configura una red inalámbrica, se le asigna un nombre (SSID) para distinguirla de otras redes de su entorno; este nombre es el que se ve cuando cualquier dispositivo intenta conectarse a una red inalámbrica.
Se ha demostrado que este modelo de seguridad es inseguro y que su fortaleza depende de la contraseña elegida, y el sistema sigue siendo susceptible de que los atacantes capturen el intercambio de claves. Además, se utiliza una amplia gama de configuraciones de red, incluidas las redes abiertas (es decir, redes sin mecanismos de autenticación ni cifrado), dependiendo del ámbito de la red y del grado de compatibilidad de los dispositivos que se requiera. Por ejemplo, las redes abiertas se utilizan en espacios públicos y/o edificios comerciales para ofrecer conectividad a ciudadanos y clientes. Además, algunos dispositivos móviles son configurados por el fabricante para que se conecten automáticamente a cualquier red WiFi con un SSID específico (por ejemplo, "attwifi" para los iPhones de AT&T), lo que hace que el usuario no sea consciente de la conexión y abre la oportunidad a ataques sencillos basados en la clonación del SSID.
Este escenario abre el camino a diferentes ataques que explotan la conexión automática del usuario a redes abiertas o memorizadas -como el ataque al punto de acceso inalámbrico gemelo malvado (evil twin) - que pueden poner en peligro la seguridad, la confidencialidad, la integridad y la disponibilidad de los usuarios y la infraestructura WiFi. Existen algunas soluciones que mejoran la seguridad del acceso a las redes WiFi. Sin embargo, todas ellas presentan graves inconvenientes, como por ejemplo:
Se pueden utilizar canales laterales abiertos para la comunicación entre el punto de acceso y el dispositivo de conexión, con el fin de intercambiar algún tipo de información de autenticación antes de que el usuario decida si se conecta o no al punto de acceso. Por ejemplo, la tecnología iBeacon podría utilizarse desde el punto de acceso para compartir un certificado público con el usuario que se conecta. Esto implicará requisitos complejos como: (i) la compatibilidad con la tecnología de canal lateral (por ejemplo, iBeacon) en ambos lados (es decir, el punto de acceso y el usuario que se conecta), y (ii) una conectividad alternativa para el usuario que se conecta con el fin de verificar la información de autenticación recibida (por ejemplo, el certificado público). Estos requisitos no son necesarios para la solución presentada en esta memoria descriptiva.
A pesar de que el riesgo de conectarse a una red WiFi está ampliamente reconocido, las contramedidas aconsejadas suelen basarse en (i) no conectarse a ninguna red, (ii) preguntar a otros usuarios sobre la seguridad de la red de destino, (iii) minimizar el uso de la red, o (iv) utilizar una VPN. Aunque el uso de la VPN es compatible con el enfoque propuesto, su disponibilidad depende del dispositivo móvil utilizado y puede reducir considerablemente la velocidad de conectividad. Por otro lado, las demás prácticas aconsejadas pueden no estar disponibles, son difíciles de automatizar y requieren la participación activa del usuario.
La solicitud de patente US 2017/0208631 divulga procedimientos que permiten a un dispositivo móvil determinar la presencia o ausencia de conectividad a internet de una red inalámbrica antes de conectarse a ella. Esta operación se realiza mediante el envío de un paquete a un servidor en internet, o a un DNS, que puede estar cifrado utilizando la clave privada del usuario que se conecta a la red. Esta solución permite al usuario identificar algunas
características de una red inalámbrica antes de conectarse a ella, con el fin de decidir si se conecta o no a la misma, pero este conjunto se limita a la conectividad directa a internet de la red, con el fin de evitar eventuales portales cautivos o redes de pago por uso, mientras que no proporcionan ningún instrumento contra eventuales puntos de acceso fraudulentos.
Existe por tanto la necesidad de proporcionar un mecanismo de seguridad eficaz para acceder a las redes WiFi que cubra completamente las necesidades actuales de seguridad de los usuarios y de la red, no teniendo las limitaciones y vulnerabilidades de los mecanismos de seguridad existentes hoy en día.
Sumario de la invención
La presente invención proporciona un mecanismo para asegurar el acceso a una red inalámbrica (una red WiFi) por parte de los usuarios de dispositivos de comunicaciones electrónicas que evita los ataques que pueden poner en peligro la seguridad, la confidencialidad, la integridad y la disponibilidad de los usuarios WiFi y de la infraestructura WiFi y que no presenta los inconvenientes de los mecanismos de seguridad existentes. En la solución propuesta, los usuarios inalámbricos certifican la red WiFi (el punto de acceso WiFi) antes de conectarse a ella; en una realización opcional, para mejorar la seguridad de la red, la infraestructura de red puede permitir únicamente las conexiones de los usuarios que certifiquen el punto de acceso. Este mecanismo mejorado propuesto por la presente invención se denomina SSID Fastening.
La solución propuesta implica varias ventajas, como por ejemplo:
Apoyo a la decisión de los usuarios cuando se conectan a una red WiFi (incluso la primera vez que se conectan a una nueva red) basándose tanto en el aprendizaje del sistema como en las entradas del usuario.
Decisión de conexión automática para redes WiFi conocidas (no nuevas para el usuario).
Rechazo automático de conexión para redes WiFi conocidas pero no coincidentes.
Conjunto personalizable de parámetros comprobados, y sus correspondientes umbrales y valores, para identificar y evaluar las redes WiFi.
Apoyo a los puntos de acceso para reforzar la comprobación de la red entre los usuarios que se conectan. Nivel mínimo de compatibilidad de hardware y software requerido.
Proceso automatizable con un nivel mínimo, pero personalizable, de intervención e información del usuario. Protección contra el punto de acceso evil twin y otros ataques frecuentes a la red.
Un enfoque único en el nivel de seguridad de la red, en lugar de sólo el del usuario.
Según un primer aspecto, la presente invención propone un procedimiento para mejorar la seguridad de la conexión de un dispositivo de usuario (un dispositivo inalámbrico de usuario) a redes WiFi, en el que el procedimiento comprende las siguientes etapas:
a) recibir, por parte del dispositivo de usuario, una señal de baliza procedente de un punto de acceso perteneciente a una red WiFi;
b) después de recibir la señal de baliza, si el dispositivo de usuario no se ha conectado nunca a dicha red WiFi, ir a la etapa c); en caso contrario, ir a la etapa e)
c) el dispositivo de usuario proporciona información al usuario de apoyo a la decisión a través de una interfaz de usuario del dispositivo de usuario y, después de proporcionar dicha información de apoyo a la decisión, si el dispositivo de usuario recibe del usuario a través de la interfaz de usuario una validación de la red WiFi (en otras palabras, una validación del acceso a la red a través de dicho punto de acceso), pasar a la etapa d), de lo contrario el procedimiento termina;
d) el dispositivo de usuario envía una solicitud de conexión al punto de acceso y el dispositivo de usuario proporciona al usuario, a través de la interfaz de usuario, la siguiente lista de parámetros: posición (estimada) del punto de acceso, conjunto de redes vecinas a la red WiFi detectadas por el dispositivo de usuario, intensidad de la señal de las redes vecinas, identificador del punto de acceso y de los dispositivos de usuario conectados a la red WiFI, y el dispositivo de usuario recibe del usuario a través de la interfaz de usuario, una selección de algunos o de todos ellos como parámetros de verificación para futuros intentos de conexión a la red WiFi y el procedimiento finaliza;
e) el dispositivo de usuario obtiene el valor actual de los parámetros de verificación seleccionados la primera vez que el dispositivo de usuario se conectó a la red (del grupo que incluye la posición del punto de acceso, el conjunto de redes vecinas a la red WiFi detectada por el dispositivo de usuario, la intensidad de la señal de las
redes vecinas, el identificador del punto de acceso y los dispositivos de usuario conectados a la red WiFI), compara el valor actual de los parámetros de verificación seleccionados con un valor preestablecido (habitual) de los parámetros de verificación, determina si la verificación de la red (verificación del acceso a la red a través del punto de acceso detectado) es positiva o negativa basándose al menos en dicha comparación y, sólo si la verificación de la red es positiva el dispositivo de usuario envía una solicitud de conexión al punto de acceso. En una realización, en la etapa c) el dispositivo de usuario obtiene (mide) el valor actual de algunos o todos los parámetros siguientes: posición del punto de acceso, conjunto de redes vecinas detectadas, intensidad de la señal de las redes vecinas detectadas, identificador del punto de acceso y dispositivos de usuario conectados a la red WiFI; y la información de apoyo a la decisión comprende uno o varios de los siguientes: el valor actual obtenido de los parámetros obtenidos, eventuales redes similares en base al valor actual obtenido de los parámetros obtenidos junto con el correspondiente estado de validación (si han sido validadas por el usuario o no) de dichas redes similares, una lista de redes WiFi permitidas y/o de puntos de acceso permitidos (lista blanca), una lista negra de redes WiFi y/o de puntos de acceso (lista de redes prohibidas o no recomendadas), el correspondiente valor de los parámetros de verificación en las redes de la lista negra o de la lista blanca....
En una realización, la determinación en la etapa e) también se realiza en base a la lista de redes WiFi permitidas (y/o una lista de puntos de acceso permitidos) y/o una lista negra de redes WiFi (y/o una lista de puntos de acceso prohibidos).
Si el dispositivo de usuario no valida la red en la etapa c), el valor actual obtenido de los parámetros puede almacenarse en una base de datos (común para todos o algunos de los usuarios); la red WiFi (y/o el punto de acceso) puede añadirse a una lista negra. Además, el valor actual de los parámetros de verificación obtenidos en la etapa e) puede almacenarse en la base de datos.
En una realización, el procedimiento comprende además las siguientes etapas realizadas por el dispositivo de usuario:
f) cuando el dispositivo de usuario envía una solicitud de conexión al punto de acceso:
f1) recibe un mensaje del punto de acceso solicitando un compendio del valor de los parámetros de verificación obtenidos por el dispositivo de usuario,
f2) envía el compendio del valor de los parámetros de verificación obtenidos por el dispositivo de usuario y f3) recibe del punto de acceso una dirección IP sólo después de que un nodo de la red WiFi (el punto de acceso u otro nodo de la red), basándose en dicho compendio, determine que la conexión está permitida.
En una realización, el procedimiento comprende además las siguientes etapas realizadas por el punto de acceso: g) si se recibe una solicitud de conexión del dispositivo del usuario;
g1) envía un mensaje al dispositivo de usuario solicitando un compendio del valor de los parámetros de verificación obtenidos por el dispositivo de usuario,
g2) recibe el compendio del valor de los parámetros de verificación obtenidos por el dispositivo de usuario y g3) determina si una dirección IP está asignada al dispositivo de usuario o no, basándose al menos en dicho compendio.
El valor preestablecido de los parámetros de verificación puede calcularse a partir del valor de los parámetros de verificación (por ejemplo, como media) en todas o algunas de las veces anteriores en que el dispositivo de usuario ha estado conectado a dicha red.
La etapa d) puede comprender además que el usuario, a través de la interfaz de usuario del dispositivo de usuario, seleccione los umbrales y/o el valor preestablecido de cada parámetro de verificación, que se utilizará en la comparación de la etapa e) para cada parámetro de verificación. La etapa d) también puede comprender que la red WiFi validada (y/o el punto de acceso) se añada a una lista blanca (una lista de redes WiFi o puntos de acceso permitidos).
El identificador del punto de acceso puede ser la dirección MAC de la interfaz inalámbrica del punto de acceso o el identificador del conjunto de servicios básicos, BSSID, de la red WiFi a la que pertenece el punto de acceso.
El dispositivo de usuario puede ser una tableta, un teléfono móvil, un teléfono inteligente, un portátil, un ordenador, un PC... (y en general cualquier equipo o dispositivo electrónico que pueda conectarse a una red de comunicaciones inalámbrica).
Según un segundo aspecto, la presente invención propone un dispositivo de usuario para mejorar la seguridad de la conexión del dispositivo de usuario a redes WiFi, en el que el dispositivo de usuario comprende:
- un receptor para recibir una señal de baliza de un punto de acceso perteneciente a una red WiFi;
- un procesador configurado para:
- tras recibir la señal de baliza, si el dispositivo de usuario no se ha conectado nunca a dicha red WiFi:
proporcionar información al usuario de apoyo a la decisión a través de una interfaz de usuario del dispositivo de usuario; y, tras proporcionar dicha información de apoyo a la decisión, si el dispositivo de usuario recibe del usuario a través de la interfaz de usuario una validación del acceso a la red WiFi (a través del punto de acceso detectado), enviar una solicitud de conexión al punto de acceso, proporcionar al usuario a través de la interfaz de usuario la siguiente lista de parámetros: posición GPS del dispositivo de usuario, conjunto de redes vecinas a la red WiFi detectadas por el dispositivo de usuario, intensidad de la señal de las redes vecinas, identificador del punto de acceso y de los dispositivos de usuario conectados a la red WiFI, y recibir del usuario a través de la interfaz de usuario, una selección de algunos o todos ellos como parámetros de verificación para futuros intentos de conexión a la red WiFi;
- tras recibir la señal de baliza, si el dispositivo de usuario se ha conectado alguna vez a dicha red WiFi: obtener el valor actual de los parámetros de verificación seleccionados la primera vez que el dispositivo de usuario se conectó a la red, comparar el valor actual de los parámetros de verificación seleccionados con un valor habitual preestablecido de los parámetros de verificación, determinar si la verificación de la red (el acceso a la red a través del punto de acceso detectado) es positiva o negativa basándose al menos en dicha comparación y, sólo si la verificación de la red es positiva el dispositivo de usuario envía una solicitud de conexión al punto de acceso.
Según un tercer aspecto, la presente invención propone un sistema para mejorar la seguridad de la conexión de un dispositivo de usuario a redes WiFi, que comprende el dispositivo de usuario divulgado anteriormente y un punto de acceso perteneciente a una red WiFi, en el que el punto de acceso está configurado para enviar una señal de baliza al dispositivo de usuario. El punto de acceso también puede comprender:
- un receptor configurado para recibir una solicitud de conexión del dispositivo de usuario.
- un procesador configurado para, si se recibe una solicitud de conexión desde el dispositivo de usuario, realizar las siguientes acciones:
- enviar un mensaje al dispositivo de usuario solicitando un compendio del valor de los parámetros de verificación obtenidos por el dispositivo de usuario,
- recibir a través del receptor el compendio del valor de los parámetros de verificación obtenidos por el dispositivo de usuario;
- determinar si una dirección IP está asignada al dispositivo de usuario o no, basándose al menos en dicho compendio;
- enviar la dirección IP al dispositivo de usuario si se determina que se ha asignado una dirección IP al dispositivo de usuario.
En un último aspecto de la presente invención, se divulga un programa de ordenador que comprende medios de código de programa de ordenador adaptados para realizar las etapas de los procedimientos descritos, cuando dicho programa se ejecuta en medios de procesamiento de una entidad de red de una red OFDMA, siendo dichos medios de procesamiento, por ejemplo, un ordenador, un procesador de señales digitales, una matriz de puertas programables en campo (FPGa ), un circuito integrado de aplicación específica (ASIC), un microprocesador, un microcontrolador o cualquier otra forma de hardware programable. En otras palabras, se proporciona un programa de ordenador que comprende instrucciones que hacen que un ordenador que ejecuta el programa realice todas las etapas del procedimiento descrito cuando el programa se ejecuta en un ordenador. También se proporciona un medio de almacenamiento de datos digital para almacenar un programa de ordenador que comprende instrucciones, haciendo que un ordenador que ejecuta el programa realice todas las etapas de los procedimientos descritos cuando el programa se ejecuta en un ordenador.
En las reivindicaciones independientes y dependientes adjuntas se exponen aspectos, realizaciones y detalles adicionales, específicos y preferentes de la invención. Para una comprensión más completa de la invención, sus objetos y ventajas, se puede hacer referencia a la siguiente memoria descriptiva y a los dibujos adjuntos.
Descripción de los dibujos
Para complementar la descripción que se realiza y con el fin de ayudar a comprender mejor las características de la invención según una realización práctica preferente de la misma, se adjunta como parte integrante de dicha descripción un juego de dibujos en los que se ha representado lo siguiente con carácter ilustrativo y no limitativo:
La figura 1 muestra un diagrama de flujo del mecanismo de seguridad propuesto según una realización de la presente invención.
La figura 2 muestra esquemáticamente un diagrama de bloques de una posible implementación del sistema que proporciona el mecanismo de seguridad propuesto según una realización de la presente invención.
La figura 3 muestra esquemáticamente un diagrama de las secuencias de mensajes para el aumento de la seguridad del punto de acceso, según una realización de la presente invención.
Descripción detallada de la invención
La presente invención propone un mecanismo o metodología de protección mejorado para proteger a los usuarios de dispositivos de comunicaciones electrónicas inalámbricas cuando se conectan a una red de telecomunicaciones inalámbrica y, más concretamente, cuando acceden a redes WiFi. Es decir, la presente invención proporciona una conexión segura a las redes de telecomunicaciones inalámbricas para los usuarios de dispositivos de comunicaciones electrónicas. En la solución propuesta la red, a través del punto de acceso a la red (elemento de la red inalámbrica con el que el dispositivo de comunicaciones electrónicas del usuario se conecta directamente, para acceder a la red inalámbrica), será certificada por el usuario antes de conectarse al punto de acceso para acceder a la red inalámbrica.
El dispositivo de usuario de comunicaciones electrónicas inalámbricas (o más sencillamente, dispositivo de usuario o dispositivo inalámbrico de usuario) puede ser un ordenador, un PC o un dispositivo móvil como una tableta, un teléfono móvil, un teléfono inteligente, un ordenador portátil... y en general cualquier equipo o dispositivo electrónico que pueda conectarse a una red de comunicaciones inalámbricas.
Según la solución propuesta, para certificar el punto de acceso, un usuario puede verificar diferentes características del punto de acceso (denominadas parámetros de validación o verificación), incluyendo cualquier combinación de las siguientes, dependiendo de la configuración del usuario y de las características del dispositivo del usuario (por ejemplo, la disponibilidad de GPS):
• Posición (del punto de acceso) dentro de un área especificada. La posición del punto de acceso puede ser transmitida por el punto de acceso o estimada en base a la posición del dispositivo de usuario (por ejemplo la posición GPS) al detectar el punto de acceso. De este modo se evita la conexión a un punto de acceso clónico situado en una posición diferente a la habitual. El usuario puede establecer un umbral de distancia máxima desde el punto de conexión habitual. Por ejemplo, si al detectar la señal de un punto de acceso habitual, la ubicación del dispositivo no está dentro de una distancia de la ubicación habitual donde se utiliza dicha red (donde se ha detectado el punto de acceso en conexiones anteriores) el punto de acceso no se certifica.
• Conjunto de redes vecinas. Las redes vecinas pueden definirse como las redes inalámbricas (wifi) detectadas al mismo tiempo que la red cuyo punto de acceso el dispositivo quiere certificar. El usuario puede comprobar la lista actual de redes vecinas y establecer una intersección mínima (coincidencia) con la lista habitual de redes vecinas. Es decir, para la red WiFi (a la que intenta conectarse el dispositivo del usuario) se establece una lista de redes vecinas habituales detectadas cuando el usuario se conecta a dicha red y si la cantidad de redes comunes (coincidentes) entre la lista actual de redes vecinas y la lista habitual de red vecina es menor que un umbral previamente establecido, se determina que la verificación es negativa (también por ejemplo, si una determinada red vecina o un determinado grupo de redes vecinas habitualmente detectadas no aparece en la lista actual de redes vecinas, se determina que la verificación es negativa). También se comprueba una eventual lista blanca (lista de redes permitidas) y/o negra (lista de redes prohibidas o no recomendadas) de redes vecinas. Por supuesto, cuando existe una lista negra de redes, no sólo se comprueban las redes vecinas, sino también la red de destino (la red cuyo punto de acceso se va a certificar) en esta lista negra de redes (es decir, si la red de destino está incluida en la lista negra de redes, la verificación será negativa y la red no se certificará.
• Huella digital de las redes vecinas. Entre todas las redes vecinas detectadas o para las redes vecinas que se cruzan identificadas en la opción anterior, el usuario puede comprobar si su intensidad de señal se corresponde (dentro de unos umbrales debidamente establecidos) con la intensidad de señal habitual recibida de las mismas redes previamente registradas. Es decir, para la red WiFi (a la que el dispositivo de usuario está intentando conectarse) se establece una lista de redes vecinas habituales detectadas cuando el usuario se conecta a dicha red y se registra la intensidad de señal habitual recibida de cada red vecina en intentos de conexión anteriores a la red WiFi (por ejemplo, una media de la intensidad de señal recibida en todas o algunas de las últimas conexiones); entonces, si la intensidad de señal actual recibida de dichas redes vecinas (o de un subgrupo de ellas) no está dentro de un valor umbral de la intensidad de señal habitual recibida de cada red vecina, se determina que la verificación es negativa. El usuario puede establecer un número mínimo de niveles de señal correspondientes, así como los umbrales de nivel correspondientes.
• Identificador único del punto de acceso. El usuario puede comprobar un identificador único del punto de acceso de la red en comparación con otros puntos de acceso de diferentes redes, por ejemplo, la dirección de control de acceso al medio (MAC) de la interfaz inalámbrica del punto de acceso, o su BSSID (Basic Service Set
Identifier (Identificador de conjunto de servicios básicos)), comparándolo con el registrado para la red del punto de acceso comprobado. El Basic Service Set Identifier es un identificador único que se asocia a una red inalámbrica y suele corresponder a la dirección MAC (Media Access Control (Control de acceso al medio)) del rúter de salida de la red. En una configuración estándar, se configura el mismo BSSID en todos los puntos de acceso de una misma red inalámbrica. En el caso de múltiples puntos de acceso pertenecientes a la misma red, habrá un BSSID común para todos los puntos de acceso; sin embargo, la dirección MAC del punto de acceso específico seguiría permitiendo discriminar el punto de acceso específico, siendo único para la interfaz de red.
• Conjunto de dispositivos de usuario conectados. El usuario puede comprobar la presencia de un conjunto específico de dispositivos de usuario conectados a la misma red, mediante un identificador único de los dispositivos, por ejemplo, la dirección MAC de su interfaz inalámbrica. El usuario puede mantener una lista de dispositivos de usuario habituales conectados a la red WiFi que quiere certificar y establecer un umbral específico de dispositivos de usuario comunes mínimos entre los conectados actualmente y los habituales para certificar el punto de acceso. Como alternativa, se puede comprobar la presencia (o ausencia) de dispositivos de usuarios conocidos específicos en la red, ya que pueden representar, por ejemplo, dispositivos fijos conectados a la red, como impresoras o cámaras IP, de nuevo mediante un identificador único de los dispositivos, por ejemplo, la dirección MAC de su interfaz inalámbrica. Para obtener el conjunto de dispositivos de usuario ya conectados, se pueden utilizar muchos procedimientos; por ejemplo, el dispositivo de usuario puede solicitar al punto de acceso (antes de conectarse a la red) la lista de dispositivos de usuario ya conectados, el dispositivo de usuario puede interceptar (husmear) las comunicaciones del punto de acceso para detectar los dispositivos de usuario conectados (aunque este procedimiento llevará más tiempo y es más complicado) o cualquier otro procedimiento conocido.
Por lo tanto, los criterios mencionados para certificar un punto de acceso se basan en la comparación de la información actual con la información habitual (o, en términos generales, anterior) de la red, por lo que es evidente que los criterios mencionados no pueden verificarse la primera vez que un usuario se conecta a una red inalámbrica. Por esta razón, el procedimiento propuesto diferenciará el caso en el que el usuario se conecta por primera vez a una red del caso en el que no es la primera vez que el usuario se conecta para la red.
En términos generales, hay dos escenarios principales diferentes: i) cuando se detecta una nueva red (y, en consecuencia, un nuevo punto de acceso) y ii) cuando se detecta una red conocida. En este último escenario, también se pueden diferenciar dos subescenarios: ii1) se detecta un nuevo punto de acceso de una red conocida y ii2) se detecta un punto de acceso conocido de una red conocida. Para estos escenarios, se podría establecer un grupo de parámetros a verificar (que podrían ser diferentes para cada escenario o no) y un grupo de umbral/valor/conjunto de valores/lista negra/lista blanca para cada parámetro de verificación. En el caso ii1) el hecho de que el punto de acceso pertenezca a la misma red de otro punto de acceso que haya sido aceptado (certificado) es un factor favorable que podría tenerse en cuenta para la certificación (junto con todos los demás parámetros de verificación).
A continuación se explicarán las etapas del procedimiento o algoritmo ("algoritmo de fijación de red") propuesto por una realización preferente de la presente invención para proporcionar una conexión segura a una red WiFi (en la figura 1 se muestra un diagrama de flujo del algoritmo):
- Cuando un usuario está intentando conectarse a una red inalámbrica (es decir, cuando el dispositivo de usuario detecta una señal de baliza de un punto de acceso perteneciente a una red a la que el usuario quiere conectarse) se miden los parámetros de la red (parámetros de verificación) según los criterios utilizados para verificar el punto de acceso presentados anteriormente (si están disponibles). Es decir, se obtiene el valor actual de los parámetros de verificación. Dichos parámetros pueden incluir la posición, el conjunto de redes inalámbricas vecinas detectadas, la intensidad de la señal de las redes inalámbricas vecinas, el identificador único del punto de acceso y el conjunto de usuarios conectados a la red. En una realización, sólo se miden/obtienen los parámetros previamente seleccionados por el usuario para la verificación (parámetro de verificación) (si el usuario no ha seleccionado previamente ningún parámetro, se puede utilizar un conjunto de parámetros de verificación por defecto).
En una realización, el usuario puede seleccionar un conjunto específico de parámetros de verificación para las nuevas redes (es decir, el usuario selecciona un conjunto diferente de parámetros de verificación a medir para las nuevas redes que para las redes ya conectadas). En el caso de las nuevas redes, el usuario también puede seleccionar los umbrales, la lista negra, la lista blanca..., que se utilizarán para comparar cada parámetro de verificación, con el fin de decidir si el punto de acceso está certificado o no.
- Si el dispositivo de usuario intenta conectarse a una nueva red (es decir, el dispositivo de usuario no se ha conectado previamente a dicha red), se solicita al usuario (por ejemplo, a través de una interfaz de usuario del dispositivo de usuario) la validación manual de la red. Se puede ofrecer al usuario una lista de parámetros de apoyo a la decisión, incluyendo los valores actuales de algunos o todos los posibles parámetros de verificación, eventuales redes similares sobre la base de los parámetros medidos (posición, redes vecinas e intensidad de la señal correspondiente, y/o usuarios conectados), junto con el correspondiente estado de validación de las redes
similares, con el fin de apoyar la validación manual. Pueden ofrecerse al usuario otros parámetros como apoyo a la decisión, incluyendo por ejemplo el número de usuarios conectados.
o Si el usuario valida la red, el dispositivo de usuario se conecta a la red (es decir, se inicia el procedimiento de establecimiento de la conexión). Antes o después de la conexión, se pide al usuario que seleccione (por ejemplo, a través de una interfaz de usuario del dispositivo de usuario) los parámetros que deben comprobarse para los próximos intentos de conexión (posición, redes vecinas, huella digital de las redes vecinas, identificador del punto de acceso o conjunto de usuarios conectados), así como los parámetros medidos correspondientes y los umbrales para futuras comprobaciones (por ejemplo, la distancia permitida para la posición). Normalmente, la red también se añade a la lista blanca de usuarios.
o Si el usuario no valida la red, el dispositivo del usuario no se conecta a la red y ésta puede añadirse a la lista negra. Los parámetros correspondientes pueden registrarse para ser utilizados en la etapa de apoyo a la decisión. Es decir, en el caso de que la red no sea validada por el usuario, los valores medidos correspondientes a esa red específica pueden ser almacenados y en el futuro, si una red presenta un conjunto de parámetros similares a esta rechazada, la información puede ser enviada al usuario como apoyo a la decisión (es decir, como una advertencia en este caso).
- Si el usuario está intentando conectarse a una red conocida (es decir, el usuario se ha conectado previamente a dicha red), el valor habitual del conjunto de parámetros de validación (posición, redes vecinas, huella digital de las redes vecinas, identificador del punto de acceso y/o conjunto de usuarios conectados) seleccionado por el usuario durante la primera conexión a la misma red se comprueba con los valores actuales medidos para dichos parámetros de validación seleccionados y utilizando los umbrales previamente establecidos por el usuario, si los hubiera. Este valor habitual del conjunto de parámetros de validación puede establecerse mediante cualquier técnica conocida, por ejemplo una media del valor de los parámetros en todas las veces que el dispositivo de usuario se ha conectado a dicha red, el valor de los parámetros la última vez que el dispositivo de usuario se ha conectado a dicha red, la media en las dos, tres, cuatro últimas veces, etc.
o Si los parámetros coinciden, el dispositivo de usuario se conecta a la red (se inicia el procedimiento de establecimiento de la conexión);
o De lo contrario, el dispositivo de usuario no está conectado a la red y el usuario puede ser notificado del fallo de conexión, dependiendo de una configuración adecuada.
Se puede utilizar una base de datos común (por ejemplo, en un servidor remoto) para apoyar la decisión del usuario sobre la primera conexión, incluyendo las redes fraudulentas conocidas y los parámetros correspondientes (dicha información será obtenida por el dispositivo de usuario de la base de datos común), pero algunos parámetros dependen de la medición y su medición puede variar de un dispositivo a otro (por ejemplo, la intensidad de la señal de red). Por ello, estos parámetros sólo pueden utilizarse como indicadores generales, mientras que otros parámetros, independientes de la medición, pueden utilizarse sobre una base más fiable (por ejemplo, la localización GPS). Por la misma razón, es posible compartir la lista blanca y la lista negra entre los dispositivos, incluyendo los valores de los parámetros correspondientes y la configuración del umbral, pero no es aconsejable, ya que los parámetros sensibles a la medición pueden inducir a falsos positivos/negativos en el proceso de validación de la red. En otras palabras, en una realización, los parámetros para apoyar la decisión del usuario en la primera conexión (por ejemplo, los parámetros de huella digital de red para apoyar la decisión) se almacenan en un almacenamiento compartido por todos los usuarios o un grupo de usuarios (es decir, una base de datos común accesible por todos los usuarios o un grupo de usuarios). Las características de red medidas por el dispositivo de usuario cada vez que se conecta a una red WiFi pueden almacenarse en un almacenamiento local accesible por el dispositivo de usuario (dicho almacenamiento local puede ser el propio dispositivo de usuario). La figura 2 representa la arquitectura de una posible implementación del mecanismo de seguridad propuesto según una realización de la presente invención. En una realización, para mejorar la seguridad, la infraestructura de la red puede permitir sólo las conexiones de los usuarios que certifican el punto de acceso. En otras palabras, en una realización, la solución descrita puede ser explotada también por el propio punto de acceso, ya que puede, por ejemplo, sólo aceptar usuarios que ejecuten el protocolo descrito anteriormente antes de conectarse, considerando al menos un subconjunto especificado del parámetro descrito. Esto puede implementarse, por ejemplo, imponiendo al dispositivo de usuario que se conecta que envíe al módulo DHCP (Dynamic Host Configuration Protocol (Protocolo de configuración dinámica de host)) un resumen de los valores registrados para los parámetros considerados, como condición para que se le asigne una dirección IP, como se explicará ahora.
La figura 3 muestra un diagrama de secuencia de una posible implementación de esta realización (extensión del mecanismo de seguridad al punto de acceso) para un caso de conexión exitosa. En la figura 3 se supone que se ha aplicado el mecanismo de seguridad anteriormente divulgado (figura 1) y que ha tenido éxito (31). Es decir, se han medido los parámetros de red de validación según los criterios seleccionados para verificar el punto de acceso (la posición GPS, el conjunto de redes inalámbricas vecinas detectadas, la intensidad de la señal de las redes inalámbricas vecinas, el identificador único del punto de acceso y/o el conjunto de usuarios conectados a la red), se
comprueba el valor habitual del conjunto de los parámetros de validación seleccionados con los valores medidos actuales y los parámetros coinciden. A continuación, el dispositivo de usuario solicita la conexión a la red al punto de acceso (32).
A continuación, el punto de acceso solicita (33) al dispositivo de usuario que envíe los valores de los parámetros de validación registrados seleccionados (un compendio de ellos) como, por ejemplo, la posición GPS, el conjunto de redes inalámbricas vecinas detectadas, la intensidad de la señal de las redes inalámbricas vecinas, el identificador único del punto de acceso y/o el conjunto de usuarios conectados a la red. Este compendio de valores de parámetros solicitado es calculado (34) por el dispositivo de usuario y enviado (35) al punto de acceso.
- A continuación, se comprueban los parámetros establecidos (y, más concretamente, el compendio) por el propio punto de acceso o por el nodo DHCP (por ejemplo, un rúter) comprueban (36). Y si esta comprobación es correcta, se asigna una dirección IP y se envía (37) al dispositivo de usuario (para que éste pueda comunicarse con la red).
Obsérvese que en este texto, los términos relacionales como primero y segundo, mayor y menor y similares, sólo pueden utilizarse para distinguir una entidad o una acción de otra, sin que en realidad requieran o impliquen necesariamente esa relación u orden entre dichas entidades o acciones. Además, el término "comprende" y sus derivaciones (como "que comprende", etc.) no deben entenderse en un sentido exclusivo, es decir, estos términos no deben interpretarse como excluyentes de la posibilidad de que lo descrito y definido pueda incluir elementos, etapas, etc. adicionales.
Habiendo descrito suficientemente la naturaleza de la invención así como la forma de llevarla a cabo en la práctica, hay que destacar la posibilidad de que las diferentes partes de la misma puedan ser fabricadas con diversos materiales, en diversos tamaños y formas, pudiendo introducirse también en su constitución o procedimiento aquellas variaciones que la práctica aconseje siempre que no alteren el principio fundamental de la presente invención. La descripción y los dibujos sólo ilustran los principios de la invención. Por lo tanto, debe tenerse en cuenta que los expertos en la materia podrían concebir varias disposiciones que, aunque no hayan sido descritas o mostradas explícitamente en este documento, representan los principios de la invención y están incluidas en su ámbito de aplicación. Además, todos los ejemplos descritos deben considerarse como no limitantes con respecto a dichos ejemplos y condiciones específicamente descritos.
Claims (15)
1. Un procedimiento para mejorar la seguridad de la conexión de un dispositivo de usuario a redes WiFi, en el que el procedimiento comprende las siguientes etapas:
a) recibir, por parte del dispositivo de usuario, una señal de baliza procedente de un punto de acceso perteneciente a una red WiFi;
b) tras recibir la señal de baliza, si el dispositivo de usuario no se ha conectado nunca a dicha red WiFi, ir a la etapa c), en caso contrario, ir a la etapa e)
c) el dispositivo de usuario proporciona información al usuario de apoyo a la decisión a través de una interfaz de usuario del dispositivo de usuario y, después de proporcionar dicha información de apoyo a la decisión, si el dispositivo de usuario recibe del usuario a través de la interfaz de usuario una validación de la red WiFi, pasa a la etapa d), de lo contrario el procedimiento termina;
d) el dispositivo de usuario envía una solicitud de conexión al punto de acceso y el dispositivo de usuario proporciona al usuario a través de la interfaz de usuario la siguiente lista de parámetros: posición del punto de acceso, conjunto de redes vecinas a la red WiFi detectadas por el dispositivo de usuario, intensidad de la señal de las redes vecinas, identificador del punto de acceso y de los dispositivos de usuario conectados a la red WiFI, y el dispositivo de usuario recibe del usuario a través de la interfaz de usuario, una selección de algunos o de todos ellos como parámetros de verificación a comprobar para futuros intentos de conexión a la red WiFi y el procedimiento termina;
e) el dispositivo de usuario obtiene el valor actual de los parámetros de verificación seleccionados la primera vez que el dispositivo de usuario se conectó a la red, compara el valor actual de los parámetros de verificación seleccionados con un valor habitual preestablecido de los parámetros de verificación, determina si la verificación de la red es positiva o negativa basándose al menos en dicha comparación y que, sólo si la verificación de la red es positiva, el dispositivo de usuario envía una solicitud de conexión al punto de acceso.
2. El procedimiento según cualquiera de las reivindicaciones anteriores, en el que en la etapa c) el dispositivo de usuario obtiene el valor actual de algunos o todos los parámetros siguientes: posición del punto de acceso, conjunto de redes vecinas detectadas, intensidad de la señal de las redes vecinas detectadas, identificador del punto de acceso y dispositivos de usuario conectados a la red WiFI; y en el que la información de apoyo a la decisión comprende uno o más de los siguientes: el valor actual obtenido de los parámetros, eventuales redes similares sobre la base del valor actual obtenido de los parámetros junto con el correspondiente estado de validación de dichas redes similares, una lista de redes WiFi permitidas, una lista negra de redes WiFi, el correspondiente valor de los parámetros de verificación en las redes de la lista negra.
3. El procedimiento según la reivindicación 2, en el que en la etapa c), si el usuario no valida la red, el valor actual obtenido de los parámetros se almacena en una base de datos y/o la red WiFi se añade a una lista negra.
4. El procedimiento según cualquiera de las reivindicaciones anteriores, en el que el procedimiento comprende además las siguientes etapas realizadas por el dispositivo de usuario:
f) si el dispositivo de usuario envía una solicitud de conexión al punto de acceso;
f1) recibe un mensaje del punto de acceso solicitando un compendio del valor de los parámetros de verificación obtenidos por el dispositivo de usuario,
f2) envía el compendio del valor de los parámetros de verificación obtenidos por el dispositivo de usuario y f3) recibe del punto de acceso una dirección IP sólo después de que un nodo de la red WiFi, basándose en dicho compendio, determine que la conexión está permitida.
5. El procedimiento según cualquiera de las reivindicaciones anteriores, en el que el valor habitual preestablecido de los parámetros de verificación se calcula denle base al valor de los parámetros de verificación en todas o algunas de las veces anteriores en que el dispositivo de usuario ha estado conectado a dicha red.
6. El procedimiento según cualquiera de las reivindicaciones anteriores en el que, la etapa d) comprende además:
el usuario, a través de la interfaz de usuario del dispositivo de usuario, selecciona los umbrales a utilizar en la comparación de la etapa e) para cada parámetro de verificación.
7. El procedimiento según cualquiera de las reivindicaciones anteriores, en el que en la etapa d), la red WiFi se añade a una lista de redes WiFi permitidas.
8. El procedimiento según cualquiera de las reivindicaciones anteriores, en el que el valor actual de los parámetros de verificación obtenidos en la etapa e) se almacena en una base de datos común.
9. El procedimiento según cualquiera de las reivindicaciones anteriores, en el que la determinación en la etapa e) también se realiza basándose en la lista de redes WiFi permitidas y/o en una lista negra de redes WiFi.
10. El procedimiento según cualquiera de las reivindicaciones anteriores, en el que el identificador del punto de acceso es la dirección MAC de la interfaz inalámbrica del punto de acceso o el identificador de conjunto de servicios básicos, BSSID, de la red WiFi a la que pertenece el punto de acceso.
11. El procedimiento según cualquiera de las reivindicaciones anteriores, en el que el dispositivo de usuario es, una tableta, un teléfono móvil, un teléfono inteligente, un ordenador portátil, un ordenador o un PC.
12. Un dispositivo de usuario para mejorar la seguridad de la conexión del dispositivo de usuario a redes WiFi, en el que el dispositivo de usuario comprende:
- un receptor para recibir una señal de baliza de un punto de acceso perteneciente a una red WiFi;
- un procesador configurado para:
- tras recibir la señal de baliza, si el dispositivo de usuario no se ha conectado nunca a dicha red WiFi: proporcionar información al usuario de apoyo a la decisión a través de una interfaz de usuario del dispositivo de usuario; y, tras proporcionar dicha información de apoyo a la decisión, si el dispositivo de usuario recibe del usuario a través de la interfaz de usuario una validación de la red WiFi, enviar una solicitud de conexión al punto de acceso, proporcionar al usuario a través de la interfaz de usuario la siguiente lista de parámetros: Posición GPS del dispositivo de usuario, conjunto de redes vecinas a la red WiFi detectadas por el dispositivo de usuario, intensidad de la señal de las redes vecinas, identificador del punto de acceso y de los dispositivos de usuario conectados a la red WiFI, y recibir del usuario a través de la interfaz de usuario, una selección de algunos o todos ellos como parámetros de verificación a verificar para futuros intentos de conexión a la red WiFi;
- tras recibir la señal de baliza, si el dispositivo de usuario se ha conectado alguna vez a dicha red WiFi: obtener el valor actual de los parámetros de verificación seleccionados la primera vez que el dispositivo de usuario se conectó a la red, comparar el valor actual de los parámetros de verificación seleccionados con un valor habitual preestablecido de los parámetros de verificación, determinar si la verificación de la red es positiva o negativa basándose al menos en dicha comparación y, sólo si la verificación de la red es positiva el dispositivo de usuario envía una solicitud de conexión al punto de acceso.
13. Sistema para mejorar la seguridad de la conexión de un dispositivo de usuario a redes WiFi, que comprende el dispositivo de usuario según la reivindicación 12 y un punto de acceso perteneciente a una red WiFi, en el que el punto de acceso está configurado para enviar una señal de baliza al dispositivo de usuario.
14. El sistema según la reivindicación 13, en el que el punto de acceso comprende:
- un receptor configurado para recibir una solicitud de conexión del dispositivo de usuario.
- un procesador configurado para, si se recibe una solicitud de conexión desde el dispositivo de usuario, realizar las siguientes acciones:
- enviar un mensaje al dispositivo de usuario solicitando un compendio del valor de los parámetros de verificación obtenidos por el dispositivo de usuario,
- recibir a través del receptor el compendio del valor de los parámetros de verificación obtenidos por el dispositivo de usuario;
- determinar si se asigna o no una dirección IP al dispositivo de usuario, basándose al menos en dicho compendio;
- enviar la dirección IP al dispositivo de usuario si se determina que se ha asignado una dirección IP al dispositivo de usuario.
15. Un medio de almacenamiento digital no transitorio para almacenar un programa de ordenador que comprende instrucciones ejecutables por ordenador que hacen que un ordenador que ejecuta el programa implemente el procedimiento según cualquiera de las reivindicaciones 1-11.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP19382429.9A EP3745758B1 (en) | 2019-05-29 | 2019-05-29 | Method, device and system for secure connection in wireless communications networks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2908416T3 true ES2908416T3 (es) | 2022-04-29 |
Family
ID=66752022
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES19382429T Active ES2908416T3 (es) | 2019-05-29 | 2019-05-29 | Procedimiento, dispositivo y sistema para conexión segura en redes de comunicaciones inalámbricas |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11317277B2 (es) |
| EP (1) | EP3745758B1 (es) |
| BR (1) | BR102020010985A2 (es) |
| ES (1) | ES2908416T3 (es) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3923612A1 (en) * | 2020-06-09 | 2021-12-15 | Deutsche Telekom AG | Method and communication system for ensuring secure communication in a zero touch connectivity-environment |
| US20220394422A1 (en) * | 2021-06-02 | 2022-12-08 | Waggle Corporation | Mobile device communication without network connection |
| US20230064926A1 (en) * | 2021-08-27 | 2023-03-02 | The Toronto-Dominion Bank | System and Method for Determining a Physical Location Associated with an Activity Detected on a Mobile Device |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100549530B1 (ko) * | 2004-05-20 | 2006-02-03 | 삼성전자주식회사 | 컴퓨터, 액세스 포인트, 네트워크 시스템 및 그 제어방법 |
| US7693516B2 (en) * | 2004-12-28 | 2010-04-06 | Vtech Telecommunications Limited | Method and system for enhanced communications between a wireless terminal and access point |
| US9363745B2 (en) * | 2008-03-26 | 2016-06-07 | Srinivasan Balasubramanian | Device managed access point lists in wireless communications |
| JP2011139238A (ja) * | 2009-12-28 | 2011-07-14 | Seiko Epson Corp | 無線通信装置、無線通信方法、及び無線通信プログラム |
| US9763094B2 (en) * | 2014-01-31 | 2017-09-12 | Qualcomm Incorporated | Methods, devices and systems for dynamic network access administration |
| CN104349423B (zh) * | 2014-06-30 | 2015-11-18 | 腾讯科技(深圳)有限公司 | 自动连接无线局域网的方法、系统及装置 |
| US9949301B2 (en) | 2016-01-20 | 2018-04-17 | Palo Alto Research Center Incorporated | Methods for fast, secure and privacy-friendly internet connection discovery in wireless networks |
| US10623951B2 (en) * | 2016-03-09 | 2020-04-14 | Qualcomm Incorporated | WWAN-WLAN aggregation security |
| CN107040922B (zh) * | 2016-05-05 | 2019-11-26 | 腾讯科技(深圳)有限公司 | 无线网络连接方法、装置及系统 |
| PT3489375T (pt) | 2017-11-22 | 2020-07-14 | Biotech Dental | Ligas ternárias de ti-zr-o, métodos para a produção das mesmas e utilizações associadas das mesmas |
-
2019
- 2019-05-29 ES ES19382429T patent/ES2908416T3/es active Active
- 2019-05-29 EP EP19382429.9A patent/EP3745758B1/en active Active
-
2020
- 2020-05-27 US US16/884,149 patent/US11317277B2/en active Active
- 2020-05-29 BR BR102020010985-5A patent/BR102020010985A2/pt unknown
Also Published As
| Publication number | Publication date |
|---|---|
| BR102020010985A2 (pt) | 2020-12-08 |
| US11317277B2 (en) | 2022-04-26 |
| EP3745758A1 (en) | 2020-12-02 |
| US20200382952A1 (en) | 2020-12-03 |
| EP3745758B1 (en) | 2021-12-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2908416T3 (es) | Procedimiento, dispositivo y sistema para conexión segura en redes de comunicaciones inalámbricas | |
| CN106487777B (zh) | 身份认证方法和物联网网关装置及认证网关装置 | |
| ES2686834T3 (es) | Método y sistema para autenticar un punto de acceso | |
| JP5784776B2 (ja) | 認証能力のセキュアなネゴシエーション | |
| ES2447546T3 (es) | Acceso a través de redes de acceso no-3GPP | |
| ES2389651T3 (es) | Detección automática del tipo de red inalámbrica | |
| US10425448B2 (en) | End-to-end data protection | |
| US7882349B2 (en) | Insider attack defense for network client validation of network management frames | |
| US10470102B2 (en) | MAC address-bound WLAN password | |
| US20150124966A1 (en) | End-to-end security in an ieee 802.11 communication system | |
| Mustafa et al. | Cetad: Detecting evil twin access point attacks in wireless hotspots | |
| US20100106966A1 (en) | Method and System for Registering and Verifying the Identity of Wireless Networks and Devices | |
| ES2696833T3 (es) | Comunicaciones inalámbricas que implican una trama de descubrimiento de configuración rápida de enlace inicial, FILS, para señalización de redes | |
| TW201313040A (zh) | 家佣節點b裝置及安全協定 | |
| US20170238236A1 (en) | Mac address-bound wlan password | |
| FI130942B1 (en) | System and method for network device assisted detection of a honeypot connection point | |
| EP3158827B1 (en) | Method for generating a common identifier for a wireless device in at least two different types of networks | |
| EP3534668A1 (en) | Communication system, network device, authentication method, communication terminal and security device | |
| CN112514436A (zh) | 发起器和响应器之间的安全的、被认证的通信 | |
| ES2675326T3 (es) | Método y aparato en un sistema de telecomunicación | |
| US20160344744A1 (en) | Application protocol query for securing gba usage | |
| Dondyk et al. | Denial of convenience attack to smartphones using a fake Wi-Fi access point | |
| Gollier et al. | SSID Confusion: Making Wi-Fi Clients Connect to the Wrong Network | |
| US11223954B2 (en) | Network authentication method, device, and system | |
| CN107005410B (zh) | 因特网协议安全性隧道建立方法,用户设备及基站 |