MXPA01013117A - Sistema y metodo para puesta en vigor de politica local para proveedores de servicio de internet. - Google Patents
Sistema y metodo para puesta en vigor de politica local para proveedores de servicio de internet.Info
- Publication number
- MXPA01013117A MXPA01013117A MXPA01013117A MXPA01013117A MXPA01013117A MX PA01013117 A MXPA01013117 A MX PA01013117A MX PA01013117 A MXPA01013117 A MX PA01013117A MX PA01013117 A MXPA01013117 A MX PA01013117A MX PA01013117 A MXPA01013117 A MX PA01013117A
- Authority
- MX
- Mexico
- Prior art keywords
- subscriber
- policy enforcement
- enforcement point
- internet
- key
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2858—Access network architectures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
Un sistema y metodo de telecomunicaciones se describen para implementar un punto de puesta en vigor de politica (PEP) (160) para un proveedor de servicio de Internet (ISP) (135) en las instalaciones del subscriptor. Este PEP (160) pone en vigor politicas con respecto a autenticacion de subscriptores, autorizacion a acceso y servicios, contabilidad y movilidad de los subscriptores. Estas politicas se definen por el operador ISP en un punto de decision de politica (PDP) (170) que es un servidor conectado a Internet (140) que comunica con el PEP (160). Ademas, el ISP (135) puede suministrar una clave de cifrado para el PEP (160) y una clave de cifrado para un subscriptor particular (100) De esta manera, todas las comunicaciones entre el subscriptor (100) y el PEP (160) asi como entre el PEP (160) y el PDP (170) pueden ser cifradas.
Description
SISTEMA Y MÉTODO PARA PUESTA EN VIGOR DE POLÍTICA LOCAL
PARA PROVEEDORES DE SERVICIO DE INTERNET
ANTECEDENTES DE LA PRESENTE INVENCIÓN Campo de la Invención La presente invención se refiere en general a sistemas y métodos "de- telecomunicaciones para accesar Internet utilizando un proveedor de servicio de Internet (ISP = Internet Service Provider) , y específicamente a autenticar y autorizar usuarios para utilizar los recursos y servicios de ISP . ANTECEDENTES Y OBJETIVOS DE LA PRESENTE INVENCIÓN La confluencia de dos fuerzas, desregulación y el impacto del protocolo de Internet (IP = Internet Protocol) están haciendo posible una segmentación horizontal del mercado de telecomunicaciones. Primeros intentos para rebanar horizontalmente los mercados de telecomunicaciones al liberar terminales y larga distancia, han demostrado ser lentos y más bien no convincentes para el subscriptor. En la actualidad, el desarmado del bucle local y la separación de los servicios de la infraestructura junto con el advenimiento de _IP, han alterado completamente la relación entre el subscriptor y el proveedor de servicios. Redes basadas en IP transparentes que se proporcionan por los proveedores de servicio de Internet (ISPs) permiten intercambio de servicio y políticas de contabilidad entre segmentos de red, han permitido un desprendimiento físico del subscriptor del ISP. De esta manera permitiendo que un 5 operador tenga subscriptores en cualquier parte y casi en cualquier red en el mundo. Por ejemplo, nuevos segmentos de clientes pueden ser creados sobre criterios diferentes a ubicación I física tales como nacionalidad, afiliación corporativa,
religión, cultura, intereses específicos, etc. Además, redes virtuales privadas basadas en IP (VPN = Virtual Prívate Networks) pueden ser creadas fácilmente para dar servicio a individuos y grupos dispersos. La clave a esta separación última de los
servicios de la infraestructura es la existencia de un punto de puesta eru vigor de política local (PEP = Policy Enforcement Point) . El PEP es responsable por poner en vigor políticas con respecto a autenticación de subscriptores, autorización a acceso y servicios,
contabilidad y movilidad, etc. Normalmente, el PEP se localizará en un servidor de acceso local o ruteador de borde del ISP. Sin embargo, implementar el PEP en el ruteador de borde, típicamente requiere inversiones substanciales y muchos arreglos prácticos con independencia de, proveedores de —acceso local concernientes a puesta en vigor de política. Por lo tanto, un objetivo de la presente invención es reducir el costo de inversión para ISPs que implementan un PEP. COMPENDIO DE LA INVENCIÓN La presente invención se dirige a sistemas y métodos de telecomunicaciones para implementar un punto de puesta en vigor de política (PEP) para un proveedor de servicios de Internet (ISP) en las instalaciones del subscriptor. El PEP es responsable por políticas de puesta en vigor con respecto a autenticación de subscriptores, autorización a acceso y servicios, contabilidad y movilidad de los subscriptores. Estas políticas se definen por el operador ISP en un punto de decisión de política (PDP = Pólice Decisión Point) que es un servidor conectado a Internet que comunica con el PEP. Además, el ISP puede suministrar una clave de cifrado para el PEP y una clave de cifrado para un subscriptor particular. De esta manera, todas las comunicaciones entre el subscriptor y el PEP así como entre el PEP y el PDP, pueden ser cifradas. BREVE DESCRIPCIÓN DE LOS DIBUJOS La invención descrita se describirá con referencia a los dibujos acompañantes, que ilustran modalidades muestra importantes de la invención y que se incorporan en la especificación presente por referencia en donde : La Figura 1 es un diagrama de bloques que ilustra la puesta en vigor de política convencional por un proveedor de servicios de Internet (ISP) ; La Figura 2 es un diagrama ~de bloques ejemplar que ilustra la implementación de un punto de puesta en vigor de política local (PEP) en las instalaciones de cliente de acuerdo con modalidades preferidas de la presente invención; La Figura 3 es una vista detallada del PEP local de acuerdo con modalidades de la presente invención; y La Figura 4 es un diagrama de señalización ejemplar que ilustradla señalización involucrada en una sesión muestra de Internet, de acuerdo con modalidades de la presente invención. DESCRIPCIÓN DETALLADA DE LAS MODALIDADES EJEMPLARES
ACTUALMENTE PREFERIDAS
Las numerosas enseñanzas innovativas de la presente solicitud se describirán con referencia particular a las modalidades ejemplares actualmente preferidas. Sin embargo, habrá de entenderse que esta clase de modalidades proporciona solo unos cuantos ejemplos de los muchos usos ventajosos de las enseñanzas innovativas presentes. En general, declaraciones hechas en la especificación de la presente solicitud no necesariamente delimitan ninguna de las diversas invenciones reivindicadas. Aún más, algunas declaraciones pueden aplicar a algunas características inventivas pero no a otras. Con referencia ahora a la Figura 1 de los dibujos, convencionalmente un solo subscriptor 100a o una compañía 110 que tiene múltiples subscriptores 100b y 100c, solo dos de los cuales se ilustran, conectados en conjunto a través de una Red de Área Local (LAN = Local Área Network) 120 accesan de Internet 140 a través de un servidor de acceso local 130 o ruteador de borde (de un proveedor de servicios de Internet (ISP) 135. El servidor de acceso local 130 sirve como un punto de puesta en vigor de política local (PEP) 160 para el ISP 135 en un área 150 que atiende el servidor de acceso local 130. El PEP 16IL.es responsable por poner en vigor políticas con respecto a autenticación de subscriptores lOOa-lOOc en el área, autorización, acceso y servicios, contabilidad y movilidad. Antes de iniciar una sesión de Internet, el PEP 160 debe autenticar un subscriptor, por ejemplo el subscriptor 100b. Típicamente, el subscriptor 100b
135 debe basarse en los mecanismos de política del proveedor de acceso local en el área 150, para ayudar en asegurar la autenticación, lo que incrementa el costo a los ISPs 135 y a los subscriptores lOQa-lQOc que utilizan los servicios ISP 135. Además, cierta información de contabilidad y facturación requerida por el ISP 135 solo puede ser proporcionada por el proveedor de acceso local, lo que también incrementa el costo al ISP 135. Sin embargo, si como se ilustra en la Figura 2 de los dibujos, el PEP 160 se localiza en las instalaciones del subscriptor 110, tal como el subscriptor al estar conectado a la LAN 120, las inversiones anticipadas requeridas para volverse un ISP 135 se reducirían. Además, el ISP 135 se volverá menos dependiente del proveedor de acceso local. Por lo tanto, de acuerdo con modalidades preferidas de la presente invención, el PEP ISO puede implementarse dentro de un servidor o nodo de servicio (180) conectado a la LAN 120 del o los subscriptores 100, como se ilustra. En forma alterna, si el subscriptor 100 es un solo subscriptor, el PEP 160 puede implementarse dentro de la computadora o terminal asociada con ese subscriptor 100. Para implementar el PEP 160 en las instalaciones del subscriptor 100, cuando un subscriptor 100 o un grupo de subscriptores se registra con un ISP 135, el ISP 135 puede proporcionar soporte lógico para el PEP 160 a el o los subscriptores 100. Ese soporte lógico puede ser descargado del ISP 135 por Internet 140 o puede enviarse por correo a el o los subscriptores 100. El soporte lógico contiene una clave de subscriptor separada por cada uno de los subscriptores 100 y una clave PEP para el PEP 160. Este soporte lógico para el PEP 160 puede cargarse en un servidor 180 que atiende a múltiples subscriptores 100, como se ilustra, o en una terminal asociada con un solo subscriptor 100 para llevar a cabo las funciones— del PEP 160. Por ejemplo, el soporte lógico puede cargarse en un casillero electrónico (e-Box) que es un servidor seguro 180 con una capacidad de muro contrafuego (firewall, combinación de memoria intermedia a base de equipo físico y soporte lógico para protección) interconstruida que tiene una interfase a la LAN 120. Una vez cargado, los subscriptores 100 pueden ser asignados a una de las claves de subscriptor y el PEP 160 puede registrar la clave PEP 160 con el servidor de acceso local 130. - — Como se discutió anteriormente, el PEP 160 pone en vigor políticas con respecto a autenticación de subscriptores 100, autorización a acceso y servicios, contabilidad y movilidad para los subscriptores que atiende el PEP 160. Estas políticas se definen por el operador ISP 135 en un punto de decisión de política (PDP = Policy Decisión Point) 170 que es un servidor bajo control de operador que puede estar situado en cualquier parte del mundo. El PDP 170 comunica con los PEPs 160 "y con otros PEPs de red (no mostrados) para autenticar a subscriptores 100 que están fuera de su área de servicio de su red de servicio doméstica. Por ejemplo, si la LAN 120 es parte de una compañía que tiene oficinas en varios sitios y un subscriptor 100 asociado con uno de los sitios visita la ubicación de la LAN 120, la información de autenticación 105 asociada con ese subscriptor 100 puede no estar almacenada en el PEP 160 de la LAN 120. Por el contrario, la información de autenticación 105 puede ser almacenada en otro PEP (no mostrado) del ISP 135. Por lo tanto, cuando el subscriptor visitante 100 intenta accesar Internet 140 a través del ISP 135, el PEP 160 puede enviar la información de autenticación 105 recibida desde el subscriptor 100 al PDP 170 a través del servidor de acceso local 130 e Internet 140 pairar autenticar al subscriptor 100. Con base en la información de autenticación del subscriptor visitante 105, el PDP 170 puede autenticar a^L—subscriptor 100 directamente (si el PDP 170 almacena toda la información de autenticación 105 para todos los subscriptores 100 registrados con el ISP que atiende. Las claves PEP 162 pueden también ser empleadas para cifrar la información transmitida entre el PEP 160 y el servidor de acceso local 130 y entre el PEP 160 y el PDP 170, lo que reduce enormemente la posibilidad de intercepción por una parte no autorizada. Para iniciar una sesión de Internet, el PEP 160 proporciona esta clave PEP 162 al servidor de acceso local 130 para autenticar el PEP 160. Posteriormente, el PEP 160 y el servidor de acceso local 130 pueden utilizar esta clave PEP 162 para cifrar toda La información transmitida entre ellos. Igualmente, la clave PEP 162 puede emplearse por el PEP 160 y el PDP 170 para cifrar información transmitida entre ellos. Esta información puede incluir, por ejemplo información de autenticación 105 e información de autorización de subscriptores visitantes o que operan fuera de su área de servicio 100 o información de contabilidad y facturación 115 al terminar una sesión de Internet. El PEP 160 también incluye una memoria o base de datos 165 para almacenar una clave de subscriptor diferente 164 por cada subscriptor 100 que atiende. Por ejemplo, en la base de datos 165, el PEP 160 puede almacenar una lista de nombres de usuario y subscriptor o números de cuenta 163 y claves de subscriptor asociadas 165. Para iniciar una sesión de Internet, un subscriptor 100 debe proporcionar su número de cuenta 163 junto con su clave de subscriptor 164 al PEP 160. El PEP 160 accesa la base de datos 165 y compara el número de cuenta recibido 163 y la clave 164_ con e_l _ número de cuenta almacenado 163 y la clave 164 para autenticar al subscriptor 100. Esta clave de subscriptor 164 también puede ser utilizada para cifrar toda la información transmitida entre el PEP 160 y el subscriptor 100. Además, el PEP 160 también puede almacenar una base de datos de autorización 168, que contiene información de autorización 169 por cada subscriptor 100 que atiende. Ciertos servicios ofrecidos por el ISP 135 pueden no estar disponibles a cada_ subscriptor 100. Por lo tanto, después de autenticación, cuando un subscriptor 100 solicita un servicio del ISP 135, el PEP 160 puede accesar la base de datos de autorización 168, para determinar si al subscriptor se le permite utilizar este servicio con base en la información de autorización 169. Durante la sesión de Internet, el PEP 160 mantiene un registro de contabilidad 166 que contiene información 167 perteneciente a la sesión, tal como el tiempo de inicio, tiempo de parada y servicios utilizados. Este registro de contabilidad 166 se utiliza por el ISP 135 para propósitos de facturación y auditoría. Al terminar la sesión de Internet, el PEP 160 envía este registro de contabilidad 166 utilizando la clave PEP 162 al PDP 170. En forma alterna, el registro de contabilidad 166 para todos los subscriptores 100 atendidos por el PEP 160 puede transmitirse a intervalos regulares tales como el final del día. Al colocar el PEP 160 en las instalaciones 110 del subscriptor 100, el gasto general se reduce debido al número disminuido de mensajes transmitidos entre el subscriptor 100 y el servidor de acceso local 130. Además, se incrementa la seguridad y el retardo se disminuye en todas las comunicaciones entre el subscriptor 100 y el PEP 160. Con referencia ahora al diagrama de señalización mostrado en la Figura 4 de los dibujos, que se describirá en conexión con los diagramas de bloque mostrados en las Figuras 2 y 3 de los dibujos, para iniciar una sesión de Internet, un subscriptor 100 envía una solicitud de autenticación (etapa 400) incluyendo el número de cuenta 163 y clave de subscriptor 164 al PEP 160. Posteriormente, el PEP 160 establece una conexión con el servidor de acceso local 130 del ISP 135 y envía una solicitud de autenticación de acceso (etapa 405) incluyendo la clave PEP 162 al servidor de acceso local 130.
típicamente tendrán un contrato permitiendo que subscriptores tengan acceso a cualquier ISP. Además, información de cargos y contabilidad también se requiere para ser considerada en el contrato. Posteriormente, el PDP 170 autentica al subscriptor 100 directamente o por interrogación a otro PDP (no mostrado) que contiene el número de cuenta 163 y clave de subscriptor 164 para el subscriptor 100 o al interrogar otro PDP (no mostrado) . Una vez autenticado, el PDP 170 regresa el mensaje de respuesta de autenticación al PEP 160 (etapa 413) que a su vez envía el mensaje de respuesta de autenticación^ al subscriptor 100 (etapa 415) . Una vez que el subscriptor 100 recibe el mensaje de respuesta de autenticación, el subscriptor 100 puede transmitir una solicitud de servicio (etapa 420) al PEP 160. Esta solicitud de servicio por ejemplo puede ser una solicitud para accesar un sitio en la red 190 o recuperar información de red o de subscriptor. Si el PEP 160 determina que el servicio solicitado no está autorizado, el PEP 160 envía una respuesta de autorización (etapa 425) indicando que el servicio no fue permitido. Sin embargo, si el servicio solicitado se permite, el PEP 160 envía el mensaje de respuesta de autorización (etapa 425), indicando que el servicio fue tal como el tiempo de inicio, tiempo de parada y servicio solicitado. A intervalos periódicos, el PDP 170 puede transmitir un mensaje de sondeo de cuenta (etapa 445) al PEP 160, solicitando el registro_de contabilidad 166 para todas las sesiones de Internet que han ocurrido desde el último mensaje de sondeo de cuenta previa. En respuesta, el PEP 160 transmite el registro de contabilidad (etapa 450) que incluye los registros de cada sesión de Internet completa antes de recibir el mensaje de sondeo de cuenta al PDP 170. En forma alterna, al terminar la sesión de Internet, el PEP 160 plede recuperar- el registro de contabilidad 166 y enviar este ^registro de contabilidad 166 al PDP 170 (etapa 450) sin esperar por el mensaje de sondeo de cuenta (etapa 445) . Habrá de entenderse que el registro de contabilidad 166 puede ser cifrado para transmisión desde el PEP 160 al PDP 170 utilizando la clave PEP 162. Como se reconocerá por aquellos con destreza en la técnica, los conceptos innovativos descritos en la presente solicitud pueden ser modificados y variados sobre un amplio rango de aplicaciones. De acuerdo con esto, el alcance de la materia patentada no habrá de limitarse a cualquiera de las enseñanzas ejemplares específicas discutidas, sino por el contrario por las siguientes reivindicaciones.
Claims (33)
- REIVINDICACIONES 1.- Un punto para puesta en vigor de política de un proveedor de servicio de Internet, alojado dentro las instalaciones de un subscriptor asociado con al menos un subscriptor^ que utiliza el proveedor de servicio de Internet para accesar Internet, caracterizado porque comprende: una memoria para almacenar una clave de subscriptor para el subscriptor como mínimo, la clave de subscriptor se utiliza para autenticar al subscriptor como mínimo; y una clave de puntos de puesta en vigor de política para autenticar el punto de puesta en vigor de política a un nodo del proveedor de servicio de Internet.
- 2. - El punto para puesta en vigor de política de conformidad con la reivindicación 1, caracterizado porque además comprende: una - base de datos de autorización para almacenar información de autorización asociada con el subscriptor como mínimo.
- 3. - El punto para puesta en vigor de política de conformidad con la reivindicación 1, caracterizado porque además comprende un registro de contabilidad para registrar información de sesión asociada con una sesión de Internet iniciada por el subscriptor como mínimo.
- 4.- El punto para puesta en vigor de política de conformidad con la reivindicación- 1, caracterizado porque la clave de subscriptor se utiliza para cifrar información transmitida entre el punto de puesta en vigor de política y al menos un subscriptor.
- 5.- El punto para puesta en vigor de política de conformidad con la reivindicación 1, caracterizado porque la clave de punto de puesta en vigor de política se utiliza para cifrar información transmitida entre el punto de puesta en vigor de política y el nodo.
- 6.- El punto para puesta en vigor de política de conformidad con la reivindicación 1, caracterizado porque las instalaciones de subscriptor incluyen una red de área local, el punto de puesta en vigor de política es un servidor conectado a la red de área local.
- 7.- El punto para puesta en vigor de política de conformidad con la reivindicación 1, caracterizado porque las instalaciones de subscriptor comprenden una terminal asociada con el subscriptor como mínimo.
- 8.- Un sistema de .telecomunicaciones para conducir una sesión de Internet por al menos un subscritor utilizando un proveedor de servicio de Internet, caracterizado porque comprende: un punto de puesta en vigor de política del proveedor de servicio de Internet dentro de las instalaciones de un subscriptor asociado con el subscriptor como mínimo, el punto de puesta en vigor de política para recibir una clave de subscriptor desde el subscriptor como mínimo cuando el subscriptor como mínimo inicia la sesión de Internet, la clave de subscriptor se utiliza para _ autenticar al subscriptor como mínimo; y un nodo de acceso del proveedor de servicio de Internet, localizado fuera de las instalaciones de subscriptor para recibir una clave de punto de puesta en vigor de política desde el punto de puesta en vigor de política para autenticar el punto de puesta en vigor de política, el nodo de acceso permite que el subscriptor como mínimo conduzca la sesión de Internet después de autenticación del punto de puesta en vigor de política.
- 9.- El sistema de telecomunicaciones de conformidad con la reivindicación 8, caracterizado porque el punto de puesta en vigor de política tiene una memoria para almacenar una clave de subscriptor almacenada para el subscriptor como mínimo, la clave de subscriptor almacenada se compara con la clave de subscriptor recibida para autenticar al subscriptor como mínimo.
- 10.- El sistema de telecomunicaciones de conformidad con la reivindicación 8, caracterizado porque el punto de puesta en vigor de política incluye una base de datos de autorización para almacenar información de autorización asociada con el subscriptor como mínimo.
- 11.- El sistema de telecomunicaciones de conformidad con la reivindicación 10, caracterizado porque el punto de puesta en vigor de política recibe una solicitud para servicio desde al menos un subscriptor y accesa la base de datos de autorización para determinar si el servicio solicitado se autoriza utilizando la información de autorización, la sesión de Internet se realiza cuando 'el servicio solicitado es autorizado.
- 12. - El sistema de telecomunicaciones de conformidad con la reivindicación 8, caracterizado porque el punto de puesta en vigor de política incluye un registro de contabilidad para registrar información de sesión asociada con la sesión de Internet.
- 13. - El sistema de telecomunicaciones de conformidad con la reivindicación 12, caracterizado porque la información de sesión comprende un tiempo de arranque, un tiempo de parada y al menos un servicio solicitado.
- 14. - El sistema de telecomunicaciones de conformidad con la reivindicación 8, caracterizado porque la clave de subscriptor se utiliza para cifrar información transmitida entre el punto de puesta en vigor de política y al menos un subscriptor durante la sesión de Internet .
- 15. - El sistema de telecomunicaciones de conformidad con la reivindicación 8, caracterizado porque la clave de punto de puesta en vigor de política se utiliza para cifrar información transmitida entre el punto de puesta en vigor de política y el nodo de acceso durante la sesión de Internet.
- 16.- El sistema de telecomunicaciones de conformidad con la reivindicación 8, caracterizado porque las instalaciones de subscriptor incluyen una red de área local, el punto de puesta en vigor de política es un servidor conectada a la red de área local .
- 17. - El sistema de telecomunicaciones de conformidad con la reivindicación 8, caracterizado porque las instalaciones de subscriptor es una terminal asociada con un subscriptor como mínimo .
- 18.- El sistema de telecomunicaciones de conformidad con la reivindicación 8, caracterizado porque además comprende un punto de decisión de política del proveedor de servicio de Internet conectado a Internet y accesible por el punto de puesta en vigor de política a través del nodo de acceso .
- 19.- El ""sistema de telecomunicaciones de conformidad con la reivindicación 18, caracterizado porque el punto de puesta en vigor de política transmite la clave de punto de puesta en vigor de política al punto de decisión de política para autenticar el punto de puesta en vigor de política.
- 20.- El sistema de telecomunicaciones de conformidad con la reivindicación 18, caracterizado porque el punto de puesta en vigor de política transmite la clave de subscriptor al punto de decisión de política para autenticar al subscriptor como mínimo cuando el subscriptor como mínimo visita las instalaciones del subscriptor.
- 21.- El sistema de telecomunicaciones de conformidad con la reivindicación 18, caracterizado porque el punto de- puesta en vigor de política transmite información de sesión asociada con la sesión de Internet al punto de decisión de política al terminar la sesión de Internet.
- 22.- El sistema de telecomunicaciones de conformidad con la reivindicación 21, caracterizado porque la información de sesión se cifra utilizando la clave de punto de puesta en vigor de política, la información de sesión cifrada se transmite al punto de decisión de política.
- 23. - Método para conducir una sesión en Internet utilizando un proveedor de servicio de Internet, caracterizado porque' comprende las etapas de: recibir una clave de subscriptor en un punto de puesta en vigor de política del proveedor de servicio de Internet dentro de las instalaciones de subscriptor asociadas con al menos un subscriptor desde el subscriptor como mínimo; el punto de puesta en vigor de política autentica al subscriptor como mínimo con base en la clave de subscriptor recibida; y después de la etapa de autenticación, el subscriptor como mínimo participa en la sesión de Internet mediante el punto de puesta en vigor de política.
- 24. - El "método de conformidad con la reivindicación 23, caracterizado porque además comprende las etapas de: transmitir una clave de punto de puesta en vigor de política desde el punto de puesta en vigor de política a un nodo de acceso del proveedor de servicio de Internet localizado fuera de las instalaciones del subscriptor; y el nodo de acceso autentica el punto de puesta en vigor de política con base en la clave de punto de puesta en vigor de política, la etapa de participar se realiza después de la etapa de autenticar el punto de puesta en vigor de política.
- 25.- El método de conformidad con la reivindicación 24, caracterizado porque además comprende la etapa de: cifrar la información transmitida entre el punto de puesta en vigor de política y el nodo de acceso durante la sesión- de Internet utilizando la clave de punto de puesta en vigor de política.
- 26.- El método de conformidad con la reivindicación 23, caracterizado porque la etapa de autenticar al subscriptor como mínimo, además comprende las etapas de : almacenar dentro del punto de puesta en vigor de política una clave de subscriptor almacenada para el subscriptor como mínimo; y comparar la clave de subscriptor almacenada con la clave de subscriptor recibida para autenticar al subscriptor como mínimo.
- 27.- El método de conformidad con la reivindicación 23, caracterizado porque además comprende las etapas de: almacenar dentro del punto de puesta en vigor de política, información de autorización asociada con al menos un subscriptor; recibir en el punto de puesta en vigor de política una solicitud para servicio desde al menos un subscriptor; y el punto de puesta en vigor de política determina si el servicio solicitado se autoriza con base en la información de autorización, y de ser así, indicar que la sesión de Internet puede ser efectuada.
- 28.- El método de conformidad con la reivindicación 23, caracterizado porque además comprende las etapas de: durante la sesión de Internet, registrar dentro de un registro de contabilidad dentro del punto de puesta en vigor de política información de sesión asociada con la sesión de Internet.
- 29.- El método de conformidad con la reivindicación 28, caracterizado porque además comprende la etapa de: al terminar la sesión— de Internet, transmitir la información de sesión desde el punto de puesta en vigor de política a un punto de decisión ~cfe política del proveedor de servicio- de- Internet conectado a Internet y ubicado fuera de las instalaciones del cliente .
- 30.- El método de conformidad con la reivindicación 29, caracterizado porque la etapa de transmitir la información de sesión además comprende la etapa de: cifrar la información de sesión—utilizando una clave de punto de puesta en vigor de política.
- 31.- El método de conformidad con Ta reivindicación 29, caracterizado porque además comprende las etapas de: transmitir una clave de punto de puesta en vigor de política desde el punto de puesta en vigor de política al punto de decisión de política; y autenticar el punto de puesta en vigor de política utilizando la clave de punto en vigor de política.
- 32.- El método de conformidad con la reivindicación 31, caracterizado porque la primer etapa mencionada de autenticar además comprende la etapa de: transmitir la clave -de subscriptor desde el punto de puesta en vigor de política al punto de decisión de política para autenticar al subscriptor como mínimo cuando el subscriptor como mínimo visita las instalaciones del subscriptor.
- 33. - El método de conformidad con la reivindicación 23, caracterizado porque ^además comprende la etapa de: cifrar la información transmitida entre el punto de puesta en vigor* de política y el subscriptor como mínimo durante la sesión de Internet , utilizando la clave del subscriptor.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/354,418 US7409704B1 (en) | 1999-07-15 | 1999-07-15 | System and method for local policy enforcement for internet service providers |
PCT/SE2000/001479 WO2001006733A1 (en) | 1999-07-15 | 2000-07-11 | System and method for local policy enforcement for internet service providers |
Publications (1)
Publication Number | Publication Date |
---|---|
MXPA01013117A true MXPA01013117A (es) | 2002-06-04 |
Family
ID=23393269
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
MXPA01013117A MXPA01013117A (es) | 1999-07-15 | 2000-07-11 | Sistema y metodo para puesta en vigor de politica local para proveedores de servicio de internet. |
Country Status (8)
Country | Link |
---|---|
US (1) | US7409704B1 (es) |
EP (2) | EP1195037B1 (es) |
CN (1) | CN1169330C (es) |
AU (1) | AU770479B2 (es) |
CA (1) | CA2379677C (es) |
MX (1) | MXPA01013117A (es) |
RU (1) | RU2253187C2 (es) |
WO (1) | WO2001006733A1 (es) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8589975B2 (en) * | 1998-08-21 | 2013-11-19 | United Video Properties, Inc. | Electronic program guide with advance notification |
US20030041268A1 (en) * | 2000-10-18 | 2003-02-27 | Noriaki Hashimoto | Method and system for preventing unauthorized access to the internet |
US7739728B1 (en) * | 2005-05-20 | 2010-06-15 | Avaya Inc. | End-to-end IP security |
US7739724B2 (en) * | 2005-06-30 | 2010-06-15 | Intel Corporation | Techniques for authenticated posture reporting and associated enforcement of network access |
CN101018190A (zh) * | 2006-02-09 | 2007-08-15 | 华为技术有限公司 | 一种控制接入网上行流量的方法和系统 |
US20080184334A1 (en) * | 2007-01-30 | 2008-07-31 | Sap Ag | Sealing electronic content |
US9584625B2 (en) * | 2011-07-08 | 2017-02-28 | Raven Industries, Inc. | Web based system using events and pushed web content to interact with remote users for notifications and data collections |
US9026784B2 (en) | 2012-01-26 | 2015-05-05 | Mcafee, Inc. | System and method for innovative management of transport layer security session tickets in a network environment |
US10063593B2 (en) * | 2015-12-29 | 2018-08-28 | International Business Machines Corporation | Propagating fraud awareness to hosted applications |
Family Cites Families (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5091942A (en) * | 1990-07-23 | 1992-02-25 | Ericsson Ge Mobile Communications Holding, Inc. | Authentication system for digital cellular communications |
US5299263A (en) * | 1993-03-04 | 1994-03-29 | Bell Communications Research, Inc. | Two-way public key authentication and key agreement for low-cost terminals |
US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
WO1996007256A1 (fr) | 1994-08-30 | 1996-03-07 | Kokusai Denshin Denwa Co., Ltd. | Systeme de certification |
US5864683A (en) | 1994-10-12 | 1999-01-26 | Secure Computing Corporartion | System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights |
FR2732653B1 (fr) * | 1995-04-10 | 1997-06-20 | Treves Ets | Dispositif de montage de la tablette arriere d'un vehicule automobile |
CA2176775C (en) | 1995-06-06 | 1999-08-03 | Brenda Sue Baker | System and method for database access administration |
DE19521484A1 (de) * | 1995-06-13 | 1996-12-19 | Deutsche Telekom Ag | Verfahren und Vorrichtung zur Authentisierung von Teilnehmern gegenüber digitalen Vermittlungsstellen |
US5599244A (en) * | 1995-08-14 | 1997-02-04 | Ethington; Russell A. | Automatic transmission shifter for velocipedes |
JPH0981519A (ja) | 1995-09-08 | 1997-03-28 | Kiyadeitsukusu:Kk | ネットワーク上の認証方法 |
US5815665A (en) | 1996-04-03 | 1998-09-29 | Microsoft Corporation | System and method for providing trusted brokering services over a distributed network |
US5881234A (en) | 1996-04-26 | 1999-03-09 | Schwob; Pierre R. | Method and system to provide internet access to users via non-home service providers |
US5898780A (en) | 1996-05-21 | 1999-04-27 | Gric Communications, Inc. | Method and apparatus for authorizing remote internet access |
US5970477A (en) | 1996-07-15 | 1999-10-19 | Bellsouth Intellectual Property Management Corporation | Method and system for allocating costs in a distributed computing network |
US5841864A (en) | 1996-08-05 | 1998-11-24 | Motorola Inc. | Apparatus and method for authentication and session key exchange in a communication system |
US5828833A (en) | 1996-08-15 | 1998-10-27 | Electronic Data Systems Corporation | Method and system for allowing remote procedure calls through a network firewall |
US5889958A (en) | 1996-12-20 | 1999-03-30 | Livingston Enterprises, Inc. | Network access control system and process |
US6061346A (en) | 1997-01-17 | 2000-05-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Secure access method, and associated apparatus, for accessing a private IP network |
US6047072A (en) * | 1997-10-23 | 2000-04-04 | Signals, Inc. | Method for secure key distribution over a nonsecure communications network |
US6208627B1 (en) * | 1997-12-10 | 2001-03-27 | Xircom, Inc. | Signaling and protocol for communication system with wireless trunk |
US6580906B2 (en) * | 1997-12-10 | 2003-06-17 | Intel Corporation | Authentication and security in wireless communication system |
US6286052B1 (en) * | 1998-12-04 | 2001-09-04 | Cisco Technology, Inc. | Method and apparatus for identifying network data traffic flows and for applying quality of service treatments to the flows |
US6463470B1 (en) * | 1998-10-26 | 2002-10-08 | Cisco Technology, Inc. | Method and apparatus of storing policies for policy-based management of quality of service treatments of network data traffic flows |
US6298383B1 (en) * | 1999-01-04 | 2001-10-02 | Cisco Technology, Inc. | Integration of authentication authorization and accounting service and proxy service |
EP1117265A1 (en) * | 2000-01-15 | 2001-07-18 | Telefonaktiebolaget Lm Ericsson | Method and apparatus for global roaming |
US6854014B1 (en) * | 2000-11-07 | 2005-02-08 | Nortel Networks Limited | System and method for accounting management in an IP centric distributed network |
US20040039803A1 (en) * | 2002-08-21 | 2004-02-26 | Eddie Law | Unified policy-based management system |
US20040054766A1 (en) * | 2002-09-16 | 2004-03-18 | Vicente John B. | Wireless resource control system |
DE10326726B4 (de) * | 2003-06-10 | 2007-07-26 | Siemens Ag | Verfahren zur Datenverkehrsseparierung in einem paketorientiert arbeitenden Mobilfunknetz |
US7594256B2 (en) * | 2003-06-26 | 2009-09-22 | Sun Microsystems, Inc. | Remote interface for policy decisions governing access control |
US8661521B2 (en) * | 2005-08-30 | 2014-02-25 | Intel Corporation | Controlling a network connection using dual-switching |
US8621549B2 (en) * | 2005-12-29 | 2013-12-31 | Nextlabs, Inc. | Enforcing control policies in an information management system |
-
1999
- 1999-07-15 US US09/354,418 patent/US7409704B1/en not_active Expired - Fee Related
-
2000
- 2000-07-11 AU AU63299/00A patent/AU770479B2/en not_active Expired
- 2000-07-11 RU RU2002103720/09A patent/RU2253187C2/ru active
- 2000-07-11 EP EP00950163.6A patent/EP1195037B1/en not_active Expired - Lifetime
- 2000-07-11 WO PCT/SE2000/001479 patent/WO2001006733A1/en active IP Right Grant
- 2000-07-11 CA CA2379677A patent/CA2379677C/en not_active Expired - Lifetime
- 2000-07-11 CN CNB008104263A patent/CN1169330C/zh not_active Expired - Lifetime
- 2000-07-11 MX MXPA01013117A patent/MXPA01013117A/es active IP Right Grant
- 2000-07-11 EP EP10183923A patent/EP2267974A1/en not_active Withdrawn
Also Published As
Publication number | Publication date |
---|---|
EP1195037A1 (en) | 2002-04-10 |
EP2267974A1 (en) | 2010-12-29 |
AU770479B2 (en) | 2004-02-19 |
CN1169330C (zh) | 2004-09-29 |
CN1361968A (zh) | 2002-07-31 |
RU2253187C2 (ru) | 2005-05-27 |
WO2001006733A1 (en) | 2001-01-25 |
AU6329900A (en) | 2001-02-05 |
US7409704B1 (en) | 2008-08-05 |
CA2379677A1 (en) | 2001-01-25 |
CA2379677C (en) | 2011-04-05 |
EP1195037B1 (en) | 2018-01-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1484892B1 (en) | Method and system for lawful interception of packet switched network services | |
US7398551B2 (en) | System and method for the secure enrollment of devices with a clearinghouse server for internet telephony and multimedia communications | |
US6212561B1 (en) | Forced sequential access to specified domains in a computer network | |
US9059841B2 (en) | Auto-discovery of a non-advertised public network address | |
US7624429B2 (en) | Method, a network access server, an authentication-authorization-and-accounting server, and a computer software product for proxying user authentication-authorization-and-accounting messages via a network access server | |
US20110170696A1 (en) | System and method for secure access | |
US6912593B2 (en) | Information switching platform | |
JP2004505383A (ja) | 分散ネットワーク認証およびアクセス制御用システム | |
WO2005096644A1 (fr) | Procede d'etablissement d'une association de securite entre l'abonne itinerant et le serveur du reseau visite | |
US7793352B2 (en) | Sharing network access capacities across internet service providers | |
US20020162029A1 (en) | Method and system for broadband network access | |
US20090077635A1 (en) | Method, apparatus and system for network service authentication | |
EP1075748B1 (en) | Method, arrangement and apparatus for authentication | |
EP1195037B1 (en) | System and method for local policy enforcement for internet service providers | |
CN100568836C (zh) | 按照终端类型为终端分配局域网资源的方法和服务器 | |
US20050021746A1 (en) | Information collecting system for providing connection information to an application in an IP network | |
US20030154408A1 (en) | Method and apparatus for secured unified public communication network based on IP and common channel signaling | |
SE512440C2 (sv) | Metod för säker telefoni med mobilitet i ett tele- och datakommunikationssystem som innefattar ett IP-nät | |
CN100495966C (zh) | 互联网络中各子网信息的标识和携带的方法 | |
Fisher | Authentication and Authorization: The Big Picture with IEEE 802.1 X | |
CA2333168A1 (en) | Data network access |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
FG | Grant or registration |