Título

Método de identificación, autenticación y control de cobertura basado en el estándar Bluetooth®.

Objeto de Ia invención

El objeto de Ia presente invención es definir Ia forma en que, en un sistema de balizas que proporcionan cobertura Bluetooth®, cuando entran en cobertura, los distintos terminales son identificados, autenticados y provistos de servicios, además de cómo estos llevan a cabo el control del estado de su cobertura. La presente invención se engloba dentro del campo de las redes de telecomunicaciones.

Y más en concreto en Ia identificación y autenticación de los usuarios de telefonía móvil dentro de un sistema de balizas que proporcionan cobertura basada en el estándar Bluetooth®.

Antecedentes de Ia invención Es sabido que en el campo de telefonía móvil se utilizan frecuentemente abreviaciones y acrónimos. A continuación se expone un glosario de acrónimos/ abreviaciones, así como una serie de términos que son utilizados a Io largo de Ia presente memoria descriptiva y que pasan a ser definidos a continuación:

RF: radio frecuencia, - Bluetooth®: es Ia norma que define un estándar global de comunicación inalámbrica, que posibilita Ia transmisión de voz y datos entre diferentes equipos mediante un enlace por

RF.

Baliza: dispositivo que proporciona cobertura Bluetooth® a una zona y que gestiona el chequeo de credenciales de los distintos Usuarios (véase Autenticación -más adelante). - Dispositivo Bluetooth®: dispositivo móvil habilitado para usar Bluetooth®.

Terminal: dispositivo móvil con capacidades Bluetooth® que interactúa con Ia Baliza.

Usuario: persona que usa el Terminal.

Autenticación: es el proceso de determinar si un Usuario está autorizado para llevar a cabo una acción dada. Algunos sistemas de autenticación incluyen tanto identificación como autorización, mientras que otros solamente incluyen uno u otro. En este caso dado que el objetivo del sistema es simplemente identificar al Usuario e informarle de su estado de cobertura sólo será necesaria Ia identificación.

Cobertura: radio de acción en el que Ia Baliza es visible para un Terminal.

Perfil de Bluetooth®: servicios que ofrece un dispositivo Bluetooth®. - Credencial de Usuario: datos que identifican a un Terminal y que Ie permiten autenticarse con éxito contra una Baliza determinada.

Bluetooth® es Ia norma que define un estándar global de comunicación inalámbrica,

que posibilita Ia transmisión de voz y datos entre diferentes equipos mediante un enlace por RF. Este intercambio de voz y datos se realiza a través de Ia ejecución de los distintos servicios de los que los dispositivos disponen.

Bluetooth® define un procedimiento de descubrimiento de dispositivos Bluetooth®. De esta forma, un dispositivo Bluetooth® puede "ver" que otros dispositivos Bluetooth® tiene dentro de su alcance. Este descubrimiento no es automático en dispositivos móviles o en ordenadores, sino que es el usuario quien manualmente (o Ia aplicación) el que debe actualizar Ia lista lanzando el procedimiento que el estándar Bluetooth® proporciona para ello. La lista incluye el nombre que el usuario ha dado a su dispositivo, y que puede ser cualquier cadena ya que en un teléfono móvil el usuario es libre de cambiar el nombre Bluetooth® de su dispositivo, y también la dirección MAC Bluetooth®, un identificador único del dispositivo dado por el fabricante y que no se puede cambiar.

Una vez que un dispositivo Bluetooth® ha obtenido una lista de dispositivos vecinos, es decir que estén dentro de radio de acción, también dispone de Ia posibilidad de descubrir qué servicios expone cada uno de sus vecinos o de intentar conectarse directamente a algún servicio por medio del identificador de servicio. De nuevo es el usuario, o una aplicación, quién lanza Ia petición. Para llevar a cabo esta tarea ambos dispositivos (tanto el que consulta como el consultado) deben implementar el perfil "Aplicación de descubrimiento de servicio (Service Discovery Application (SDAP))" que les proporcionará un servicio de descubrimiento de servicios, valga Ia redundancia, que ambos dispositivos sabrán usar.

Los perfiles de Bluetooth® definen los servicios que un dispositivo Bluetooth® expone y cómo deben usarse. Esta definición asegura que dispositivos que implementan un mismo perfil pueden comunicarse sin problemas de interoperabilidad. A continuación siguen ejemplos de perfiles: - Acceso genérico (Generic Access (GAP))

- Aplicación de descubrimiento de servicio (Service Discovery Application (SDAP))

- Puerto serie (Serial Port (SPP))

- Red de marcado manual (Dial-up networking (DUN))

Bluetooth® define, a su vez, un procedimiento para descubrir dispositivos Bluetooth®.

De esta forma un dispositivo Bluetooth® puede sondear los dispositivos Bluetooth® que tiene a su alcance.

El estándar Bluetooth® define un procedimiento de autenticación basado en el emparejamiento de dispositivos. Dicho emparejamiento se produce solamente la primera vez que dos dispositivos se intentan conectar y sirve para que los usuarios permitan Ia conexión entre sus dispositivos Bluetooth® introduciendo un código común (PIN). En telefonía móvil, es el usuario el que decide si su dispositivo requiere de esta autenticación para aceptar peticiones

de conexión de otros dispositivos Bluetooth®. Si no se requiere emparejamiento, cualquier otro dispositivo Bluetooth® puede conectarse con el teléfono móvil del usuario. Se trata de un procedimiento, no obstante, bastante limitado dado que no permite el intercambio de datos adicionales (no es ni flexible ni polivalente), los códigos intercambiados no proporcionan un alto nivel de seguridad y, Io más importante, autentifica a nivel de dispositivo, no a nivel de servicio, de forma que una vez que dos dispositivos están emparejados cualquiera de sus servicios pueden intercambiar datos.

Tras realizar el emparejamiento dos dispositivos Bluetooth® ya que pueden empezar a intercambiar datos utilizando alguno de los servicios de que disponen. Bluetooth® utiliza un sistema de Frecuency Hopping, es decir, cambia cada cierto tiempo Ia frecuencia en Ia que emite, de esta forma trata de minimizar las interferencias de otros sistemas que emitan en bandas cercanas. Obviamente, cierta sincronización debe de producirse entre dos dispositivos conectados para utilizar siempre Ia misma frecuencia en un momento dado. Para ello

Bluetooth® dispone de un canal de servicio llamado sincronismo. Sin este canal Ia comunicación no puede producirse, Ia pérdida del canal de sincronismo ocasiona Ia caída de Ia conexión a un servicio.

La invención que describe Ia presente patente de invención se integra dentro de un sistema de balizas Bluetooth®. Dichas balizas están conectadas a una entidad central que les proporciona las credenciales de sus usuarios asociados. Así pues tenemos un sistema con los siguientes actores:

Una entidad central que envía las credenciales de usuario tanto a los terminales como a las balizas que constituyen el sistema.

Una red de balizas cada uno dotando de cobertura a una zona específica y almacenando las credenciales de todos los terminales asociados a esa baliza. - Un conjunto de terminales (dispositivos Bluetooth® adscritos al sistema, cada uno con una credencial por cada baliza en Ia que esté autorizado. Las balizas buscan continuamente terminales Bluetooth® adscritos al sistema, es decir, usuarios del sistema. Las balizas, por tanto, deben discriminar a los terminales adscritos del resto de dispositivos Bluetooth®. Sin embargo, los datos que Bluetooth® proporciona tras un descubrimiento de dispositivos no nos permiten discriminar: a. El identificador Bluetooth® del dispositivo es definido por el usuario, luego no es único, y puede ser cambiado en cualquier momento por éste. Además, no aporta ninguna información más allá de un nombre de usuario reconocible por el propietario. b. La dirección MAC Bluetooth® si es única, proporcionada por el fabricante, pero tampoco contiene información que nos permita identificar si el dispositivo es o no es un terminal del sistema. Para que fuera útil, el sistema

debería mantener y actualizar correctamente una base de datos con las direcciones MAC Bluetooth® de los terminales, Io cual complica excesivamente Ia provisión de los usuarios.

Un terminal detectado por Ia baliza, es decir, que ha pasado el filtro y que se reconoce como parte integrante del sistema, debe conocer inmediatamente su nuevo status de cobertura, Ia baliza a su vez, debe controlar qué terminales tiene en cobertura. Ambas entidades, baliza y terminal deben tener un control estricto de Ia cobertura (es decir, deben conocer al instante cualquier entrada o salida de cobertura del terminal). En Ia baliza, un procedimiento basado en descubrimientos periódicos de dispositivos podría ser un método válido para controlar Ia entrada y salida de terminales en cobertura. Este mismo método en el terminal se revela como inviable debido al excesivo gasto de batería que Ie supondría.

Una vez que la baliza ha detectado cuales son los usuarios reales del sistema, Ia baliza y terminales deben ser capaces de lanzar el procedimiento de autenticación de forma transparente al usuario. Esto permitirá que, al completarlo, ambas entidades conozcan si el terminal se encuentra en Ia zona definida por una bauza a Ia que está asociada o no. Llegados a este punto, el procedimiento de emparejamiento estándar de Bluetooth® es necesario como paso previo al intercambio de credenciales pero no puede ser sustituido por las siguientes razones: a. No se puede hacer de manera transparente al usuario. El usuario debe introducir su PIN en el teléfono. b. No se Ie puede añadir cifrado más allá del que proporciona Bluetooth® en la capa de transporte. c. No es extensible, no podemos hacer que envíe nuevos parámetros o datos que puedan ser necesarios en futuras versiones del sistema. A modo de ejemplo, se cita Ia solicitud de patente estadounidense US 2002/141586 en la que se describe un dispositivo y un método capaz de comunicarse con otras redes utilizando Bluetooth®, incluyendo al menos una funcionalidad de autenticación.

En Ia solicitud de patente japonesa JP-2003-333052 se describe una forma para proporcionar a terminales móviles servicios que dependen de la localización, utilizando una tecnología de corto alcance como Bluetooth®. Pero no se menciona ningún tipo identificación y autenticación especial de los terminales móviles para recibir esos servicios dependientes de posición.

Sin embargo, en ninguno de los antecedentes citados se solucionan los problemas antes indicados respecto a: - Identificación: Las balizas deben ser capaces de discriminar a los terminales propios del resto de dispositivos Biuetooth®. Control de cobertura: Entre Ia baliza y el terminal se debe conocer al instante

cualquier entrada o salida, de cobertura del terminal.

Autenticación: La baliza y los terminales deben ser capaces de lanzar el procedimiento de autenticación (de forma transparente al usuario) que permitirá, al completarlo, que ambas entidades conozcan si el terminal se encuentra en Ia zona definida por una baliza a Ia que está asociada o no.

Descripción de Ia invención

La invención se refiere a un Método de identificación, autenticación y control de cobertura según Ia reivindicación 1. Realizaciones preferidas del método se definen en las reivindicaciones dependientes.

La presente invención se refiere al método usado para realizar Ia identificación, autenticación y control de cobertura de dispositivos Bluetooth® adscritos a un sistema que consta de diferentes balizas conectadas a una entidad central que les proporciona las credenciales de sus usuarios asociados. Así pues, tenemos un sistema con que comprende: - Una entidad central que envía las credenciales de Usuario tanto a los Terminales como a las Balizas que constituyen el sistema.

- Una red de Balizas cada una dotando de cobertura a una zona específica y almacenando las credenciales de todos los Terminales asociados a esa Baliza.

- Un conjunto de Terminales (dispositivos Bluetooth® adscritos al sistema) cada uno con una credencial por cada Baliza en Ia que esté autorizado.

Para Ia identificación de los terminales, se define un perfil Bluetooth® que todos los terminales tienen Ia obligación de implementar. Dicho perfil incluye dos servicios: el servicio de autenticación, que usaremos como vía para intercambiar las credenciales de usuario, y el servicio de control de cobertura, que usaremos para monitorizar las pérdidas de cobertura de forma inmediata. Ambos servicios tienen un identificador de servicio único e igual en todos los dispositivos.

Una vez que el dispositivo Bluetooth® ha sido detectado por Ia baliza, ésta trata de conectarse al servicio de cobertura del dispositivo, usando el identificador de servicio único definido para ese servicio. Si Ia petición de conexión fracasa, entonces el dispositivo Bluetooth® no es un terminal propio. Si por el contrario, Ia baliza consigue conectarse al servicio identificado por dicho identificador de servicio Io siguiente que tiene que hacer es asegurarse de que realmente se trata del servicio de control de cobertura y no de uno con el mismo identificador de servicio, para ello se intercambian dos mensajes, uno de servicio disponible de Ia baliza al terminal y otro de respuesta desde el terminal a Ia baliza. Una vez completo este proceso, sabemos si el dispositivo Bluetooth® es, o no, un terminal. En el caso que Io sea, estamos conectados a su servicio de control de cobertura.

Las ventajas que ofrece este sistema son, por un lado, Ia posibilidad de discriminación

de los terminales del resto de dispositivos Bluetooth® ya que los terminales dispondrán (desde fábrica) de unos servicios Bluetooth® determinados con unos identificadores de servicio únicos, donde dichos identificadores no podrán cambiarse sin mediar una reconfiguración del software interno del terminal no accesible al usuario. Por tanto, no es posible dejar al terminal indetectable ante una baliza por parte de un usuario.

Otra ventaja que ofrece es que Ia baliza permite discriminar a los terminales del resto de dispositivos Bluetooth® sin apenas colaboración de éstos. Esto significa un ahorro de energía de Ia batería de los dispositivos, que en este campo de Ia técnica es un parámetro crítico de desarrollo. Una tercera ventaja es que Ia baliza nunca intentará emparejarse con un dispositivo

Bluetooth® ajeno al sistema, ya que previamente deberá haber identificado al terminal como tal. El procedimiento es como sigue:

- Si al tratar de conectarse al servicio de control de cobertura del dispositivo Bluetooth® da error, el dispositivo no se entera y Ia baliza comprueba que no se trataba de un terminal.

- Si no da error entonces, y sólo si es Ia primera vez que ambas entidades se ven, Bluetooth® iniciará el procedimiento de emparejamiento estándar. El usuario introducirá el PIN predefinido y el proceso continuará normalmente hasta que se complete Ia conexión. El servicio de control de cobertura es un servicio de aviso. En este servicio no se intercambian más datos tras Ia identificación del terminal. Sin embargo, ambos baliza y terminal deben monitorizar el estado de dicho canal muy cuidadosamente ya que el momento en que el terminal salga de cobertura, el canal de sincronismo Bluetooth® caerá, el servicio de control de cobertura, a su vez, también caerá, generando un evento que ambos dispositivos serán capaces de capturar (error en Ia conexión), conociendo así, inmediatamente, que Ia cobertura se ha perdido.

Las ventajas que ofrece el servicio de control de cobertura son, por un lado, Ia simplificación de ese control, dado que Ia monitorización del servicio de cobertura hace innecesario un sistema basado en pings o en sucesivas ejecuciones del servicio de descubrimiento de dispositivos, más complicados de mantener e implementar.

Por otro lado, permite tanto a Ia baliza como al terminal detectar las pérdidas de cobertura instantáneamente, capturando el evento de "error en Ia conexión de servicio" en lugar de ejecutando sucesivamente el servicio de descubrimiento de dispositivos o usando un sistema basado en pings, con los errores de latencia asociados y con el consumo de energía de Ia batería que supondría.

Finalmente, permite agrandar Ia zona bajo cobertura de Ia baliza dado que al no existir intercambio de datos Ia desconexión del servicio de cobertura sólo depende de Ia disponibilidad

del canal de sincronismo del propio sistema, optimizada según el estándar Bluetooth® y más estable que una conexión con datos que hay que procesar e interpretar, como pudieran ser los píngs.

La autenticación, ocurre tras asegurar que el dispositivo Bluetooth® se trata de un terminal y asegurar su control de cobertura. El siguiente paso es comprobar si se trata de un terminal asociado a esta baliza o no. Para ello, Ia baliza lanza el proceso de autenticación. Es decir, se conecta al servicio de autenticación que el terminal debe exponer necesariamente, ya que es un dispositivo asociado al sistema. En el proceso de autenticación se intercambian cuatro mensajes: Mensaje 1: La baliza Ie manda al terminal su identificador de baliza, y Ie pide que Ie mande sus credenciales de usuario.

Mensaje 2: El terminal recoge el identificador de Ia baliza y busca Ia credencial asociada a ese identificador. Una vez que Ia encuentra Ia envía de vuelta a Ia baliza para que ésta Ia compruebe. Mensaje 3: La baliza comprueba Ia credencial contra su base de datos de usuarios y envía de vuelta un mensaje al terminal, informándole del resultado de dicha comprobación (OK o KO).

Mensaje 4: El terminal conoce, por fin, si está en su baliza y Ie devuelve un ACK

(reconocimiento o acknowledgemenf) a Ia baliza. Las ventajas de Ia autenticación son, en primer lugar, que define una única manera de intercambiar los datos con Ia baliza, de forma que sólo los terminales puedan hacerlo de forma totalmente transparente al usuario.

Otra ventaja es que es extensible, es decir, que se pueden añadir nuevos parámetros para intercambiar o más seguridad si es necesario. Del mismo modo, permite una autenticación adicional al emparejamiento Bluetooth® definido por el estándar. Es decir, permite una autenticación a nivel de aplicación, sea cual sea Ia aplicación a Ia que de servicios con este método. El uso de esta autenticación es, por tanto, más flexible, permitiéndose realizar re-autentificaciones periódicas o arbitrarias transcurrido cierto tiempo y disparadas por Ia baliza.

Breve descripción de los dibujos

A continuación se pasa a describir de manera muy breve una serie de dibujos que ayudan a comprender mejor Ia invención y que se relacionan expresamente con una realización de dicha invención que se presenta como un ejemplo ilustrativo pero no limitativo de ésta. La figura 1 muestra un esquema del sistema con el método objeto de Ia presente invención implementado.

Descripción de una realización preferida de Ia invención

Como es posible observar en las figuras adjuntas, el sistema donde está implementado el método de identificación, autentificación y control de cobertura comprende: - Una entidad central: Envía las credenciales de usuario tanto a las terminales [1] como a las balizas [2].

Una red de balizas [2]: Cada una dota de cobertura [3] a una zona específica y almacena las credenciales de todos los terminales [1] asociados a esa baliza [2]. Un conjunto de terminales [I]: Los terminales [1] son dispositivos Bluetooth® [4] adscritos al sistema, cada uno con una credencial por cada baliza [2] en Ia que esté autorizado.

Para los terminales [1] se define un perfil que incluye dos servicios, con un identificador de servicio único e igual para todos los dispositivos [4]. Estos servicios son: - El servicio de autentificación [5]: Es usado como vía de intercambio de credenciales de usuario.

El servicio de control de cobertura [6]: Es usado para monitorizar las pérdidas de cobertura de forma inmediata.

Cuando el dispositivo Bluetooth® [4] es detectado por Ia baliza [2], se intenta conectar al servicio de cobertura del dispositivo [4], usando el servicio de identificador de servicio único definido por este servicio. Pueden ocurrir dos cosas:

Conexión: Entonces se asegurará de que realmente se trata del servicio de control de cobertura y no de uno con el mismo identificador. Se intercambian dos mensajes, uno de servicio disponible de Ia baliza [2] al terminal [1] y uno de respuesta del terminal [1] a Ia baliza [2]. Con ello sabremos si el dispositivo Bluetooth® [4] es un terminal [1] propio del sistema. En el caso que Io sea, estamos conectados a su servicio de control de cobertura [6]. - No conexión: El dispositivo Bluetooth® [4] no es un terminal [1] propio del sistema.

El servicio de control de cobertura [6] es un servicio de aviso. En este servicio [6] no se intercambian más datos tras Ia identificación del terminal [1], sin embargo, ambos baliza [2] y terminal [1] deben monitorizar el estado del canal de sincronismo Bluetooth® ya que en el momento en que el terminal [1] salga de cobertura [3], este canal caerá, al igual que el servicio, generando un evento de "error en Ia conexión" que ambos dispositivos [1] y [2] serán capaces de capturar, conociendo de este modo que Ia cobertura [3] se ha perdido.

Tras Ia determinación de que el dispositivo Bluetooth® [4] efectivamente es un

terminal [1], y asegurar su control de cobertura, el método objeto de Ia presente invención describe Ia siguiente etapa, que es el proceso de comprobación de Ia adscripción del terminal [1] a Ia baliza [2]. Para ello, en primer lugar, Ia baliza [2] lanza el proceso autentificación, es decir, se conecta al servicio de autentificación [5] del terminal [I]. En este proceso, se intercambian cuatro mensajes:

Mensaje 1: La baliza [2] Ie manda al terminal [1] su identificador de baliza [2], y Ie pide que Ie mande sus credenciales de usuario.

Mensaje 2: El terminal [1] recoge el identificador de Ia baliza [2] y busca Ia credencial asociada a ese identificador. Una vez que Ia encuentra, Ia envía de vuelta a Ia baliza [2] para que ésta Ia compruebe.

Mensaje 3: La baliza [2] comprueba Ia credencial contra su base de datos de usuarios y envía de vuelta un mensaje al terminal [1], informándole del resultado de dicha comprobación (OK o KO).

Mensaje 4: El terminal [1] conoce, por fin, si está en su baliza [2] y Ie devuelve un ACK (reconocimiento o acknowledgemenή a Ia baliza [2].