MXPA06000819A - Metodo y aparato para controlar acceso con base de credito (pre-pagado) en una red inalambrica - Google Patents
Metodo y aparato para controlar acceso con base de credito (pre-pagado) en una red inalambricaInfo
- Publication number
- MXPA06000819A MXPA06000819A MXPA/A/2006/000819A MXPA06000819A MXPA06000819A MX PA06000819 A MXPA06000819 A MX PA06000819A MX PA06000819 A MXPA06000819 A MX PA06000819A MX PA06000819 A MXPA06000819 A MX PA06000819A
- Authority
- MX
- Mexico
- Prior art keywords
- access
- user
- network
- authentication
- client
- Prior art date
Links
- 230000001276 controlling effect Effects 0.000 title description 2
- 230000004044 response Effects 0.000 claims abstract description 40
- 238000004891 communication Methods 0.000 claims description 11
- 238000000034 method Methods 0.000 claims description 8
- 230000000875 corresponding Effects 0.000 claims description 5
- 230000015654 memory Effects 0.000 claims description 2
- 230000003213 activating Effects 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 5
- 238000010295 mobile communication Methods 0.000 description 3
- 238000000691 measurement method Methods 0.000 description 2
- 230000003287 optical Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000003247 decreasing Effects 0.000 description 1
- 238000005194 fractionation Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006011 modification reaction Methods 0.000 description 1
Abstract
Se describe un método para des-autenticar un dispositivo del cliente desde una red con base en el control de acceso con base en crédito. El método comprende recibir por el punto de acceso (AP) en la red una solicitud del usuario para el acceso del usuario desde el dispositivo del cliente de conformidad con un protocolo de autenticación y transmitir por el AP una solicitud de acceso a un servidor de autenticación en respuesta a una solicitud del usuario. El AP recibe una respuesta de acceso desde el servidor de autenticación que autentica el acceso del usuario para el dispositivo del cliente, en donde la respuesta de acceso contiene un parámetro que tiene un valor indicativo de la longitud de acceso continuo disponible del dispositivo de cliente a la red con base en el crédito restante del usuario. El AP entonces transmite una solicitud de re-autenticación a un servidor de autenticación cuando el valor del parámetro alcanza un umbral para provocar que ocurra la re-autenticación del dispositivo del cliente con la red antes de otorgar otro acceso a la red por el dispositivo del cliente.
Description
GM, KE, LS, MW, MZ, NA, SD, SL, SZ, TZ, UG, ZM, before the expiration of the time limil for amending the ZW), Eurasian (AM, AZ, BY, KG, KZ, MD, RU, TJ, TM), claims and to be republished in the event of receipt of European (AT, BE, BG, CH, CY, CZ, DE, DK, EE, ES, Fl, amendments FR, GB, GR, HU, IE, IT, LU, MC, NL, PL, PT, RO, SE, SI, SK, TR), OAPI (BF, BJ, CF, CG, CI, CM, GA, GN, GQ, GW, ML, MR, NE, SN, TD, TG). For two-letler codes and other abbreviations. refer to the "Guid- Published: ance Notes on Codes andAbbreviations" appearing at the begin- — with intemational search report ning ofeach regular issue ofthe PCT Gazette.
MÉTODO Y APARATO PARA CONTROLAR ACCESO CON BASE DE CREPITO (PRE-PAGADO) EN UNA RED INALÁMBRICA
REFERENCIA CRUZADA CON SOLICITUDES RELACIONADAS Esta solicitud reclama el beneficio de la Solicitud de Patente de
Estados Unidos No. 60/489,307, presentada el 23 de julio de 2003, la cual se incorpora aquí como referencia.
CAMPO DE LA INVENCIÓN La invención se relaciona con el control de acceso y autorización en redes inalámbricas. Más en particular, la invención se refiere a des-autenticar o desasociar a un usuario de una red de área local inalámbrica pública o privada (WLAN) con base en la expiración del crédito utilizado por el usuario para obtener el acceso a la WLAN.
ANTECEDENTES DE LA INVENCIÓN Por lo general, una red de área local inalámbrica (WLAN) representa una red de telecomunicaciones que permite las comunicaciones de datos entre computadoras o entre computadoras y otros sistemas de comunicación que utilizan frecuencia de radio (RF) o señales ópticas, mejor que cables u otras líneas de comunicación física. La WLAN se ha desarrollado con rápidas medidas para los servicios Internet y tecnologías de telecomunicación inalámbrica. Debido a la conveniencia de las redes y de mantenimiento, la WLAN se utiliza mucho particularmente, en las áreas en donde las redes con cables u otras líneas de comunicación física no son factibles, como en una red edificio a edificio, redes en grandes oficinas o centros logísticos y sus semejantes. En años recientes, los proveedores de servicio de telecomunicaciones han introducido un servicio inalámbrico de Internet al adaptar las tecnologías de la WLAN que se usan principalmente, para las redes privadas domésticas en redes públicas, en donde se tiene acceso a los servicios de Internet en los llamados puntos de trabajo por usuarios autorizados que se han registrado con sus propios códigos de identificación (ID) y contraseñas a través de un proceso de registro predeterminado. Tales instalaciones de acceso público, como restaurantes, cafés, centros comerciales, aeropuertos y bibliotecas permiten que los dispositivos móviles de comunicación tengan un acceso a la red privada de datos o a una red pública de datos, como la Intranet o Internet de una compañía, todo ello por una cuota. Luego de entrar en una instalación de acceso público, el dispositivo móvil de comunicación establece un enlace de comunicación, típicamente sobre un canal inalámbrico, con un punto de acceso (AP) con el fin de obtener el acceso a la LAN inalámbrica, y a la red pública o privada. En la actualidad, la autenticación del usuario en un ambiente de LAN inalámbrica (WLAN) involucra el uso de un servidor de autenticación, como un servidor de servicio para el usuario de marcación de autenticación remota (RADIUS), con el software de control de acceso que es un protocolo de autenticación extensible 802.1x (EAP) con base en la norma WLAN. Otras implementaciones ejemplificativas incluyen los protocolos de comunicación cableado e inalámbrico. Aquí, los usuarios obtienen el acceso después de un proceso de autenticación. En un sistema de servicio de WLAN pública convencional, se lleva a cabo un proceso de autenticación cuando el usuario intenta tener acceso a una red e incluye un proceso de confirmación de autenticación que se lleva a cabo en forma repetida a través del servidor de autenticación, cada vez que el usuario intenta obtener el acceso a la red. De conformidad con la norma IEEE 802.1x, un usuario puede utilizar un puerto físico de un punto de acceso (AP) solamente después de que el usuario obtiene la autorización para utilizar el puerto físico del AP desde el servidor de autenticación. Los métodos para controlar el acceso a las redes a través de las conexiones WLAN han confiado en las funciones centralizadas de facturación de los proveedores de servicio. Los clientes de tales proveedores típicamente pagan por el acceso a la red con base en una suscripción, ya sea en forma mensual o diaria con o sin limitaciones de uso. Las cuentas del cliente se mantienen en una base de datos centralizada del proveedor de servicio. Esa porción de la red que responde al reto de autenticación (por ejemplo, el servidor RADIUS) se mantiene con la información de identificación de los clientes cuyas cuentas han cumplido con los requerimientos de pago del proveedor de servicio, ya sea por pre-pago o por pagos atrasados dentro de un cierto período de tiempo. Incluso los proveedores de servicio que ofrecen el acceso ad hoc, tal como un acceso por día (o por hora) desde un aeropuerto, confían en los sistemas centralizados de facturación y de actualización en sus bases de datos de autenticación. En tal configuración antes descrita, el AP actúa como un intermediario o "mediador" para el usuario del dispositivo móvil de comunicaciones y el servidor de autenticación. Cuando un usuario establece una conexión de radio con un AP en un ambiente WLAN, el AP empieza el proceso de autenticación al solicitar la información de credencial del usuario. El AP entonces envía la información de credencial del usuario al servidor de autenticación para su verificación y autorización para el acceso WLAN. El servidor de autenticación regresa un mensaje de éxito o falla al AP con base en las credenciales recibidas y, con base en este resultado, el AP otorga o niega el acceso al usuario. La información de cuenta del usuario como el saldo de cuenta, la información de autenticación y sus semejantes se almacenan en una base de datos a la cual tiene acceso el servidor de autenticación como el servidor RADIUS. Sin embargo, tal acceso WLAN con base en crédito requiere la terminación del acceso del usuario cuando el saldo de cuenta del usuario ya no es suficiente para el acceso WLAN. En la actualidad, los protocolos no permiten que el servidor de autenticación, como el servidor RADIUS envíe un mensaje no solicitado al AP.
Por lo tanto, sería deseable proporcionar un método y sistema con la capacidad de proporcionar la des-autenticación y desasociación de un usuario autenticado previamente desde la WLAN con base en la información de crédito.
BREVE DESCRIPCIÓN DE LA INVENCIÓN Un método para des-autenticar un dispositivo móvil de comunicaciones (que también puede ser llamado "cliente") desde una red con base en el control de acceso con base de crédito comprende: recibir por el punto de acceso (AP) en la red una solicitud del usuario para el acceso del usuario desde el dispositivo del cliente de conformidad con un protocolo de autenticación; transmitir desde el AP una solicitud de acceso a un servidor de autenticación en respuesta a una solicitud del usuario; recibir por el AP una respuesta de acceso desde el servidor de autenticación que autentica el acceso del usuario para el dispositivo del cliente, la respuesta de acceso contiene un parámetro que tiene un valor indicativo de la cantidad de acceso disponible del dispositivo del cliente a la red con base en el crédito restante del usuario; determinar la cantidad restante de acceso disponible del dispositivo del cliente en respuesta al uso de la red por el dispositivo del cliente y al parámetro; transmitir por el AP, una primera solicitud de re-autorización al dispositivo del cliente en respuesta a la cantidad restante de acceso disponible que alcanza un valor de umbral para provocar que ocurra una re-autenticación del dispositivo del cliente con la red; recibir, por el AP, una primera respuesta de re-autorización desde el dispositivo del cliente, en respuesta a la primera solicitud de re-autorización, y transmitir una solicitud de re-autenticación a un servidor de autenticación por el AP antes de otorgar otro acceso a la red por el dispositivo del cliente. La red, puede ser, en particular, una WLAN y el dispositivo del cliente, puede ser, en particular, un dispositivo móvil de comunicaciones. Una red comprende un punto de acceso para comunicarse con uno de una pluralidad de dispositivos del cliente a través de un canal de comunicaciones, el punto de acceso proporciona el acceso a la red con base en una autenticación del dispositivo del cliente a través de un servidor de autorización de conformidad con un protocolo de autenticación. El punto de acceso también responde a una respuesta de acceso desde el servidor de autenticación que autentica uno de los dispositivos del cliente que han solicitado el acceso a la red, la solicitud se envía al servidor de autenticación mediante el punto de acceso, la respuesta de acceso, la cual contiene un parámetro que tiene un valor indicativo de la longitud del acceso continuo disponible del dispositivo del cliente, con base en el crédito restante del usuario, para así provocar que el punto de acceso inicie un proceso de re-autenticación luego de la expiración del período de tiempo correspondiente al valor del parámetro, lo cual requiere la reautenticación del dispositivo del cliente antes de otorgar otro acceso al dispositivo del cliente en la red. La red puede ser, en particular, una WLAN y el dispositivo del cliente puede ser en particular, un dispositivo móvil de comunicaciones.
BREVE DESCRIPCIÓN DE LOS DIBUJOS La presente invención se comprenderá mejor a la luz de la descripción detallada y los dibujos, en donde: La Figura 1 es un diagrama en bloque que ilustra una arquitectura ejemplificativa que incorpora los principios de la presente invención. La Figura 2A es un diagrama de intercambio de mensajes que ilustra las comunicaciones que se presentan entre la LAN inalámbrica, el servidor de autenticación, y los componentes del dispositivo móvil de comunicaciones del sistema de la Figura 1, para autenticar/de-autenticar el acceso del usuario a la WLAN de conformidad con una modalidad de la invención. La Figura 2B es un formato de paquete de parámetro del tiempo límite de sesión ejemplificativo formado como parte de un mensaje de respuesta de acceso para activar la re-autenticación de un dispositivo móvil de comunicaciones de conformidad con los principios incorporados en la presente invención. La Figura 3 es un diagrama de flujo ejemplificativo que ilustra la operación de un método de medición para calcular los datos de tiempo límite de sesión de conformidad con los principios incorporados en la presente invención. La Figura 4 es un diagrama de flujo ejemplificativo alternativo que ilustra la operación de un método de medición para calcular los datos de tiempo límite de sesión de conformidad con los principios incorporados en la presente invención.
DESCRIPCIÓN DETALLADA DE LA INVENCIÓN Ahora se describirá la presente invención en forma de una o más modalidades ejemplificativas. La Figura 1 es un diagrama en bloque que ilustra una modalidad ejemplificativa de la presente invención. Con referencia a la Figura 1, la modalidad ejemplificativa incluye un sistema 10 que tiene un punto de acceso 12 con software o lógicos 14 de control de acceso, que residen en el mismo. En una implementación ejemplificativa, el punto de acceso 12 es un punto de acceso WLAN (red de área local inalámbrica) y el software 12 de control de acceso es un protocolo de autenticación 802.1x extensible (EAP). Con base en la descripción y enseñanzas aquí provistas, las personas experimentadas en la técnica podrán apreciar los protocolos de comunicación que pueden ser utilizados para implementar la presente invención. Cuando se activa, el software 14 de control de acceso ofrece varias funciones para permitir que el punto de acceso 12 permita o inhabilite el acceso del usuario a la WLAN 16. Cuando se activa, el software 14 de control de acceso recibe una solicitud de acceso desde un usuario de uno de una pluralidad de dispositivos móviles de comunicaciones (181( 182, ... 18n) en donde el cliente inalámbrico particular o el dispositivo 181 móvil de comunicaciones intenta hacer contacto con el punto de acceso 12 para establecer el acceso a la red 16 de comunicaciones, tal como una WLAN. El AP 12 envía la solicitud a un servidor 20 de autenticación correspondiente configurado para autenticar al usuario con base en la información de crédito, como un saldo de cuenta, cargos de crédito pre-pagados, y sus semejantes. Se debe observar que puede haber redes adicionales entre la red 16 inalámbrica y el servidor 20 de autenticación incluyendo por ejemplo, redes cableadas, inalámbricas y de satélite. Una base de datos 24 asociada con el servidor de autenticación almacena y mantiene la información del saldo de crédito con base en usuario. En una configuración, el servidor 20 de autenticación puede tener acceso a la información de cuenta directamente. En forma opcional, el servidor 20 puede operar como un apoderado para otro servidor 28, 29 de cuenta/autenticación sobre una red 26 (como una red privada de datos o PDN), en donde los servidores 28, 29 operan como un servidor de autenticación final que tiene acceso a los registros del crédito del usuario (por ejemplo, un servidor controlado por la tarjeta de crédito con base en la agencia emisora o la emisora de la tarjeta con datos pre-pagados). Cuando se recibe un mensaje de respuesta de aceptación de acceso por el AP 12 desde el servidor 20 de autenticación, autenticando al usuario, el AP 12 permite el acceso al dispositivo 18 del cliente asociado con la WLAN. De conformidad con un aspecto de la presente invención, el servidor 20 de autenticación incluye un lógico 22 de servidor de control para medir el uso del operador y/o parametrizar una sesión de comunicación correspondiente. El lógico 22 del servidor de control incluye parámetros de uso y/o normas de negocios con base en un número de criterios, incluyendo, por ejemplo, a) el tiempo máximo de sesión (por ejemplo, en unidades monetarias o de tiempo); b) el volumen máximo de datos (aumentar o disminuir); c) ancho de banda (enlace ascendente y/o enlace descendente) (por ejemplo, en bytes o en unidades monetarias); desplegados, avisos y períodos de gracia; (e) tasas variables con la hora del día, el día de la semana (por ejemplo, un cargo durante las horas pico) y f) limitar el acceso a una hora específica del día, a un día de la semana o en múltiples período de tiempos por ejemplo, con base en la información de crédito del usuario. En una configuración, el parámetro asociado con el mensaje de respuesta de acceso dirigido al AP para la autenticación del usuario y el permitir el acceso a la WLAN, se utilizan para activar una solicitud de autenticación (o reautenticación) desde el AP para re-autenticar al usuario del dispositivo móvil de comunicaciones y al cliente con base en la información de crédito, cuando el valor del parámetro alcanza el valor de umbral determinado. En una modalidad ejemplificativa, el parámetro o atributo 210a de tiempo límite de sesión (Figura 2B) del servidor de autenticación RADIUS tiene un formato de paquete y protocolo descritos en RFCF 2865, se utiliza para alcanzar este resultado. Más en particular, el lógico 22 del servidor de control (Figura 1) determina varios costos de uso, como la tasa de cargos de la WLAN, y calcula el tiempo máximo disponible de acceso en unidades (por ejemplo, días, horas, minutos, segundos, etc.) para el usuario particular con base en la cantidad de saldo de crédito que el usuario tiene. Una porción fraccionada de ese valor (que puede incluir el valor entero) se incluye en el parámetro de tiempo límite de sesión provisto dentro del mensaje de respuesta de acceso regresada al AP. Luego de la expiración del valor de período de tiempo límite de sesión contenido dentro dei mensaje de respuesta de acceso recibido por el AP, el lógico 14 de control de acceso del AP, entonces activan un mensaje 216 de solicitud de re-autenticación 802.1x (consultar Figura 2A), para ser enviado al usuario para iniciar la re-autenticación con el fin de mantener el acceso a la red. Por ejemplo, cuando el usuario tiene un saldo de cuenta de $20 almacenado en la base de datos 24 de cuenta a la que tiene acceso el servidor 20, y la tasa de cargos de la LAN inalámbrica es de $2 por hora, entonces el tiempo máximo posible que el usuario puede permanecer enlazado con la WLAN será de 10 horas. El lógico 22 de control del servidor de autenticación puede ajustar el parámetro de tiempo límite de sesión como una fracción de las 10 horas máximas disponibles (por ejemplo, como un valor de tiempo límite de sesión de 1 hora). El parámetro de tiempo límite de sesión o atributo 210a se envía por el servidor 20 RADIUS al AP 12 como parte de un mensaje 210 de aceptación de acceso de acceso de conformidad con el protocolo RADIUS descrito en RFC 2865. En esta configuración, este atributo establece el número máximo de segundos de servicio a ser provisto al usuario antes de la terminación de la sesión o incitador. En una modalidad preferida, compatible con el protocolo RFC 2865, el atributo 210a de tiempo límite de sesión enviado en un mensaje de aceptación de acceso junto con un valor de acción de terminación de la solicitud RADIUS, especifica el número máximo de segundos de servidor provisto antes de la re-autenticación. En este caso, el atributo de tiempo límite de sesión se utiliza para cargar la constante re-autor-período dentro de la máquina de estado sincronizador de re-autenticación de 802.1x. Esto se envía por el servidor de autenticación al AP en el mensaje de aceptación de acceso (o reto de acceso). La Figura 2B ilustra el formato para el parámetro o atributo 210a de tiempo límite de sesión de conformidad con RFC 2865. El valor 210a de parámetro de tiempo límite de sesión entonces se utiliza para activar las solicitudes de autenticación para el usuario, de modo que el AP transmite una solicitud de reautenticación al usuario del dispositivo 18 móvil de comunicaciones al final de cada período de tiempo límite de sesión o cuando el valor del parámetro de tiempo límite de sesión cae por debajo de un valor de umbral, en donde el valor de umbral puede ser un porcentaje del valor del parámetro de tiempo límite de sesión. Bajo la operación normal, las credenciales del usuario son re-enviadas al servidor para su verificación y se repite el proceso de autenticación. La Figura 2A ilustra un flujo operativo ejemplificativo de mensajes entre el cliente/usuario, el AP y el servidor de autenticación/cuenta en un escenario de re-autenticación con base en el tiempo para controlar el acceso con base en la información de crédito de conformidad con un aspecto de la presente invención. Un servidor apoderado puede agregarse entre el AP y el servidor de autenticación/cuenta, pero esta configuración no alterará ios mensajes intercambiados y ha sido omitida en este diagrama. Con referencia a la Figura 2A; como una operación entre el cliente/usuario del dispositivo 18 móvil de comunicaciones y el AP 12 el usuario del dispositivo 18 del cliente envía un mensaje de EAPJNICIO (201) al AP que incorpora la función IEEE 802.1x para solicitar el acceso a una WLAN 16 pública. Como respuesta, el AP envía un mensaje de SOLICITUD_ID (202) al dispositivo del usuario, y el dispositivo del usuario contesta con un código de identificación (ID) como un mensaje de RESPUESTAJD (204) al AP. Después de recibir el mensaje RESPUESTAJD desde el dispositivo del usuario, el AP transmite el mensaje de solicitud de acceso RADIUS (206) al servidor 20 de autenticación/cuenta RADIUS. El servidor de autenticación/cuenta opera para verificar el dispositivo del usuario, lo cual incluye verificar la contraseña del usuario y/u otras credenciales del usuario (por ejemplo, nombre, ID del cliente, ID del puerto, etc.) así como determinar la cantidad de tiempo/volumen de acceso disponible para el usuario con base en la información de crédito disponible que incluye el saldo del crédito del usuario, los cargos WLAN y otros premios. El servidor 20 de autenticación/cuenta RADIUS (AS) entonces calcula (208) el valor del período de tiempo de tiempo límite de sesión con base en la información de crédito del usuario (que como se mencionó antes puede ser una fracción del volumen/tiempo de acceso máximo disponible) y después de la autenticación, transmite el mensaje 210 de aceptación de acceso de acceso al AP que incluye el valor 210a del parámetro de tiempo límite de sesión al AP. En respuesta, el AP puede transmitir un mensaje de éxito en la autenticación al dispositivo del usuario, y permite el acceso del usuario a la red. En una configuración, el AP almacena un valor indicativo del valor de parámetro de tiempo límite de sesión. Un contador dentro del lógico de software de control de acceso WLAN determina el momento en que ha expirado el valor del parámetro del tiempo límite de sesión (214) y luego de la expiración, el lógico de control transmite al dispositivo del usuario un mensaje (216) de RE-AUTENTICACIÓN_SOLICITUD, el cual solicita que el dispositivo del usuario se re-autentique antes de permitir otro acceso a la red. El dispositivo del usuario responde al AP con un mensaje (218) de RE-AUTENTICACIÓN_RESPUESTA, el cual incluye la información relevante de credencial, la cual el AP envía en una solicitud (220) de re-autenticación al AS 20. El AS 20, en respuesta a la solicitud de re-autenticación, determina si ha expirado el período de tiempo/volumen de sesión en el crédito máximo (222) disponible. Cuando es así, se regresa un mensaje 224 de respuesta de rechazo de acceso al AP, el cual indica una falla en la autorización. El AP transmite un mensaje de falla al dispositivo del usuario (por ejemplo, EAP_falla) y desasocia al usuario de otro acceso a la WLAN. De otra forma, el usuario se re-autentica por el servidor 20 y el valor del parámetro de tiempo límite de sesión se calcula y se proporciona (210a) en una respuesta (210) de aceptación de acceso de acceso enviada al AP, y se otorga el acceso continuo al dispositivo del usuario a la WLAN. En una modalidad ejemplificativa de la presente invención, el lógico 22 del servidor de control del servidor 20 de autenticación/cuenta incluye un módulo 300 sincronizador (consultar Figura 3), asociado con cada usuario autenticado para determinar la cantidad total de tiempo disponible para el acceso del usuario y si el período de tiempo ha expirado en el paso 222 de la Figura 2A. La Figura 3, tomada junto con el diagrama de intercambio de mensajes de la Figura 2A, ilustra un flujo ejemplificativo asociado con la operación del módulo sincronizador. El módulo sincronizador incluye un sincronizador de crédito correspondiente al saldo restante de crédito en la cuenta del usuario. El servidor 20 de autenticación/cuenta determina el crédito de tiempo de acceso WLAN disponible y activa un sincronizador u otro contador similar (paso 310) asociado con el saldo de crédito máximo disponible. En una modalidad, el valor 210a del parámetro de tiempo límite de sesión (Figura 2A) calculado en el paso 208 de la Figura 2A puede corresponder a un valor sincronizador de crédito o puede ser una fracción del valor del sincronizador del crédito total. El valor del sincronizador de crédito se actualiza (por ejemplo, disminuye) con base en el paso del tiempo y las unidades de volumen de tráfico (paso 320). En el caso de que se reciba una solicitud de reautenticación (paso 325) por el servidor de autenticación/cuenta RADIUS en el paso 220 de la Figura 2A, el servidor revisa el módulo sincronizador de crédito para determinar si el sincronizador ha expirado (paso- 330). Cuando es así, el servidor automáticamente enviará un mensaje de falla de autenticación (paso 340) como un rechazo de acceso, des-autentica ei mensaje (224 de la Figura 2A) para el AP 12. Esto a su vez, terminará el acceso del usuario con la WLAN. Las solicitudes de re-autenticación para un usuario determinado que son recibidas por el servidor de autenticación/cuenta RADIUS antes de la expiración del módulo de sincronizador de crédito asociado se tratan en una forma normal simplemente al re-autenticar al usuario, lo cual permite el acceso continuo al usuario con la WLAN (paso 350). Una impiementación alternativa que no requiere que el servidor de autenticación ejecute un sincronizador de crédito se describe con respecto a la Figura 4. Cuando un usuario intenta registrarse con el sistema WLAN al proporcionar algunas formas de sus credenciales, el servidor 20 de autenticación calcula el saldo restante del crédito del usuario en ciertas unidades (por ejemplo, unidades de tiempo, volumen de tráfico) (paso 410). El servidor 20 recibe en forma periódica los mensajes de cuenta (en unidades de tiempo o volumen de tráfico, por ejemplo) desde el AP (paso 420). Tales mensajes y formatos de mensajes se transmiten de conformidad con RFC 2866, que incluyen mensajes/paquetes de solicitud de cuenta desde el AP al servidor 20 (que puede ser el servidor de cuenta o actúa como un apoderado para el servidor de cuenta) para proporcionar la información de cuenta actualizada para un servicio provisto al usuario. Luego de la recepción y recordatorio exitosos de los registros de cuenta actualizados, el servidor 20 proporciona un mensaje/paquete de respuesta al AP. El servidor actualiza (por ejemplo, disminuye) las unidades de crédito con base en la información de cuenta recibida hasta que el crédito alcance un umbral determinado (por ejemplo, un saldo cero o negativo). Cada vez que ocurra una re-autenticación del usuario (paso 425), el servidor busca el saldo restante en unidades del crédito y envía un mensaje de falla de autenticación al AP cuando las unidades del saldo restante de crédito cae por debajo el umbral (paso 430, 440). El software 14 de control de acceso entonces instruye al punto de acceso 12 para terminar (o desenlazar) la sesión de comunicación con el cliente 18. De otra forma, el usuario se re-autentica, se calcula el valor del parámetro de tiempo límite de sesión y se le otorga al dispositivo de usuario el acceso continuo a la WLAN (paso 450). Como se mencionó antes, la presente invención encuentra una aplicación apropiada en un sistema en donde la cuenta para el acceso del usuario de la WLAN está con base en unidades de tiempo, pero se pueden utilizar otras unidades de cuenta, incluyendo por ejemplo, el ancho de banda utilizado, el volumen de tráfico o la cantidad de otros recursos utilizados por el usuario. Para los usuarios con cuenta con base en volumen, el período de tiempo límite de sesión (valor del parámetro) puede variar de período a período con base en el volumen de tráfico que pasa a través del AP. En este caso, el período de tiempo límite de sesión se puede definir como una duración de tiempo variable en donde el usuario transfiere una cantidad fija de tráfico (por ejempio, en bytes). Se puede ajustar un período de tiempo límite de sesión para expirar con la cantidad de bytes determinada (por ejemplo, cada 1 MB) de volumen de tráfico. En una configuración, el lógico 14 de acceso del AP 12 enviará una solicitud de re-autenticación una vez que el usuario transfiera 1MB de tráfico y entonces re-ajusta un contador de bytes dentro del lógico AP. Se debe entender que la presente invención como se describe antes, puede ser implementada con el uso de software, firmware, hardware o una combinación de tales implementaciones, en una manera distribuida o integrada. Más en particular, la presente invención se puede implementar en un medio de grabación que se puede leer por una computadora con un programa/código que es legible por computadora. El medio de registro que se puede leer por una computadora puede incluir cualquier tipo de dispositivos de grabación en donde se pueden almacenar datos que se pueden leer por una computadora en cualquier tipo de dispositivos de grabación. Los ejemplos del medio de grabación incluyen ROM, RAM, CD-ROM, cinta magnética, discos duros, discos flexibles, memorias flash, dispositivos de almacenamiento ópticos de datos e incluso ondas portadoras, por ejemplo, transmisión sobre la Internet. Además, el medio de grabación se puede distribuir entre sistemas de computadora que se interconectan a través de la red, y la presente invención se puede implementar como un programa/código en un sistema distribuido. Con base en la descripción y las enseñanzas aquí provistas, las personas experimentadas en la técnica podrán apreciar otras formas y/o métodos que se pueden utilizar para implementar la presente invención. Se debe entender que los ejemplos y modalidades aquí descritos aquí son para propósitos ilustrativos y que las personas experimentadas en la técnica podrán sugerir varias modificaciones y cambios a la luz de la misma, de conformidad con esta aplicación y alcance de las reivindicaciones anexas. Todas las publicaciones, patentes y solicitudes de patentes aquí citadas de preferencia, se pueden incorporar como referencia para todos los propósitos.
Claims (16)
1. Un método para procesar solicitudes del usuario para un acceso de red con base en crédito, caracterizado porque comprende: recibir, por un punto de acceso (AP) en la red, una solicitud del usuario para el acceso del usuario desde un dispositivo del cliente de conformidad con un protocolo de autenticación; enviar, por el AP, las credenciales del usuario a un servidor de autenticación en respuesta a la solicitud del usuario; recibir, por el AP, una respuesta de acceso desde el servidor de autenticación, la cual autentica el acceso del usuario para el dispositivo del cliente, la respuesta de acceso contiene un parámetro que tiene un valor del crédito indicativo de la longitud de acceso continuo disponible del dispositivo del cliente en la red con base en el crédito restante del usuario; transmitir, por el AP, una solicitud de re-autorización para el dispositivo del cliente en respuesta al valor de parámetro de crédito que alcanza un valor de umbral para provocar que ocurra la reautenticación del dispositivo del cliente con la red; y recibir desde el cliente y enviar, por el AP, las credenciales del usuario a un servidor de autenticación antes de otorgar otro acceso a la red por el dispositivo del cliente.
2. El método de conformidad con la reivindicación 1, caracterizado porque el parámetro comprende un parámetro de tiempo límite de sesión asociado con un protocolo de autenticación IEEE 802.1x.
3. El método de conformidad con la reivindicación 1, caracterizado porque además comprende transmitir por el servidor de autenticación, una respuesta de re-autenticación para re-establecer el acceso en la red con base en el valor del parámetro de crédito asociado con el dispositivo del cliente en el servidor de autenticación.
4. El método de conformidad con la reivindicación 3, caracterizado porque la respuesta de re-autenticación está con base en los resultados de una comparación del valor del parámetro de crédito con el valor de umbral por el servidor de autorización.
5. El método de conformidad con la reivindicación 1, caracterizado porque el valor del parámetro de crédito contenido en la respuesta de acceso está con base en uno de: a) el uso de tiempo; b) el uso del volumen de tráfico.
6. El método de conformidad con la reivindicación 1, caracterizado porque la red es una red de área local inalámbrica (WLAN) y además en donde el dispositivo del cliente es un dispositivo móvil de comunicaciones.
7. Un sistema caracterizado porque comprende: un punto de acceso para comunicarse con uno de una pluralidad de dispositivos del cliente a través de un canal de comunicaciones, el punto de acceso proporciona el acceso a una red con base en el dispositivo del cliente a través de un servidor de autenticación de conformidad con un protocolo de autenticación; en donde el punto de acceso también responde a una respuesta de acceso desde el servidor de autenticación, el cual autentica uno de los dispositivos del cliente que han solicitado el acceso a la red, la solicitud es enviada al servidor de autenticación a través de un punto de acceso, la respuesta de acceso contiene un parámetro que tiene un valor indicativo de la longitud de acceso continuo disponible del dispositivo del cliente con base en un indicador del crédito restante del usuario, para así provocar el punto de acceso para iniciar un proceso de re-autenticación luego de la expiración de un valor de umbral correspondiente al valor del parámetro, al requerir que el dispositivo del cliente vuelva a proporcionar las credenciales del usuario para permitir la re-autenticación del dispositivo del cliente antes de otorgar al dispositivo del cliente otro acceso a la red.
8. El sistema de conformidad con la reivindicación 7, caracterizado porque la red opera con el uso de un protocolo de autenticación 802.1x, y en donde el servidor de autenticación es un servidor de autenticación RADIUS y además en donde la red es una red de área local inalámbrica (WLAN) y el dispositivo del cliente es un dispositivo móvil de comunicaciones.
9. El sistema de conformidad con la reivindicación 7, caracterizado porque el valor del parámetro comprende un parámetro de tiempo límite de sesión.
10. El sistema de conformidad con la reivindicación 8, caracterizado porque el servidor de autenticación RADIUS contiene memoria para almacenar el indicador del crédito restantes del usuario.
11. Ei sistema de conformidad con la reivindicación 7, caracterizado porque el valor del parámetro contenido en la respuesta de acceso está con base en uno de: a) el uso de tiempo y b) el uso del volumen de tráfico.
12. El sistema de conformidad con la reivindicación 10, caracterizado porque en respuesta a una solicitud de reautenticación asociada con el dispositivo del cliente, recibida desde el AP, el servidor de autenticación recupera ei indicador del crédito restante del usuario y niega la re-autenticación del dispositivo del cliente cuando el indicador del crédito restante del usuario cae por debajo de un valor de umbral.
13. El sistema de conformidad con la reivindicación 12,. caracterizado porque el indicador del crédito restante del usuario comprende un sincronizador de crédito indicativo del saldo restante del crédito de la cuenta del usuario, el sincronizador de crédito disminuye de conformidad con el uso de acceso temporal en la red por el dispositivo del cliente.
14. El sistema de conformidad con la reivindicación 12, caracterizado porque el servidor de autenticación actualiza periódicamente el sincronizador de crédito de la cuenta del usuario en unidades de: a) el tiempo y b) el volumen de tráfico.
15. El método de conformidad con la reivindicación 1, caracterizado porque además comprende: calcular por el servidor de autenticación en respuesta a las credenciales del usuario, un valor del parámetro de tiempo límite de sesión con base en el crédito restante del usuario y los cargos de la red asociados con el dispositivo del cliente, el valor del parámetro de tiempo límite de sesión es indicativo de la longitud de acceso continuo disponible en la red; incrustar, por el servidor de autenticación, el valor del parámetro del tiempo límite de sesión en un mensaje de respuesta de acceso que autentica el dispositivo del cliente asociado para el acceso de red; activar, por el servidor de autenticación, un sincronizador de crédito que tiene un valor indicativo del saldo restante del crédito del usuario asociado con el dispositivo del cliente, el sincronizador de crédito disminuye de conformidad con el uso de acceso temporal; y recibir por el servidor de autenticación las credenciales del usuario en respuesta a una solicitud de re-autorización para re-autenticar el acceso de usuario para el dispositivo del cliente asociado, comparar el valor del sincronizador de crédito asociado con el dispositivo del cliente con un valor de umbral predeterminado, y determinar si el dispositivo del cliente se des-autentica para otro acceso en la red con base en la comparación.
16. El método de conformidad con la reivindicación 15, caracterizado porque comprende transmitir por el servidor de autenticación un mensaje de respuesta de des-autenticación al AP cuando el valor del sincronizador de crédito está por debajo del valor de umbral predeterminado.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US60/489,307 | 2003-07-22 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| MXPA06000819A true MXPA06000819A (es) | 2006-10-17 |
Family
ID=
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1647111B1 (en) | Method and apparatus for controlling credit based access (prepaid) to a wireless network | |
| US8196180B2 (en) | Authorization and authentication of user access to a distributed network communication system with roaming feature | |
| US7634446B2 (en) | Method and system for providing prepaid data service | |
| US20020116338A1 (en) | Prepaid access to internet protocol (IP) networks | |
| EP1875703B1 (en) | Method and apparatus for secure, anonymous wireless lan (wlan) access | |
| USRE45131E1 (en) | Network communication service with an improved subscriber model using digital certificates | |
| US7415268B2 (en) | Method and apparatus to provide charging for ad-hoc service provisioning between trusted parties and between untrusted parties | |
| US20040225898A1 (en) | System and method for ubiquitous network access | |
| US20030220994A1 (en) | Wireless network access system and method | |
| JP2008500666A (ja) | 無線サービスを提供する方法 | |
| WO2003096165A2 (en) | Paid access to a local area network | |
| WO2005036321A2 (en) | A system and method for accessing network and data services | |
| US20080194229A1 (en) | Method For Wireless Access To The Internet For Pre-Paid Users | |
| US7313381B1 (en) | Sim based authentication as payment method in public ISP access networks | |
| WO2003090025A2 (en) | Method of conducting business among entities participating in a system for distributed network authentication, access and aggregation | |
| KR100670791B1 (ko) | Aaa 서버에서의 확장형 권한 검증 방법 | |
| US20050044243A1 (en) | System for toll-free or reduced toll internet access | |
| EP1320236A1 (en) | Access control for network services for authenticating a user via separate link | |
| US7127428B2 (en) | Dynamic business relationship establishment in a public wireless LAN environment | |
| MXPA06000819A (es) | Metodo y aparato para controlar acceso con base de credito (pre-pagado) en una red inalambrica | |
| EP2066072B1 (en) | Method and apparatus for facilitating the remuneration for sharing connection resources in multihop networks |