MECANISMO DE DECISIÓN DE CLAVE GENÉRICA PARA ARQUITECTURA DE AUTENTIFICACIÓN GENÉRICA
REFERENCIA CRUZADA CON SOLICITUDES RELACIONADAS Esta solicitud reclama la prioridad de la Solicitud de Patente Provisional de los Estados Unidos Serie No. 60/669,873, presentada el 11 de Abril de 2005. La materia objeto de está solicitud presentada anteriormente se incorpora como referencia en la presente.
ANTECEDENTES DE LA INVENCIÓN CAMPO DE LA INVENCIÓN Esta invención se refiere a un mecanismo genérico para un servidor de aplicación, con el fin de determinar cuál clave de una Arquitectura de Autentificación Genérica (GAA) habilitaría la integración fácil de los servidores de aplicación adicionales, mediante la extensión de un estándar existente para Regulaciones de Seguridad del Usuario (USS) .
DESCRIPCIÓN DE LA TÉCNICA RELACIONADA La autentificación inicial (es decir, carga inicial) de la Arquitectura de Autentificación Genérica
(GAA) de la Sociedad del Proyecto de Tercera Generación
(3GPP) está basada en AKA (Protocolo de "Autentificación y Convenio de Claves) . Dependiendo de una terminal móvil, como un teléfono móvil, y una Tarjeta de Circuito Integrado
(UICC) del Sistema de Telecomunicaciones Móvil Universal
(UMTS) o módulo de identidad del suscriptor, insertado en la terminal móvil, la Arquitectura de Autentificación Genérica (GAA) de 3GPP puede tener las siguientes claves: Ks_int_NAF,
Ks_ext_NAF, y KS_NAF. Actualmente, el número de servicios que utilizan GAA es muy pequeño y una definición en cuanto a cuál clave utilizar para la tarjeta inteligente particular o módulo de identidad del suscriptor, se puede implementar directamente en un servidor de la Función de Aplicación de la Red (NAF) que ofrece el servicio al usuario. No obstante, tal implementación en el servidor no es muy escalable o fácil de administrar en caso de cambios, como en casos de nuevos usos y cambios o actualizaciones a los servicios existentes, o la adquisición de una nueva tarjeta inteligente por parte de un usuario. Los cambios o actualizaciones a la NAF requerirían configuración manual, lo que es especialmente difícil, si la NAF no reside en la red local del usuario o suscriptor, sino en una red de un tercero. La clave Ks_int_NAF se utiliza para asegurar el Protocolo de Transporte de Hipertexto (HTTPS) entre la tarjeta inteligente o el módulo de identidad del suscriptor y la NAF del servidor de aplicación. La aplicación residiría en la tarjeta inteligente o en el módulo de identidad del suscriptor y la terminal móvil solamente actuaría como un módem. Este mecanismo se puede utilizar como una alternativa para presentar mensajes de configuración OTA SMS para descargar nuevas actualizaciones u otras aplicaciones de SAT. El único caso de uso para la clave Ks_int_NAF definida actualmente está en Difusión Multimedia/Servicio Colectivo (MBMS) . En MBMS, la NAF está configurada de acuerdo a las definiciones en la especificación TS33.246 3GPP, anexa a la presente como apéndice A, cuya exposición íntegra se considera forma parte de la presente, como referencia. En MBMS, una elección en cuanto a cuál clave utilizar se define por la descripción de las claves específicas en la especificación TS33.246. Por lo tanto, para este caso de uso, no se requiere mecanismo de elección de clave debido a que la clave se implementa directamente en la NAF que está ofreciendo el servicio MBMS al usuario.
SUMARIO DE LA INVENCIÓN De acuerdo a una modalidad de la presente invención, se proporciona un método para proveer mecanismo genérico para un servidor de aplicación de la red. El método incluye recibir una petición de un equipo de usuario para proporcionar la información de autentificación a una función de aplicación de la red. El método incluye determinar una clave de una arquitectura de autentificación genérica para integrar a los servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para las regulaciones de seguridad del usuario. El método incluye además proporcionar la información de autentificación a la función de aplicación de la red. De acuerdo a una modalidad de la presente invención, se proporciona un aparato que provee mecanismo genérico para un servidor de aplicación de la red. Medios receptores para recibir una petición de un equipo de usuario para proporcionar información de autentificación a una función de aplicación de la red. Medios determinadores para determinar una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para las regulaciones de seguridad del usuario. Primeros medios proporcionadores para proporcionar la información de autentificación a la función de aplicación de la red. De acuerdo a una modalidad de la presente invención, se proporciona un aparato que provee mecanismo genérico para un servidor de aplicación de la red. Un receptor recibe una petición de un equipo del usuario para proporcionar información de autentificación a una función de aplicación de la red. Una unidad determinadora determina una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para regulaciones de seguridad del usuario. Una unidad proveedora proporciona la información de autentificación a la función de aplicación de la red.
BREVE DESCRIPCIÓN DE LOS DIBUJOS Los dibujos anexos, que se incluyen para proporcionar una comprensión adicional de la invención y están incorporados en una parte constitutiva de está especificación, ilustran modalidades de la invención que junto con la descripción sirven para explicar los principios de la invención, en donde: La figura ÍA, ilustra un aparato para proporcionar mecanismo genérico para un servidor de aplicación de la red, de acuerdo con una modalidad de la presente invención; La figura IB, ilustra una arquitectura de red ejemplar en donde una Función de Aplicación de Red está en una red visitada, de acuerdo con una modalidad de la presente invención; La figura 2 ilustra un aparato para proporcionar mecanismo genérico para un servidor de aplicación de la red, de acuerdo con una modalidad de la presente invención; La figura 3 ilustra un método para proporcionar mecanismo genérico para un servidor de aplicación de la red, de acuerdo con una modalidad de la presente invención; y La figura 4 ilustra un aparato para proporcionar mecanismo genérico para un servidor de aplicación de la red, de acuerdo con una modalidad alternativa de la presente invención.
TABLA DE ABREVIATURAS 3GPP — Proyecto de Sociedad de Tercera Generación 3GPP2 — Proyecto 2 de Sociedad de Tercera Generación ACM — Mensaje Completo de Dirección AKA - Autentificación y Convenio de Claves Auth - Autentificación AUTHR - Respuesta de Autentificación AVP - Par de Atributo-Valor BS — Estación Base BSC - Controlador de Estación Base BSF - Función del servidor de Carga Inicial BTS - Subsistema Transceptor de Estación Base CK - Clave de Confidencialidad CM - Mensaje Celular GAA -Arquitectura de Autentificación Genérica GBA - Arquitectura de Carga Inicial Genérica GBA_U - GBA con mejoramientos a base de UICC GUSS - Regulaciones de Seguridad del Usuario de GBA HSS - Servidor del Suscriptor Local HTTP - Protocolo de Transporte de Hipertexto HTTPS - Protocolo de Transporte de Hipertexto Asegurado
IK - Clave de Integridad IMS - Subsistema Multimedia de IP IMSI - Identidad del Suscriptor Móvil Internacional IP - Protocolo de Internet ISIM - Tarjeta SIM del IMS Kc - Clave Cifrada Ki - Clave de Autentificación del Suscriptor Individual Ks - Material Clave Ks_int_NAF - Clave Derivada en GBA_U que permanece en UICC
Ks_ext_NAF - Clave Derivada en GBA_U Ks_NAF - Clave Derivada en GBA_ME MAP - Parte de Aplicación Móvil MBMS - Difusión Multimedia/Servicio Colectivo ME - Equipo Móvil MIN - Número de Identificación Móvil MNO - Operador de Red Móvil Local MO - Originado Móvil NAF - Función de Aplicación de la Red NE - Elemento de Red OTA - Sobre el Aire PDSN - Nodo de Servicio de Datos en Paquete PLC - Código Largo Privado PLCM - Mascara del PLC PSTN - Red Telefónica Conmutada Pública RAN - Red de Acceso de Radio RAND - Dato de Pregunta Aleatoria SAT - Equipo de Herramientas de Aplicación del SIM SIM - Módulo de Identidad del Suscriptor SMS - Servicio de Mensaje Corto UE - Equipo del Usuario UICC - Tarjeta de Circuito Integrado del UMTS UMTS - Sistema de Telecomunicaciones Móviles Universales USIM - Tarjeta SIM Universal USS - Regulaciones de Seguridad del Usuario Ub - Interfaz aérea de carga inicial (de UE a BSF) Zh - Interfaz HSS de BSF
DESCRIPCIÓN DETALLADA DE LAS MODALIDADES PREFERIDAS 3GPP es una infraestructura de autentificación propuesta (3GGP TS 33.220, anexa como apéndice B, cuya exposición íntegra se considera forma parte de la presente, como referencia) . Esta infraestructura se puede utilizar para habilitar funciones de aplicación en un lado de la red y en un lado del usuario, para comunicarse en situaciones en donde el lado de la red y el lado del usuario no serían capaces de comunicarse de otra manera. Esta funcionalidad se denomina "carga inicial de seguridad de aplicación", o más generalmente simplemente como "carga inicial".
Los principios generales de carga inicial son que una función del servidor de carga inicial genérica (BSF) permite que el equipo del usuario (UE) se autentifique con ella, y están de acuerdo sobre claves de sesión. Tal autentificación puede estar basada en la autentificación y convenio de claves (AKA) . Al correr AKA, la terminal móvil y la red se autentifican entre sí y están de acuerdo sobre las claves, específicamente una clave de confidencialidad (CK) y una clave de integridad (IK) . Después de esta autentificación, el UE y una función de aplicación de la red (NAF) , que también puede ser denominada como un proveedor de servicios, puede correr algún protocolo específico de aplicación, en donde la autentificación de los mensajes se basa en las claves de sesión convenidas entre el UE y la BSF. No se pretende que la función de carga inicial dependa de alguna función de aplicación de la red particular. El servidor que implementa la función de carga inicial debe ser confiable para un operador local, con el fin de manejar vectores de autentificación. Las funciones de aplicación de la red pueden estar soportadas en la red local del operador, en una red visitada, o en una tercera red . La figura ÍA ilustra una arquitectura de red ejemplar, de acuerdo con una modalidad de la presente invención. La arquitectura de red incluye un equipo del usuario (UE) (100), al menos una función de aplicación de la red (NAF) (102), una función del servidor de carga inicial (BSF) (104), y un sistema del suscriptor local (HSS) (106). La BSF (104) y el HSS (106) forman parte de un operador de red móvil local (MNO) (108) . El UE (100) se conecta al MNO (108) de acuerdo con técnicas de comunicación móvil bien conocidas . La NAF (102) está alojada en un elemento de la red, bajo el control del MNO (108), por ejemplo, y la BSF también puede estar alojada en un elemento de la red bajo el control del MNO (108). De esta manera, para fines prácticos, cada una de la NAF (102) y la BSF (104) se puede considerar como un elemento de la red. Como se ilustra en la figura ÍA, el UE (100) se comunica con la NAF (102) a través de una interfaz Ua (110) . El UE (100) se comunica con la BSF (104) a través de una interfaz Ub (112). La NAF (102) se comunica con la BSF (104) a través de una interfaz Zn (114) . La BSF (104) se comunica con el HSS (106) a través de una interfaz Zh (116) . La NAF (102) puede estar provista en una red separada adicional. Por ejemplo, como se ilustra en la figura IB, se proporciona una arquitectura de red ejemplar en donde la NAF (102) está en la red visitada. En el caso en donde el UE (100) ha contactado con una NAF (102) que es operada en otra red diferente a la red local, esta NAF visitada (102) utilizará un representante diametral (D-Proxy) (118) de la red de NAFs para comunicarse con la BSF del suscriptor (es decir la BSF local) (104) . La NAF (102) se comunica con la BSF (104) a través de la interfaz Zn (114) al D-Proxy (118) y a través de una interfaz Zn' (120) a la BSF (104). La funcionalidad D-Proxy (118) se puede implementar como un elemento de red separado, o ser parte de cualquier elemento de la red (NE) en la red visitada que implementa la funcionalidad del representante Diametral (ejemplos de tales NEs son la BSF de la red a la cual pertenece la NAF visitada (102), o un servidor AAA) . Para las figuras ÍA y IB, el principio de carga inicial es que el UE (100) y la función de carga inicial se autentifiquen entre sí, por ejemplo, utilizando el protocolo AKA, y están de acuerdo sobre un secreto compartido maestro. Posteriormente, el secreto compartido maestro se utiliza para derivar uno o varios secretos compartidos específicos de la función de aplicación de la red, que se aplican entre el UE (100) y las funciones de aplicación de la red particular (NAFs) en cuestión. El material de la clave secreta compartida específica de NAF se genera específicamente para cada función de aplicación de la red, independientemente. Después de que se ha completado la operación de carga inicial, el UE (100) y la función de aplicación de la red pueden correr algún protocolo específico en donde el aseguramiento de los mensajes se basará en aquellas claves generadas durante la autentificación mutua entre el UE (100) y la función del servidor de carga inicial. Por lo tanto, las claves se pueden utilizar para la autentificación y la protección de la integridad, y para confidencialidad. La función de aplicación de la red entonces es capaz de adquirir el secreto compartido especifico de NAF, derivado del secreto compartido maestro, establecido entre el equipo del usuario y la función del servidor de carga inicial . La interfaz Ub de comunicación (112) soporta la autentificacion de carga inicial y el protocolo de convenio de claves, para proporcionar la autentificación mutua y el convenio de claves entre el UE (100) y la BSF (104). Este protocolo se puede basar en el protocolo AKA del 3GPP, por e emplo. La terfaz Zh (116) permite que la BSF (104) busque cualquier información de autentificación requerida e información del perfil del suscriptor proveniente del HSS (106). La interfaz Ua (110) soporta cualquier protocolo especifico de aplicación que esté asegurado, utilizando el secreto compartido específico de NAF, derivado del secreto compartido maestro convenido entre la UE (100) y la BSF (104), con base en el protocolo soportado por la interfaz Ub (112). La interfaz Zn (114) se utiliza por la NAF (102) para buscar el secreto compartido específico de NAF que se ha derivado del secreto compartido maestro, convenido en el protocolo soportado en la interfaz Ub (112) proveniente de la BSF (104). La interfaz Zn (114) también se puede utilizar para buscar información del perfil del suscriptor proveniente de la BSF (104). Un mensaje transmitido desde la BSF (104) hacia la NAF (102) incluye información de carga inicial. La información de carga inicial puede incluir un identificador de transacción, un secreto compartido específico de NAF, e información opcional del perfil del suscriptor ("prof_naf" o "cualesquiera USSs específicos de NAF"). El secreto compartido específico de NAF, denotado Ks_NAF, se establece entre el UE (100) y la BSF (104), y se puede modificar para el uso específico para comunicaciones entre el UE (100) y la
NAF específica. Ks_NAF se deriva de Ks mediante el uso de parámetros especificados en el Anexo B de 3GPP TS 33.220
(Apéndice A) . Ks es el secreto compartido maestro, y Ks_NAF es un secreto compartido específico de NAF. La información de carga inicial transmitida a cada NAF de este modo es única para esa NAF, de acuerdo con el secreto compartido específico Ks_NAF para esa NAF. Un grupo de todas las regulaciones de seguridad del usuario (GUSS) contiene el elemento de información específica de BSF y el grupo de todas las USSs específicas de la aplicación. El grupo de todas las regulaciones de seguridad del usuario (USSs), es decir GUSS, se almacena en el HSS. En el caso donde el suscriptor tiene múltiples suscripciones, es decir, múltiples aplicaciones ISIM o USIM en el UICC, el HSS contendrá una o varias GUSSs que se pueden mapear para una o varias identidades, por ejemplo IMPIs (Identidad Privada Multimedia de IP) e IMSIs (Identidad del Suscriptor Móvil Internacional). Sucede un despliegue de caso de nuevo uso para dos secretos compartidos específicos de NAF en GBA_U en donde uno se utiliza en UICC (Ks_int_NAF) y el otro se utiliza en el equipo móvil (Ks_ext_NAF) . Este caso de uso necesita alguna "lógica de decisión" para saber cuál clave tomar, es decir, Ks_int_NAF, o Ks_ext_NAF. Las adiciones de nuevos servicios a esta "lógica" deberían ser posibles sin nueva configuración de una tarjeta inteligente en una terminal móvil. En caso de que la NAF soporte más de un tipo de clave, se necesita prevenir cualquier clase de minimización de ataque del nivel de seguridad. Este ataque minimizado puede consistir en que la NAF es obligada con engaño a utilizar una clave de menor nivel de seguridad en vez de requerir el uso de Ks_int_NAF. De acuerdo a una modalidad de la presente invención, se proporciona un mecanismo genérico para un servidor de aplicación, con el fin de obtener el conocimiento en cuanto a cuál clave de Arquitectura de Autentificación Genérica (GAA) haría posible la fácil integración de servidores adicionales de aplicación mediante la extensión de un estándar existente para Regulaciones de Seguridad del Usuario (USS) . Los Pares de Atributo-Valor AVP (AVPs) están definidos en los mensajes de la petición de información de Carga Inicial-Información-Petición/Respuesta de la interfaz Zn de 3GPP TS 29.109 GAA, anexos como Apéndice C, cuyo contenido se incorpora en la presente, como referencia, y los AVP Diametrales nuevos adicionales están definidos en 3GPP TS 29.229, anexos como Apéndice D, cuya cuyo contenido se incorpora en la presente, como referencia. Un mecanismo genérico se puede implementar por codificación inflexible o configuración local de un uso de clave directamente en el software en cada NAF durante el establecimiento de la NAF (local en NAF) , mediante la codificación inflexible del uso de clave de BSF (BSF dicta solamente mediante la distribución de la clave relevante a NAF) , mediante la provisión de uno o varios campos adicionales en la regulación de seguridad del usuario (USS) almacenados en el Servidor del Suscriptor Local (HSS) que son transferidos a la BSF, y/o mediante el uso del AVP almacenado en la BSF que indica el uso de claves. Si la BSF solamente distribuyera las claves relevantes a la NAF, la NAF no se enteraría de la calidad de seguridad proporcionada y del tipo de clave que se está utilizando. El 3GPP estandarizado y las Regulaciones de Seguridad del Usuario (USS) existentes podrían ser extendidas y utilizadas para indicar cuál clave utilizar. Esto le proporcionaría al operador local del usuario el control total y flexible, especialmente en el caso en que el servicio se ofrece por una tercera NAF participante y la facturación del servicio se realiza por el operador local. De acuerdo con una modalidad de la presente invención, pueden existir al menos dos modalidades posibles. En una primera modalidad de la presente invención, el USS podría indicar qué tipo de tarjeta inteligente o ambiente seguro tiene un usuario. También, la primera modalidad proporcionaría si el SIM Universal del Suscriptor Móvil (USIM) , la tarjeta del IMS del SIM (ISIM) está habilitada o no por GBA_U . En la primera modalidad, este puede ser un campo indicador, que indica si la tarjeta o el ambiente seguro están habilitados por GBA_U . En una segunda modalidad de la presente invención, el USS puede incluir uno o dos campos indicadores de autorización que son transportados en un USS de una especificación 3GPP TS 29.109 existente, anexa a la presente como Apéndice D, cuyo contenido se incorpora en la presente, como referencia. En el primer campo indicador, si este campo está presente e indica el que es obligatorio el uso de secreto compartido con base en UICC (Ks_int_NAF) . El segundo campo indicador puede ser un campo opcional, en donde si está presente este segundo campo indicador e indica el uso del secreto compartido con base en ME (Ks_ext_NAF o Ks_NAF) . Si el suscriptor móvil está provisto con un operador local con un nuevo módulo de identidad del suscriptor, entonces el USS se puede actualizar fácilmente para requerir que desde ese momento se utilice la clave Ks_int_NAF más segura. Ambas alternativas previenen los ataques minimizados por la seguridad, por ejemplo, la clave Ks_ext_NAF se utiliza en vez de la clave Ks_int_NAF más segura . La figura 2 ilustra un aparato (150) para proporcionar un mecanismo genérico para un servidor de aplicación de la red, de acuerdo a una modalidad de la presente invención. El aparato (150) incluye una unidad receptora (152) para recibir una petición de un equipo del usuario para proporcionar la información de autentificación a una función de aplicación de la red. El aparato (150) incluye además una unidad determinadora (154) para determinar una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para las regulaciones de seguridad del usuario. El aparato (150) también incluye una primera unidad proveedora (156) para proporcionar la información de autentificación a la función de aplicación de la red. La figura 3 ilustra un método para proporcionar un mecanismo genérico para un servidor de aplicación de la red, de acuerdo con una modalidad de la presente invención. En la operación (200), el método recibe una petición de un equipo del usuario para proporcionar la información de autentificación a una función de aplicación de la red. En la operación (210), el método determina una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para las regulaciones de seguridad del usuario. En la operación (220), se proporciona la información de autentificación a la función de aplicación de la red. De acuerdo con una modalidad de la presente invención, el USS podría indicar qué tipo de tarjeta inteligente tiene el usuario, o qué tipo (por ejemplo, Ks_ext_NAF o Ks_int_NAF) , de secreto compartido se debe utilizar. En la operación (230), el método determina si el SIM Universal del suscriptor móvil (USIM) , la tarjeta SIM del IMS (ISIM) u otro ambiente seguro está habilitado o no por GBA_U . En la primera modalidad, puede ser un campo indicador, que indica si la tarjeta o ambiente seguro está habilitado por GBA_U . La figura 4 ilustra un método para proporcionar mecanismo genérico para un servidor de aplicación de la red, de acuerdo con una modalidad alternativa de la presente invención. En la operación (300), el método recibe una petición de un equipo del usuario para proporcionar información de autentificación a una función de aplicación de la red. En la operación (310), el método determina una clave de una arquitectura de autentificación genérica para integrar servidores adicionales de aplicación de la red mediante la extensión de un estándar existente para regulaciones de seguridad del usuario. En la operación
(320), se proporciona la información de autentificación a la función de aplicación de la red. De acuerdo con una modalidad de la presente invención, el USS podría indicar cuál tipo de tarjeta inteligente o ambiente seguro tiene un usuario, o cuál tipo de secreto compartido se debe utilizar. En la operación (330), el método determina si el USS incluye uno o dos campos indicadores que van a ser transportados en el encabezado de Autorización de la especificación 3GPP TS 29.109 existente, anexa a la presente como Apéndice C. En el primer campo indicador, si este campo está presente, indica que es obligatorio el uso del secreto compartido basado en UICC (Ks_int_NAF) . El segundo campo indicador puede ser un campo opcional, en donde si está presente este segundo campo indicador e indica el uso del secreto compartido basado en ME (Ks_ext_NAF o Ks_NAF) . Si se establece un nuevo servidor de aplicación en la red del operador, ésta no necesita conocer cuál clave utilizar para cuál usuario o si el usuario estará provisto en el futuro cercano con una nueva tarjeta SIM. La NAF obtendría la información de la elección de clave necesaria de la BSF. De acuerdo con una modalidad de la presente invención, un nuevo AVP se podría utilizar para indicar el tipo de clave derivada que se está utilizando. Por ejemplo, el nuevo AVP puede indicar si la clave derivada es Ks_int_NAF o algún otro tipo de clave. El nuevo AVP indicaría si la tarjeta o ambiente seguro está habilitada o no por GBA_U, como una alternativa, cuál clave utilizar. Dependiendo del indicador, la NAF puede utilizar la clave secreta compartida basada en UICC (Ks_int_NAF) cuando se indica. Es decir, el AVP indica que una tarjeta o ambiente seguro está habilitado por GBA_U o el AVP indica explícitamente el uso de Ks_int_NAF. La NAF entonces requeriría que se utilice esta clave y no alguna otra clave con menor nivel de seguridad. Para un servidor de la web en el ambiente seguro, por ejemplo una tarjeta inteligente, un cliente residiría en una Tarjeta de Circuito Integrado (UICC) del Sistema de Telecomunicaciones Móviles Universales (UMTS) y la aplicación también residiría en el ambiente seguro. Esto típicamente sería una aplicación Java, una aplicación XML, una aplicación C++, una aplicación Perl, o una aplicación Visual Basic u otros tipos similares de aplicaciones. Posteriormente, la UICC también podría actuar como el servidor de aplicación, ofreciendo un servicio de web hacia otras entidades, las cuales en donde una de ellas pudiera residir en otro dominio confiable, por ejemplo, una segunda área segura en el teléfono y se puede utilizar Ks_int_NAF para asegurar comunicaciones entre entidades de servicio de la web . La NAF basada en UICC tomaría el papel de un SP (Proveedor de Servicio de la Web) como se señala en la Especificación de Esquema de Servicio de la Web de Alianza de Libertad (ID-WSF) http : //www.projectliberty . org/resources/specifications . php . El UICC puede actuar como un proveedor de servicio de la web de acuerdo a la Alianza de Libertad proporcionando una entidad solicitante (por ejemplo, un consumidor de servicios de la web) con información sensible, la cual se puede autentificar/asegurar a través de Ks_int_NAF. Las otras claves basadas en GAA se pueden utilizar en el esquema de servicio de la web para identificación y seguridad de mensaje. Además, TS24.109 3GPP especifica interfaz de carga inicial (Ub) e interfaz de función de aplicación de la red (Ua), anexas en la presente como Apéndice E, cuyo contenido se incorpora en la presente, como referencia, TS29.109 3GPP específica interfaces Zh y Zn a base de un protocolo diametral, anexas a la presente como Apéndice F, cuya exposición íntegra se considera forma parte de la presente, como referencia. La presente invención puede permitir que el operador local del suscriptor tenga el control total sobre el nivel de seguridad utilizado. La actualización de las regulaciones de seguridad del usuario en caso de que el usuario tenga un nuevo UICC podría ocurrir centralmente en un Servidor de Servicio Local (HSS) y no requeriría actualizar todas las NAFs individualmente. La decisión lógica puede residir en el HSS o la BSF, controlados por el operador. Además, ya no serían posibles ataques minimizados de seguridad para nuevas aplicaciones. La descripción anterior ha estado dirigida a modalidades específicas de esta invención. Será evidente, no obstante, que se puedan realizar otras variaciones y modificaciones a las modalidades descritas, con el logro de algunas o todas sus ventajas. Por lo tanto, el objeto de las reivindicaciones anexas es cubrir todas esas variaciones y modificaciones que se encuentren dentro del espíritu real y alcance de la invención.