ITMI20090236A1

ITMI20090236A1 - Metodo e sistema di autenticazione per accesso ad una rete tramite un access point wireless

Info

Publication number: ITMI20090236A1
Application number: IT000236A
Authority: IT
Inventors: Giuseppe Quintarelli
Original assignee: M2Q Tech S R L
Priority date: 2009-02-20
Filing date: 2009-02-20
Publication date: 2010-08-21

Description

METODO E SISTEMA DI AUTENTICAZIONE PER ACCESSO AD UNA RETE TRAMITE UN ACCESS POINT WIRELESS

DESCRIZIONE

CAMPO DELL'INVENZIONE

La presente invenzione si riferisce ad un metodo di autenticazione per l’accesso ad una rete, in particolare tramite un punto di accesso (AP=access point) pubblico senza fili (hotspot wireless).

STATO DELLA TECNICA ANTERIORE

Come noto, una rete di connessione tra elaboratori, in particolare Internet, presenta dei punti di accesso (AP) attraverso i quali possono essere collegati degli elaboratori elettronici (dei PC o dei Palmari in particolare) per poter comunicare nella rete e usufruire delle relative risorse (ad esempio, raccolte di dati, server di posta elettronica, reti localizzate ristrette LAN e così via).

Ovviamente, nel punto di accesso, l’elaboratore elettronico deve essere riconosciuto ed autorizzato a connettersi, tramite opportuni protocolli di autenticazione. Tale operazione è comunemente eseguita senza difficoltà particolari nel caso di apparecchiature fisse e stabili. Tuttavia, l’elevata mobilità degli utenti, negli ultimi anni ha fatto nascere nuove esigenze legate all'opportunità di offrire servizi di connettività anche ad utenti che si spostino frequentemente in altre località, anche remote dalla abituale postazione di lavoro, entrando quindi in contatto con access point non abituali. Oggigiorno, la connettività ad Internet è offerta dunque anche in località pubbliche (aeroporti, alberghi, bar, aule di convegni, e così via) ed in modalità senza fili (wireless): tali punti di accesso vengono comunemente indicati anche come "hotspot wireless".

Per poter conservare la possibilità di discernere l'utenza che deve essere abilitata all'accesso, per ottemperare ad obblighi di legge e, soprattutto, per poi eventualmente fatturare all'utenza il servizio erogato, è necessario stabilire delle modalità di autenticazione prima di concedere l'uso dell'access point.

Secondo la tecnica nota, sono previste sostanzialmente due modalità di autenticazione presso questi punti di accesso wireless pubblici. Per una migliore comprensione, nel seguito si useranno le seguenti definizioni degli attori di riferimento in questo contesto:

- il punto di accesso, AP;

- l'utente, U, che intende accedere alla rete tramite un elaboratore (laptop/palmare) ed è dotato solitamente di telefono mobile;

- l'ospite (host), H, che mette a disposizione l'AP ed il relativo collegamento alla rete;

- l'operatore, 0, che svolge l'autenticazione.

Una prima modalità operativa della tecnica nota è quella che si verifica quando l'operatore 0 possiede una rete di punti di accesso AP. Ad esempio, una società possiede una serie di AP distribuiti in località di interesse (ad esempio aeroporti) e li mette a disposizione di un gestore di connettività (per esempio, in Italia, Tim, Vodafone, ...) che agisce da ospite (host). In pratica, l'ospite spesso ha un accordo con un operatore per l'uso dei propri AP (talvolta operatore e ospite coincidono, ma spesso no). Quando l'utente accede con il proprio laptop/palmare ad un AP, l'operatore gli fornisce una pagina di benvenuto (tramite modalità software note, che interagiscono con il browser web del laptop/palmare), nella quale l'utente si registra staticamente ed inserisce il proprio numero di cellulare, che viene quindi acquisito dall'operatore. Quest'ultimo invia quindi una password "onetime", ossia usa e getta, verso il telefono cellulare dell'utente. La password ricevuta sul cellulare viene visualizzata dall'utente che la inserisce poi nella pagina di benvenuto. L'operatore può pertanto riconoscere l'utente (associato a credenziali già registrate) e quindi gli concede l'accesso alla rete tramite l'AP: poiché la sessione è univocamente correlata con quell'utente e quel contratto telefonico, risulta anche possibile procedere alla eventuale fatturazione della sessione di connettività.

Una modalità di autenticazione di questo tipo è illustrata, ad esempio, nella domanda US2002037708.

Una seconda modalità è quella in cui l'ospite possiede un proprio access point ed agisce quindi anche da operatore.

In questo caso, l'ospite possiede sia un AP che un sistema di autenticazione. L'utente si registra staticamente presso l'ospite/operatore (ossia il Bar, l'albergo, il saloncino dell'aeroporto, ...) ed ottiene così una password "onetime". Una volta collegato all'AP dell'ospite, l'utente può autenticarsi inserendo la password, eventualmente ricevuta sul cellulare, nella pagina di benvenuto che gli viene fornita dallo stesso ospite. In questo caso è l'ospite/operatore che riconosce l'utente (tra le credenziali registrate), lo autentica e quindi gli concede l'accesso.

Queste modalità di tecnica nota, tuttavia, comportano alcuni problemi.

Nel primo caso, il problema e' che il meccanismo di autenticazione limita il "business model". Infatti, per ogni autenticazione, l'operatore manda un SMS all'utente per trasmettergli la password, così facendo determinando un costo variabile per l'operatore; tale costo deve essere recuperato, tipicamente attraverso una relazione di fatturazione con l'utente che può' avvenire in modo diretto (ad esempio una tessera prepagata comprata dall'operatore) o indiretto (l'operatore viene pagato dall'ospite che a sua volta fattura all'utente), ma che comunque genera un flusso di transazioni scomodo.

Nel secondo caso, invece, l'inconveniente è rappresentato dal fatto che l'ospite (bar, albergo, ...) è esso stesso operatore e quindi ha dei costi che spesso sono maggiori dei benefici. L'ospite è infatti costretto ad installare e gestire un sistema di autenticazione: questa esigenza distoglie delle risorse dell'ospite, il cui "core business" è ben diverso, oppure obbliga l'ospite a trovare accordi con un operatore che gli fornisca tale servizio personalizzato (con estrema onerosità o scarsa efficacia se l'ospite non può vantare un numero elevato di potenziali utenti).

Scopo della presente invenzione è dunque quello di risolvere i problemi suaccennati, proponendo un innovativo sistema e meccanismo di autenticazione ad un access point.

Tale scopo viene conseguito tramite un metodo ed un sistema come descritti nei tratti essenziali nelle allegate rivendicazioni principali.

Altri aspetti inventivi del trovato sono descritti nelle rivendicazioni subordinate.

Ulteriori caratteristiche e vantaggi del sistema e metodo secondo l'invenzione risulteranno comunque meglio evidenti dalla descrizione dettagliata che segue di una preferita forma di realizzazione della stessa, data a titolo esemplificativo e non limitativo.

Secondo la soluzione qui proposta, l'infrastruttura hardware è organizzata secondo modalità operative originali rispetto ai casi di tecnica nota sopra menzionati. In particolare, un ospite possiede un proprio access point AP (per esempio nel proprio albergo, aeroporto, stazione ferroviaria, e così via) che è collegato ad una rete in cui sono visibili anche risorse di un operatore. In particolare, secondo l'invenzione, una delle risorse dell'operatore che sono connesse all'access point è un server di autenticazione di tipo Radius. Dunque, l'infrastruttura di autenticazione è mantenuta dall'operatore, mentre l'ospite possiede semplicemente un access point.

Il meccanismo di funzionamento di questa infrastruttura è profondamente innovativo rispetto alla tecnica nota.

In particolare, l'ospite si registra preventivamente con un operatore per un servizio di autenticazione (che potrebbe essere, di per sè, anche gratuito) e configura il proprio access point AP in modo da utilizzare il server di autenticazione Radius messo a disposizione dell'operatore 0. Le operazioni di configurazione possono essere molto semplici e standardizzate e i relativi parametri vengono inviati "una tantum" all'ospite a seguito della sua registrazione con l'operatore.

Nel funzionamento a regime, l'utente invia ad un centro servizi dell'operatore 0 - le cui coordinate possono essere fornite all'utente dall'ospite, anche in modo trasparente - un sms (messaggio breve di testo inviato su rete cellulare) contenente una password "onetime" che desidera utilizzare. Il costo dell'sms è ovviamente a carico dell'utente (tramite il sistema di fatturazione del proprio gestore telefonico), senza alcuna necessità di costituire altri e diversi meccanismi di fatturazione.

Dal lato operatore, la password dell'utente viene memorizzata nel sistema di autenticazione ed eventualmente associata al numero di telefono cellulare del mittente (utente), tramite ricezione del codice identificativo automatico (eli).

Nel server di autenticazione Radius, si provvede ad inserire in modo dinamico le credenziali di accesso utente nel database degli utenti autorizzati: il codice identificativo (password) viene trasferito dal telefono cellulare al database con una modalità provvisoria e immediata (on thè fly), a differenza di quanto avviene nella tecnica nota, dove è richiesta una registrazione statica dell'utente.

Secondo l'invenzione, dunque, il server Radius, a seguito della ricezione della password di utente, definisce "on thè fly" credenziali utente da autorizzare all'accesso.

L'utente accede poi all'access point AP con il proprio laptop/palmare: a questo punto l'AP presenta all'utente un'interfaccia con la quale gli chiede la password con meccanismi standard (WPA/Radius), utilizzando il server di autenticazione configurato. L'utente inserisce la propria password e l'operatore autentica l'utente e gli concede l'accesso.

L'abilitazione dell'utente all'access point può avvenire secondo due diverse modalità, a seconda di quale è più conveniente all'operatore.

Una prima possibilità è quella che non venga effettuata alcuna abilitazione di un access point specifico; la password che l'utente invia e' una password "one time" e l'autenticazione viene abilitata su tutti gli AP che Lisano quel server Radius: dopo la prima autenticazione, la password viene scartata.

Una seconda possibilità è che la password dell'utente sia valida su un insieme di access point AP (al limite anche uno solo) ed ha comunque una durata nel tempo (ad esempio, tutti gli AP dell'aeroporto di Roma Fiumicino per tre ore). In questo caso e' necessario identificare gli AP da abilitare. Per ottenere questo risultato, l'identificazione dell'AP, a cui si sta connettendo l'utente, può' avvenire tramite invio di un codice incluso nel nome dell'AP (SSID), oppure di un codice pubblicato nel luogo dove si intende accedere (vetrofania, manifestino, volantino, ecc) che è stato preventivamente fornito all'ospite dall'operatore nella fase di definizione e registrazione degli AP (per esempio, al gruppo di AP che servono una medesima area circoscritta, l'ospite associa un unico codice di gruppo che fornisce all'operatore nella fase di registrazione). Tale codice di identificazione dell'AP può essere fornito all'operatore per esempio inserendo come intestazione nell'sms che l'utente invia con la propria password scelta.

Secondo una forma d'esecuzione preferita dell'invenzione, una volta che l'utente e' stato autenticato dall'operatore ed è stato acquisito il suo numero di telefono cellulare, viene inviata sul telefono dell'utente un'applicazione (software) da installare sul telefono che, per i successivi accessi, è in grado di svolgere la richiesta di accesso usando una connessione dati GPRS/UMTS/HSxPA/LTE per inviare la password di sessione, eventualmente verificando ΙΊΜΕΙ (International Mobile Equipment Identity). Con questo meccanismo può' essere eventualmente fornita all'operatore anche la posizione geografica (GPS, triangolazione GSM, identificazione automatica SSID, NFC, Bluetooth, ..) rilevata dal software installato sul telefono cellulare/palmare, così da poter identificare l'AP da abilitare sulla base della dislocazione geografica.

L'applicazione di cui sopra può' anche essere agganciata in automatico ad altri applicativi installati sul PC o sul dispositivo palmare, quali ad esempio quelli che gestiscono fotocamera, registratore vocale, Client voip, Client di messaging e così via.

Secondo una ulteriore variante, una volta che l'operatore ha acquisito il numero di cellulare dell'utente, può' fornirgli un'applicazione da installare sull'elaboratore (laptop/palmare) che, per esempio, sia in grado di eseguire in automatico l'autenticazione sull'access point usando il MAC address dell'elaboratore stesso, dopo che sia stato associato - per esempio alla prima autenticazione - all'identificativo dell'utente.

Ancora preferibilmente, all'atto dell'autenticazione (anche una sola volta, o una volta ogni tanto) l'operatore fornisce all'utente una pagina di benvenuto nella quale l'utente inserisce il proprio indirizzo email. L'operatore può quindi inviare all'indirizzo e-mail dell'utente una e-mail di conferma contenente un link di abilitazione (ossia un collegamento, eventualmente in formato ipertestuale, ad una risorsa nella rete): l'utente clicca il link e si abilita per la sessione. In caso contrario, dopo un certo numero X di minuti viene bloccata la connessione e non viene concessa una nuova autenticazione a quel numero di cellulare (=utente) per un certo numero Y di minuti.

Come si evince dalla descrizione sopra riportata, il meccanismo proposto risolve pienamente i problemi esposti nelle premesse.

Infatti, grazie a questo meccanismo, non esistono costi centralizzati, poiché ogni transazione di autenticazione ha un costo che e' completamente a carico dell'utente. Inoltre, non esistono costi di infrastruttura per l'ospite, oltre al suo accesso ad Internet ed il suo access point, poiché la parte di autenticazione viene gestita in remoto dall'operatore. L'unica cosa che deve fare l'ospite e' di configurare l'AP per interfacciarsi con il server Radius dell'operatore. Contemporaneamente, l'operatore deve semplicemente gestire e manutenere un server tipo Radius, quindi non ha costi variabili e può' fornire il servizio a costi minimi.

L'innovazione proposta non solo risolve parecchi problemi di tecnica nota, ma grazie alla flessibilità del meccanismo, rende percorribili nuovi modelli di business.

S'intende comunque che l'invenzione non è limitata alle particolari configurazioni illustrate sopra, che costituiscono solo degli esempi non limitativi della portata dell'invenzione, ma che numerose varianti sono possibili, tutte alla portata di un tecnico del ramo, senza per questo uscire dall'ambito dell'invenzione stessa.

Ad esempio, durante la fase di registrazione dell'ospite con l'operatore, quest'ultimo può registrare anche informazioni anagrafiche dell'ospite, tra cui la sua posizione e altre informazioni caratteristiche dell'esercizio. In questo modo l'operatore è in grado di erogare informazioni/servizi georeferenziati all'utente.

Ancora, l'operatore può' mettere a disposizione dell'ospite altri servizi quali, ad esempio, la possibilità di configurare un limite alla durata massima delle sessioni degli utenti, il numero massimo di utenti simultanei, la possibilità di ricevere dati di consumo per la successiva fatturazione delle sessioni di collegamento agli utenti.

Qualora la legge lo richieda e secondo le modalità previste dalla stessa legge, l'operatore può fornire all'ospite un cruscotto con i log di accesso ed i relativi numeri di telefono. Ancora, l'operatore può' raccogliere tutte le informazioni e/o registrazione cronologiche (log) delle connessioni, per aggregarie e rivendere i relativi dati, resi anonimi, per fini statistici.

Claims

RIVENDICAZIONI 1. Sistema di autenticazione in un access point wireless (AP), del tipo comprendente un access point gestito da un ospite, collegato ad una rete di comunicazione su cui sono presenti risorse condivise, ed un elaboratore di utente (U) atto a connettersi a detta rete tramite detto access point (AP), caratterizzato da ciò che comprende inoltre un server di tipo radius, su detta rete, gestito da un operatore e disposto remoto rispetto all'access point (AP), detto access point (AP) essendo registrato presso detto server di tipo radius, e da ciò che l'access point (AP) è abilitato ad essere utilizzato dall'elaboratore di utente (U) da detto server di tipo radius all'acquisizione on thè fly di un codice personale di identificazione utente trasmesso a detto server di tipo radius ed ivi associato a credenziali utente come condizione di abilitazione temporanea.
2. Sistema come in 1), in cui detto codice personale di identificazione utente è trasmesso incluso in un sms tramite rete di telefonia mobile.
3. Sistema come in 2), in cui detto codice personale di identificazione utente viene memorizzato in associazione a dette credenziali utente in detto server di tipo radius in associazione con un numero di telefono cellulare di utente.
4. Sistema come in 2) o 3), in cui detto sms è incluso il codice identificativo dell'access point (AP) locale.
5. Sistema come in una qualsiasi delle precedenti rivendicazioni, in cui detto codice personale di identificazione utente è una password scelta dall'utente.
6. Sistema come in 5), in cui detta password è una password "onetime".
7. Sistema come in una qualsiasi delle rivendicazioni 1) a 4), in cui detto codice personale di identificazione utente è il MAC address dell'elaboratore di utente ed il sistema comprende inoltre un applicativo installato su detto elaboratore di utente (U) atto a trasmettere in automatico a detto server di tipo radius il MAC address dell'elaboratore ad ogni richiesta di autenticazione.
8. Sistema come in una qualsiasi delle precedenti rivendicazioni, comprendente inoltre un dispositivo di rilevamento geografico di utente atto a trasmettere informazioni di geoposizionamento a detto server di tipo radius, detto access point (AP) abilitato venendo scelto tra la pluralità di access point (AP) controllati da detto server radius in base a dette informazioni di geoposizionamento.
9. Metodo di autenticazione in un sistema come in una qualsiasi delle precedenti rivendicazioni, in cui vengono eseguite almeno le seguenti fasi: - un access point (AP) di un ospite viene preventivamente registrato presso un server di tipo radius di un operatore e configurato per colloquiare con quest'ultimo; - un codice identificativo di utente viene inviato a cura di un utente in un centro servizi di detto operatore ed associato on thè fly a credenziali di utente come condizione di abilitazione; - ad un elaboratore di utente (U) che accede a detto access point (AP) viene fornita un'interfaccia atta a raccogliere e trasmettere a detto server di tipo radius un codice identificativo di utente corrente; - alla verifica che detto codice identificativo di utente corrente coincide con detto codice identificativo di utente associato on thè fly a credenziali di utente, detto server di tipo radius di operatore abilita a detto elaboratore di utente (U) l'utilizzo di detto access point (AP).