CN100366007C - 用于在无线局域网接入的基于sim的鉴权和加密的系统、设备和方法 - Google Patents
用于在无线局域网接入的基于sim的鉴权和加密的系统、设备和方法 Download PDFInfo
- Publication number
- CN100366007C CN100366007C CNB028288793A CN02828879A CN100366007C CN 100366007 C CN100366007 C CN 100366007C CN B028288793 A CNB028288793 A CN B028288793A CN 02828879 A CN02828879 A CN 02828879A CN 100366007 C CN100366007 C CN 100366007C
- Authority
- CN
- China
- Prior art keywords
- authentication
- point
- access controller
- protocol
- wireless terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2858—Access network architectures
- H04L12/2859—Point-to-point connection between the data network and the subscribers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/005—Discovery of network devices, e.g. terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Abstract
本发明涉及一种系统、设备和方法,用于对接入WLAN的用户进行基于SIM的鉴权以及用于保护终端设备和移动网络之间的路径的层2加密机制,而无需提供IP连接。因此,本发明提供了一种方法,用于针对终端和接入控制器之间的AKA对话建立PPP通道,所述接入控制器用于接入属于SIM的移动网络。本发明还提供了一种接入控制器(AC),包括以太网点对点(PPPoE)服务器,用于针对相同目的挖掘在终端种安装的AKA对话形式的PPP客户,还包括业务路由器和RADIUS客户。因此,将包括RADIUS客户的AC插入到从WLAN种的接入点(AP)接入的RADIUS代理和其中执行基于SIM的鉴权的移动网络之间。
Description
技术领域
一般地,本发明涉及在无线局域网环境中的鉴权和加密机制。更具体地,本发明关于针对基于SIM的鉴权和第2层加密机制的设备、系统和方法,用于保护来自上层终端设备的通信路径。
背景技术
在1999年,IEEE公布了速率为11Mbps的用于无线局域网接入的802.11b规范。该标准得到工业界的广泛支持并在企业公司和例如机场、饭店、咖啡馆等的公共接入集中的地区具有巨大的安装基础。
802.11b标准在一定程度上提出了鉴权、接入控制机制和机密性,但是仅限于无线路径。在此方面,该标准中定义了两种鉴权方法,即“开放系统”和“共享密钥”。
当使用开放系统时,终端设备(TE)中的WLAN卡宣布其希望与WLAN接入点(下文中缩写为AP)进行关联。不进行鉴权,只是应用一些基本的接入控制机制,例如媒体接入控制(MAC)滤波器和服务设置标识符(SSID)。
设置这些MAC滤波器以进行工作,以便只允许其MAC地址属于例如接入控制列表的由AP保存的列表的WLAN卡与AP进行关联。这种接入控制机制具有有限的效用,由于要关联的实体的身体实际上不属于用户,而是属于设备自身。如果终端或卡被盗,则没有基于用户的鉴权以防止使用被盗的设备接入到资源。此外,由于WLAN卡的MAC地址总是在WLAN帧的头标出现,所以MAC地址欺骗是一种微不足道的攻击。这是特别有关系的,因为市场上的大多数WLAN卡仅通过软件手段就能改变其MAC地址。
另一个接入控制机制是前述的服务设置标识符(SSID),其为文字数字码,用来识别终端设备(TE)要关联的WLAN的情况。给定的AP仅允许提供了正确的SSID的WLAN卡进行关联。然而,由于通常由AP对此标识符进行广播,甚至没有改变由销售商设置的默认值时,该接入控制机制就因为会出现许多众所周知的攻击而再次无用了。
上述的第二个鉴权方法是所谓的共享密钥。将此过程嵌入在由有线对等秘密(WEP)标准提供的基本机密机制中,所述标准是基于RC4的对称加密算法。如此通过利用应答响应机制来执行鉴权,在该机制中,作为两方的WLAN卡和AP显示出拥有相同的密钥。然而,将该密钥安装并存储在终端设备(TE)中,因此其遭遇到与讨论MAC滤波器时所描述的同样的缺点。
此外,近年来发表的大量论文示出了机密机制本身的基础缺陷,即,WEP标准的缺陷。由于在WEP帧中以明文发送算法的初始化矢量,这些缺陷首先是静态WEP标准密钥的使用,其使得攻击者发现密钥本身。例如,仅查看通信量的WLAN卡的许多被动攻击也可以推导出密钥。
开始时,似乎仅利用更好的密钥管理来更新密钥并增加其长度,例如从40位到128位,算法能够更安全或至少足够安全到获得可接受的安全性。但是,越来越多的近来的报告已经证实这样的算法设计不能提供可接受的安全水准。
现在,工业界和代表性讨论会作出了努力来解决目前应用标准中的缺陷。当前IEEE正在定义新标准来改善现有的802.11b标准的鉴权机制,将该结果公布为所谓的802.1x标准:“基于端口的网络接入控制”,但是该工作尚未完成。此外,该方法只考虑到鉴权,因此仍需要合适的机密算法。在此方面,当前趋势提出基于所谓的高级加密系统(AES)协议的协议可以取代WEP。然而,正如802.1x中提出的基于端口的鉴权机制,其对TE操作系统和在AP的应用软件中具有显著的影响,这是由于802.1x只是寻求基于WEP的鉴权机制的替代品和WEP本身。
简而言之,由于将不得不取代或至少升级给定WLAN的所有AP,则将仍具有上述缺陷的新标准802.1x的大量采用将引起在WLAN设备上新的投资。此外,稍微显而易见的是,任何WLAN机密机制只提供对无线路径的保护,即在WLAN卡和AP之间路径的保护。然而,根据没有加密AP之外的相应以太网业务。
因此,此阶段本发明的重要目的是提供设备和方法,用于允许WLAN用户的有效的鉴权机制以及贯穿从所述用户的终端设备开始的整个通信路径的完全加密机制。
简而言之,正如以上广泛所述,当将WLAN卡的物理MAC地址用于鉴权TE时,当前的WLAN应用标准,即802.11中的鉴权不存在,或鉴权基于设备。从适于维护可接受的安全性的不同小区中没有发现通过例如以其不稳定而知名的WLAN中的WEP协议获得的加密,对于大量特定配置而言这显然是无法实现的。
作为对比,例如GSM,GPRS,或UMTS的传统或新的公共陆地移动网络中的鉴权是利用SIM卡和一套证明安全的协议和称为“鉴权和密钥许可协议”(以下简称为AKA)的算法来实现的。由于针对个人应用而设计SIM并且通过PIN对其进行保护,因此所谓的基于SIM的鉴权是基于用户的。
现在,移动运营商想要通过宽带接入扩展其在接入网络中的供应商品,并且主要由于在WLAN中未许可的频谱带的使用,WLAN技术使直到11Mbps的访问速率成为可能,同时保持极低的使用成本。移动运营商能够通过安装其自身的WLAN或通过签署同意现有的WLAN运营商来实现,但是无论怎样,安全性的要求至少应该和在移动接入运营商的核心网络的环境下一样强。
为了实现该目的,WLAN运营商必须提供暗示拥有SIM卡的鉴权和加密机制。必须由移动运经营商来发行该SIM卡并且该SIM是与用于移动接入的相同的SIM,或是只为WLAN接入的目的而发行的SIM。
由第三方经营的传统WLAN也可具有其自身的本地用户,并且针对所述本地而进行的鉴权完全由WLAN的运营商负责。例如,本地用户的鉴权可能只是根据用户身份加上密码,或甚至根本没有安全性。但是,对于那么移动运营商的订购用户,通过所述的WLAN的鉴权和其它安全性问题应当与其在移动运营商的网络中问题是相同的。另一方面,只通过移动运营商使用和运营的WLAN应该拒绝接入不属于该移动运营商的用户,并且应该只执行基于SIM卡的鉴权机制。
然而,任何试图在WLAN中引入新的和更安全的用于鉴权和加密的机制都必须针对在当前的WLAN方案中产生尽可能少的影响。
标题为“Arranging Data Ciphering in a WirelessTelecommunication System”的美国专利申请公开2002/0009199中描述了相当令人感兴趣的尝试,以解决上述问题。基于该申请的教导也介绍了一种基于SIM的鉴权方案。
然而,基于SIM的鉴权方案用于导出密钥,用作802.11本地WEP算法的密钥,用于TE和AP之间的通信加密。在现有WEP容量上该申请引入的主要优点是增加了每段时间更新一次密码的新机制。此外,该申请基本是现在的WEP标准的修改版,并没有解决上述的原始WEP版的基本问题。
然而,工业上的不同部门已经估计到公知的WEP攻击能在少于两个小时内猜到WEP密码。显然,与原始WEP版相同,如果WEP密码是静态的并且从来不更新,那么问题会非常重大。结果,利用美国2002/0009199中介绍的方法,将问题限定在给定的会话持续时间的界限内,而且,如果会话延长超过几个小时,就会产生前述的问题。对于那些在当前公共陆地移动网络发现的网络,提供同样的安全水平显然是不够的。
在此方面,本发明的目的是为实现更高的安全水平,允许运营商选择能够更好满足其安全需求的加密算法。注意,在安全水平和性能之间通常存在平衡。因此,以下可以是本发明所考虑的其它目的:例如具有128、168和256位等长度的支持密钥的附加特征;以及支持例如AES等最新的最安全的算法,和密钥旋转过程。
此外,根据上述申请美国2002/0009199,由于WEP只适用于无线路径,加密路径是从移动终端到AP。在此方面,支持在AP以外建立的加密路径以及还覆盖WLAN的有线部分是本发明的另一个目的。
此外,美国2002/0009199教导在运行鉴权处理之前完成IP地址的分配,因此,恶意用户可能会发起一整套公知的攻击。然而,如果用户在有效地进行鉴权之前没有办法得到IP连接,将很大程度地减小风险。因此,本发明的另一个目的是提供一种鉴权机制,在IP连接到所述用户这前用于对用户执行鉴权。
另一方面,专利申请美国2002/012433和WO 01/76297通过一些共有的典型实施例公开了一种系统,其中无线适应终端能通过无线IP接入网络连接到家庭移动网络。该家庭移动网络用于以基于SIM的鉴权来鉴权用户,而无线IP接入网络允许用户一旦被鉴权就接入因特网。该无线终端,无线IP地址网络和移动网络均利用移动IP协议进行通信。系统还包括公共接入控制器,用于控制来自无线接入网络的连接到因特网服务的接入。该公共接入控制器将IP地址分配给无线终端,在建立到因特网的连接之前鉴权该无线终端,并且在无线终端和家庭移动网络之间中继鉴权消息。此外,无线终端和公共接入控制器之间的接口是基于接口的IP,其中公共接入控制器和无线终端通过各自IP地址互相识别。公共接入控制器和无线终端利用基于IP的协议这一事实使得有必要从最初就向无线终端分配IP地址,在建立安全信道通信之前,将该IP地址从公共接入控制器发送到无线终端。因此,由于存在在执行鉴权步骤之前进行分配IP地址的事实,所以出现了与上述申请US2002/0009199同样的问题,因此恶意用户可能发动一整套众所周知的攻击。
总之,本发明一个重要的目的是提供一种系统、设备和方法,用于允许有效的基于SIM的用户鉴权和为订购了公共陆地移动网络的WLAN用户建立起始于TE的完全加密路径。另一个具体的重要目的是可以在IP连接到所述用户之前执行基于SIM的用户鉴权。
本发明的另一个目的是支持可变长度的密钥、在运营商选择下使用安全算法和提供密钥旋转过程。
本发明的另一个目的是在最小影响传统WLAN的环境下实现之前的目的。
发明内容
利用一种方法来实现本发明的目的,通过数据链路层(layer=2)鉴权机制,对作为公共陆地移动网络的订户的无线局域网用户进行基于SIM的鉴权。该方法重要的方面在于当鉴权处理成功完成时,只将IP连接提供给用户。
根据本发明的电信系统中的方法,用于允许针对作为公共陆地移动网络订户的无线局域网用户进行基于SIM的鉴权,该方法包括步骤:(a)无线终端通过可接入的接入点接入无线局域网;(b)该无线终端发现插入在接入点和公共陆地移动网络之间的接入控制器;(c)在无线终端和公共陆地移动网络之间通过该接入控制器执行询问-响应鉴权过程,无线终端配备有SIM卡并适于读取其数据;其中步骤(c)中的询问-响应鉴权过程的提交在向用户提供IP连接之前发生,在以下组件中携带所述询问-响应鉴权过程的提交;在无线终端和接入控制器之间的点对点层2协议上;以及在位于公共陆地移动网络和接入控制器之间的应用层处的鉴权协议上;以及所述方法还包括步骤:(d)一旦公共陆地移动网络对所述用户有效地进行了鉴权,则通过发送已分配的IP地址和其它网络配置参数来向无线终端处的用户提供IP连接。
根据本发明的电信系统中的接入控制器,所述系统包括具有至少一个接入点的无线局域网,公共陆地移动网络和至少一个提供有SIM卡并适于读取其用户数据的终端设备,其中所述接入控制器包括:(a)点对点层2协议服务器,用于与无线终端进行通信,并且被安排用来为询问-响应鉴权过程建立隧道;(b)位于OSI应用层的鉴权协议,用于与公共陆地移动网络进行通信;以及(c)向无线终端发送已分配的IP地址和其它网络配置参数的装置,用于在电信系统的终端设备和公共陆地移动网络之间成功地执行询问-响应鉴权过程之后提供IP连接。
本发明还提供一种具有用于执行询问-响应鉴权过程的装置的无线终端,该无线终端包括以下用途:用作为点对点层2协议客户并且在所述点对点层2协议上具有可扩展鉴权协议,在执行了一个成功的询问-响应鉴权过程之后接收一个IP地址,该IP地址可用于获得IP连接。
本发明还提供一种电信系统,包括具有至少一个接入点的无线局域网,公共陆地移动网络和至少一个提供有SIM卡并适于读取其用户数据的终端设备,其中所述系统还包括如上所述的接入控制器,用于允许对作为公共陆地移动网络的订户的无线局域网用户进行基于SIM的用户鉴权。
因此,利用一种方法来实现本发明的目的,其中,无线终端发现可接入的接入点并请求与无线局域网进行关联,而接入点接受了该请求。然后,无线终端开始寻找插入在接入点和公共陆地移动网络之间的接入控制器。
然后,无线终端在点对点层2协议上立即将用户标识符发送到接入控制器,所述控制器将在点对点层2协议上接收的用户标识符向上移动到应用层处的鉴权协议。
接下来,接入控制器将用户标识符发送到公共陆地移动网络处的鉴权网关,以发起鉴权过程。
首先,开始鉴权处理,接入控制器接收通过鉴权网关来自公共陆地移动网络的鉴权询问;并在应用层处将在相同协议上接收的鉴权询问向下移动在点对点层2协议上。为了得到鉴权响应,由接入控制器将鉴权询问发送给无线终端。
然后,无线终端可以在点对点层2协议上立即将鉴权响应发送给接入控制器,接入控制器将在点对点层2协议上接收的鉴权响应向上移动到应用层处的鉴权协议。从接入控制器将鉴权响应发送到鉴权网关,所述接入控制器通过鉴权网关接收来自公共陆地移动网络的加密密钥。
接下来,为了利用无线终端进一步加密通信路径,接入控制器提取在应用层处的协议上接收的加密密钥;以及接入控制器将分配的IP地址和其它网络配置参数发送到无线终端。
这种设置的优点在于,与无线电通信网络使用的相类似,在整个通信路径中,移动终端添加了安全的鉴权机制,这意味着在无线路径和有线路径上获得了机密性。运营商能够扩展其接入网络,以非常低的成本提供局域的宽带接入(11Mbps)。
此外,为了实现本发明的目的,提供了一种接入控制器,包括位于OSI层-2中的点对点服务器,用于与无线终端进行通信;以及位于OSI应用层的鉴权协议,用于与公共陆地移动网络进行通信。此外,该接入控制器还包括传送装置,用于将在点对点层-2协议上接收的信息向上传送到应用层处的适当鉴权协议。同样,接入控制器还包括传送装置,用于将在应用层处的鉴权协议上接收的信息向下传送到在点对点层2协议之上。
为了充分实现本发明的目的,还提供了一种无线终端,包括用途,作为点对点层2协议客户并且在点对点层2协议上具有可扩展的鉴权协议。
本发明提供的总体解决方案提供了一种通信系统,包括无线局域网,所述无限局域网包括至少一个接入点、公共陆地移动网络、如上所述的至少一个无线终端和上述的接入控制器。
附图说明
结合附图,通过阅读此描述,本发明的特征、目的及其优点将变得显而易见,其中:
图1示出了一个优选实施例,其中,通过利用移动和非移动用户能够接入的WLAN接入的传统移动网络用户如何可以被其自身的移动网络鉴权,以及如何具有从TE到自己的移动网络的加密路径。
图2示出了与图1相比简化的结构,其适用于仅仅由公共陆地移动网络的用户接入的WLAN。
图3是示意性地示出包括PPPoE服务器和RADIUS客户机的接入控制器的实施例,其中存在可扩展的鉴权协议。
图4基本上示出了从TE到移动网络并贯穿WLAN实体而执行的动作的典型序列,以执行基于SIM的用户鉴权。
具体实施方式
下面将描述装置、方法和系统的当前的优选实施例,用于允许有效的基于SIM的用户鉴权并用于针对作为公共陆地移动网络的订户的WLAN用户,建立始于TE的完全的加密路径。根据本发明的一个方面,在IP连接所述用户之前执行该基于SIM的用户鉴权。
因此,示出了通用环境的图1示出了优选实施例的总体框架,其中公共陆地移动网络(GSM/GPRS/UMTS)的订户和其它本地非移动用户接入了无线局域网(WLAN)。图1所示该通用环境提出了针对将对现有传统WLAN的影响减少到最小的特别简单的结构,以便实现本发明的一个目的。该相当简单的结构涉及不同的来自WLAN和来自公共陆地移动网络的实体,将在下文进行描述。此外,图2示出了根据本发明的另一个实施例的更简化的结构,用于WLAN只接入公共陆地移动网络的订户和没有本地WLAN用户。
图1和图2中的第一实体是终端设备(TE),其配备有必要的硬铁和软件来与用户SIM卡连接,并且根据鉴权和密钥许可协议(AKA)发送和接收所需的信令信息。TE还包括必要的软件来实现以太网上点对点(PPPoE)协议、客户端、从而是RFC2516的点对点协议,
这种PPPoE客户包含的内容允许在WLAN域中建立与特定服务器的点对点协议(PPP)会话。这是一个非常便利的实施例,以便影响现有的鉴权机制,例如可扩展的鉴权协议(EAP),和加密协议,例如根据REC 1968的PPP加密控制协议(以下称之为“加密的PPP”),沿着WLAN的有线部分扩展了加密路径,从而提供了更高的安全水平。例如PPPoE客户的组件是针对所建议的解决方案的核心部分。
根据802.11b标准,图1和图2的环境中的其它实体用作普通标准无线基站的接入点,没有任何附加逻辑电路。与其它可能的解决方案不同,如关于成为标准的802.1x所解释的,本发明提供的方法允许重新使用现有的廉价硬件,没有必要替换或升级在WLAN中的所有AP的硬件。由于与在PPPoE层上执行的安全机制相比,这些WEP自身提供了一点安全,因此,在关闭WEP支持时,可以在该环境下运行这些不变的AP。
根据本发明的一个方面,提供了新的实体,图1和图2中的接入控制器(下文称之为AC)均包括所需的PPPoE服务器功能。通过PPPoE协议中的嵌入机制,即通过由广播消息发起的握手,终端设备(TE)自动地发现该PPPoE服务器。该接入控制器(AC)还包括RADIUS客户功能,其负责收集通过在PPP上携带的EAP属性所接收的客户资格,并且还负责通过现在在RADIUS消息上携带的EAP属性,将其发送到传统的WLAN鉴权服务器(WLAN-AS)。同样,该接入控制器(AC)的组件也是为实现本解决方案的目的的核心部分。
接入控制器和前述的内嵌于终端设备的PPPoE客户都是协同工作的实体,用于接通询问-响应鉴权过程和建立加密路径。
仅在图1所示的最通用环境中示出的其它实体是WLAN-鉴权服务器(WLAN-AS),用于实现不属于移动运营商的本地WLAN用户的本地认证者服务器的功能,因此,可以通过例如普通用户和密码匹配的其它方法鉴权用户。当在公共陆地移动网络运营商的域内接收来自接入控制器的鉴权信息并将之转发到鉴权网关(下文称之为AG)时,该WLAN-AS还起到RADIUS代理的作用。
出于本发明的目的,只需要WLAN-AS,以便鉴权不是公共陆地移动网络的移动订户的自身的WLAN用户。结果,用于只接入移动网络的订户的WLAN可以去除该实体而不会影响所述移动订户的鉴权和加密路径的建立以及本发明的范围。在此方面,图2示出了一个简化结构的实施例,用于如上所述WLAN只接入公共陆地移动网络的订户,因此,其中不包括WLAN-AS。
图1和图2的环境所包括的其它实体是鉴权网关(以下称之为AG),其可以独自或共同作为归属位置寄存器(HLR),用于存储移动订户用户数据。在运营商的域内,该鉴权网关(AG)独自或与HLR结合作为鉴权后端服务器并负责根据针对传统或例如GSM、GPRS和UMTS的新公共陆地移动网络的AKA协议产生鉴权矢量。这些组件,即AG和HLR可以是通过移动应用部分(MAP)协议相互通信的物理上分离的实体,或者是作为RADIUS服务器和具有内嵌的用户数据库的单一的逻辑实体,用于实现AKA中必需的算法,如公知的A5、A8等。因此,在后者的方法中,与HLR的通信无需如图2中典型所示。
总之,接入控制器、嵌入在终端设备中的前述PPPoE客户和鉴权网关是实现本发明目的的核心实体。对于这些实体的功能的描述仅是示例性的和非限制性的方式。
参考开放系统互联(OSI)模型,图3示出了接入控制器(AC)涉及的不同协议层。位于IP层的下面的PPPoE服务器包括自然位于以太网层之上的PPPoE协议层,其具有内嵌的前述EAP。同样,RADIUS客户具有内嵌EAP的RADIUS协议层,其位于UDP层之上,该两层位于IP层之上。
另一方面,下面将参考图4所示的动作序列,对其中不同元件根据当前优选实施例来执行本发明的某些方面的方式进行描述。
前述的终端设备(TE)配备有移动终端适配器(MTA),允许接入移动终端携带的SIM卡。该TE具有收发信机,用于和WLAN的AP的通信(C-401,C-402),并包括合适的软件栈,以根据RFC2516来执行PPPoE协议。
接入控制器(AC)具有嵌入的PPPoE服务器。通过PPPoE客户来发现PPPoE服务器是该协议自身的整体部分(C-403,C404,C405,C406)。PPP链路上由TE使用的身份是网络接入标识符(NAI),其通过用户输入来建立需要的拨号会话,所用的范围是识别作为给定的移动运营商的订户的用户。由于通过其它方法来完成鉴权,因此不需要密码。可选择的,代替发送NAI,可以从SIM卡取得IMSI并作为用户身份发送。如果在明码电文中发送IMSI是可接受的(一般不使用明码发送IMSI),则应当只能使用该方式。
当在EAP机制的帮助下接收到用户身份时,接入控制器(AC)具有RADIUS客户,用于将鉴权信息发送(C-409)到WLAN-AS服务器。在PPP和RADIUS上运行可扩展的鉴权协议(EAP),以便在TE和AG之间传送鉴权信息。要在EAP中使用的鉴权机制可以是针对公共陆地移动网络的传统的AKA。如上所述,WLAN-AS针对常规WLAN用户用作鉴权服务器,其鉴权不是基于SIM的,而对于用户的NAI领域部分将其识别为移动网络的订户,从而使用基于SIM的鉴权的这些用户,其作为鉴权代理服务器。然后,当作为鉴权代理服务器时,WLAN-AS将接收到的鉴权信息转发(C-410)到鉴权网关(AG)。
当鉴权网关接收到(C-410)鉴权请求时,通过利用MAP接口来要求HRL提供三维或五维的鉴权矢量(C-411)。为了该任务,鉴权网关(AG)必须了解已经在RADIUS消息中发送其NAI的订户的IMSI。例如,可以通过在目录数据库中查找来发现该IMSI。HLR以所请求的鉴权信息(C-412)来回应用户。
然后,AG封装在EAP属性中的鉴权矢量的RAND分量并在RADIUS消息中将其通过WLAN-AS(C-413)发送返回到AC(C-414)。注意,对于例如UMTS的新移动网络的用户,还需要发送类似AUTN的消息。
然后,AP将接收到的EAP信息转发(C-415)到PPP消息中的TE。注意,这里AC作为在例如PPP和RADIUS的“载体”协议之间的EAP信息的“通路”。
当TE接收到EAP信息时,提取RAND号码,并利用其询问SIM并产生应答(RES),通过在PPP和RADIUS上传输的EAP再次将所述应答送回(C-416,C-417,C-418)到AG。如前,对于UMTS用户,TE首先根据AUTN鉴权网络。在此阶段,必须注意,TE遵照在AKA中定义的标准算法来产生加密密钥。该密钥用作种子,即密钥材料,来导出一个或多个会话密钥,以便与在RFC 1968中陈述的PPP加密控制协议和例如PPP 3-DES加密协议、RFC2420的任何现有PPP加密算法一起使用。
AG接收(C-418)EAP响应并检查应答的有效性。之前已经在来自可能与未示出的鉴权中心(AuC)的合作的HLR的鉴权矢量中接收到了AKA加密密钥(Kc)。然后,AG将AKA加密密钥(Kc)传送给其中设置了PPPoE服务器的AC(C-419,C-420)。可以在传输EAP成功的接入接受RADIUS消息中进行此操作,但是由于该EAP命令不能携带任何附加数据,一个RADIUS卖方特定属性(VSA)可以是更有价值的选项。
在该阶段,AC接收(C-420)接入接受RADIUS消息并请求来自动态主机配置协议(DHCP)服务器的IP地址,进一步将该IP地址发送到TE。AC遵照和与TE相同的算法,从要和PPP加密控制协议一起使用的AKA加密密钥(Kc)和选定的PPP加密算法(例如3DES)中导出会话密钥。最后,AC将EAP成功消息,连同其它预定给所述TE的配置参数,如IP地址,IP网络掩码、DNS服务器发送(C-421)给TE。然后,完全建立了PPP链路并准备进入网络阶段。
Claims (25)
1.一种电信系统中的方法,用于允许针对作为公共陆地移动网络订户的无线局域网用户进行基于SIM的鉴权,该方法包括步骤:
(a)无线终端通过可接入的接入点接入无线局域网;
(b)该无线终端发现插入在接入点和公共陆地移动网络之间的接入控制器;
(c)在无线终端和公共陆地移动网络之间通过该接入控制器执行询问-响应鉴权过程,无线终端配备有SIM卡并适于读取其数据;
所述方法的特征在于,
步骤(c)中的询问-响应鉴权过程的提交在向用户提供IP连接之前发生,在以下组件中携带所述询问-响应鉴权过程的提交;
-在无线终端和接入控制器之间的点对点层2协议(PPPoE)上;以及
-在位于公共陆地移动网络和接入控制器之间的应用层处的鉴权协议上;以及
所述方法还包括步骤:
(d)一旦公共陆地移动网络对所述用户有效地进行了鉴权,则通过发送已分配的IP地址和其它网络配置参数来向无线终端处的用户提供IP连接。
2.根据权利要求1所述的方法,其中,发现接入控制器的步骤(b)包括步骤:在位于无线终端的以太网上点对点(PPPoE)协议客户和位于接入控制器上的以太网上点对点(PPPoE)协议服务器之间建立点对点协议会话。
3.根据权利要求1所述的方法,其特征在于,执行询问-响应鉴权过程的步骤(c)包括以下步骤:
(c1)将来自无线终端的用户标识符通过接入控制器发送到公共陆地移动网络;
(c2)在无线终端通过接入控制器接收来自公共陆地移动网络的鉴权询问;
(c3)在无线终端从所接收的询问中导出加密密钥和鉴权响应;
(c4)将来自无线终端的鉴权响应通过接入控制器发送到公共陆地移动网络;
(c5)在接入控制器处接收来自公共陆地移动网络的加密密钥;以及
(c6)在接入控制器处提取所接收的加密密钥,用于进一步加密与无线终端通信的通信路径。
4.根据权利要求2所述的方法,其特征在于还包括步骤:为了向公共陆地移动网络提交,将在点对点层2协议(PPPoE)上接收的鉴权信息向上传送到位于应用层处的鉴权协议。
5.根据权利要求4所述的方法,其特征在于还包括步骤:为了向无线终端提交,将在应用层处设置的鉴权协议上接收的鉴权信息向下传送到在点对点层2协议(PPPoE)上。
6.根据权利要求3所述的方法,其特征在于还包括步骤:利用前面在接入控制器和无线终端处导出的加密密钥,在无线终端处建立对称的加密路径。
7.根据权利要求1所述的方法,其特征在于,在发送IP地址的步骤(d)之前,该方法包括:向动态主机配置协议服务器请求这种IP地址的步骤。
8.根据权利要求1所述的方法,其特征在于,接入控制器和公共陆地移动网络之间的通信通过所述公共陆地移动网络的鉴权网关。
9.根据权利要求8所述的方法,其特征在于,接入控制器和鉴权网关之间的通信通过无线局域网的鉴权服务器,所述鉴权服务器负责鉴权不是移动订户的所述无线局域网的本地用户。
10.根据权利要求3所述的方法,其特征在于步骤c1)中的用户标识符包括网络接入标识符。
11.根据权利要求3所述的方法,其特征在于步骤c1)中的用户标识符包括全球移动用户身份。
12.根据权利要求1所述的方法,其特征在于步骤c)中位于应用层处的鉴权协议是可扩展鉴权协议。
13.根据权利要求12所述的方法,其特征在于在RADIUS协议上传输该可扩展鉴权协议。
14.根据权利要求12所述的方法,其特征在于在Diameter协议上传输该可扩展鉴权协议。
15.一种电信系统中的接入控制器,所述系统包括具有至少一个接入点的无线局域网,公共陆地移动网络和至少一个提供有SIM卡并适于读取其用户数据的终端设备,其特征在于,所述接入控制器包括:
(a)点对点层2协议(PPPoE)服务器,用于与无线终端进行通信,并且被安排用来为询问-响应鉴权过程建立隧道;
(b)位于OSI应用层的鉴权协议,用于与公共陆地移动网络进行通信;以及
(c)向无线终端发送已分配的IP地址和其它网络配置参数的装置,用于在电信系统的终端设备和公共陆地移动网络之间成功地执行询问-响应鉴权过程之后提供IP连接。
16.根据权利要求15所述的接入控制器,其特征在于还包括:
(a)用于将在点对点层2协议(PPPoE)上接收的信息向上传送到位于应用层的鉴权协议的装置;以及
(b)用于将在位于应用层的鉴权协议上接收的信息向下传送到在点对点层2协议(PPPoE)上的装置。
17.根据权利要求16所述的接入控制器,其特征在于还包括:请求装置,在无线终端和公共陆地移动网络之间成功的询问-响应鉴权过程之后,用于请求来自动态主机配置协议服务器的IP地址。
18.根据权利要求17所述的接入控制器,其特征在于适于通过接入点,与无线终端进行通信。
19.根据权利要求17所述的接入控制器,其特征在于适于通过鉴权网关,与公共陆地移动网络进行通信。
20.根据权利要求19所述的接入控制器,其特征在于适于通过负责鉴权无线局域网的本地用户的鉴权服务器,与鉴权网关进行通信。
21.根据权利要求15的接入控制器,其特征在于,位于应用层处的鉴权协议是可扩展鉴权协议。
22.根据权利要求21所述的接入控制器,其特征在于,在RADIUS协议上传输可扩展鉴权协议。
23.根据权利要求21所述的接入控制器,其特征在于,在Diameter协议上传输可扩展鉴权协议。
24.一种具有用于执行询问-响应鉴权过程的装置的无线终端,该无线终端包括以下用途:用作为点对点层2协议(PPPoE)客户并且在所述点对点层2协议上具有可扩展鉴权协议,该无线终端其特征在于,在执行了一个成功的询问-响应鉴权过程之后接收一个IP地址,该IP地址可用于获得IP连接。
25.一种电信系统,包括具有至少一个接入点的无线局域网,公共陆地移动网络和至少一个提供有SIM卡并适于读取其用户数据的终端设备,其特征在于,所述系统还包括如权利要求15所述的接入控制器,用于允许对作为公共陆地移动网络的订户的无线局域网用户进行基于SIM的用户鉴权。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2002/004865 WO2003094438A1 (en) | 2002-05-01 | 2002-05-01 | System, apparatus and method for sim-based authentication and encryption in wireless local area network access |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1666465A CN1666465A (zh) | 2005-09-07 |
| CN100366007C true CN100366007C (zh) | 2008-01-30 |
Family
ID=29286077
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB028288793A Expired - Lifetime CN100366007C (zh) | 2002-05-01 | 2002-05-01 | 用于在无线局域网接入的基于sim的鉴权和加密的系统、设备和方法 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US7936710B2 (zh) |
| EP (1) | EP1502388B1 (zh) |
| JP (1) | JP4194046B2 (zh) |
| CN (1) | CN100366007C (zh) |
| AT (1) | ATE380424T1 (zh) |
| AU (1) | AU2002255000A1 (zh) |
| BR (1) | BRPI0215728B1 (zh) |
| DE (1) | DE60223951T2 (zh) |
| ES (1) | ES2295336T3 (zh) |
| WO (1) | WO2003094438A1 (zh) |
Families Citing this family (99)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7325246B1 (en) * | 2002-01-07 | 2008-01-29 | Cisco Technology, Inc. | Enhanced trust relationship in an IEEE 802.1x network |
| US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
| EP1512260B1 (de) * | 2002-06-07 | 2005-11-30 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zur authentifizierung eines teilnehmers für die inanspruchnahme von diensten in einem wirelees lan (wlan) |
| US7634230B2 (en) * | 2002-11-25 | 2009-12-15 | Fujitsu Limited | Methods and apparatus for secure, portable, wireless and multi-hop data networking |
| US20050152305A1 (en) * | 2002-11-25 | 2005-07-14 | Fujitsu Limited | Apparatus, method, and medium for self-organizing multi-hop wireless access networks |
| US7565688B2 (en) | 2002-12-23 | 2009-07-21 | Hewlett-Packard Development Company, L.P. | Network demonstration techniques |
| JP4475377B2 (ja) * | 2002-12-27 | 2010-06-09 | 日本電気株式会社 | 無線通信システム、共通鍵管理サーバ、および無線端末装置 |
| ITRM20030100A1 (it) * | 2003-03-06 | 2004-09-07 | Telecom Italia Mobile Spa | Tecnica di accesso multiplo alla rete, da parte di terminale di utente interconnesso ad una lan e relativa architettura di riferimento. |
| US20060179305A1 (en) * | 2004-03-11 | 2006-08-10 | Junbiao Zhang | WLAN session management techniques with secure rekeying and logoff |
| CN1762127A (zh) * | 2003-03-18 | 2006-04-19 | 汤姆森特许公司 | 使用通用分组无线服务/通用移动电信系统基础设施的无线局域网连接的验证 |
| US20050114680A1 (en) * | 2003-04-29 | 2005-05-26 | Azaire Networks Inc. (A Delaware Corporation) | Method and system for providing SIM-based roaming over existing WLAN public access infrastructure |
| JP2005341290A (ja) * | 2004-05-27 | 2005-12-08 | Keio Gijuku | 通信システムおよび無線通信装置 |
| CN1857024B (zh) * | 2003-09-26 | 2011-09-28 | 艾利森电话股份有限公司 | 在移动通信系统中用于密码学的增强型安全性设计 |
| US8345882B2 (en) * | 2003-11-11 | 2013-01-01 | Siemens Aktiengesellschaft | Method for safeguarding data traffic between a first terminal and a first network and a second terminal and a second network |
| GB2417856B (en) * | 2004-03-20 | 2008-11-19 | Alcyone Holding S A | Wireless LAN cellular gateways |
| US7861006B2 (en) * | 2004-03-23 | 2010-12-28 | Mcnulty Scott | Apparatus, method and system for a tunneling client access point |
| US7623518B2 (en) * | 2004-04-08 | 2009-11-24 | Hewlett-Packard Development Company, L.P. | Dynamic access control lists |
| US20050238171A1 (en) * | 2004-04-26 | 2005-10-27 | Lidong Chen | Application authentication in wireless communication networks |
| US7873350B1 (en) * | 2004-05-10 | 2011-01-18 | At&T Intellectual Property Ii, L.P. | End-to-end secure wireless communication for requesting a more secure channel |
| CN1274181C (zh) | 2004-06-25 | 2006-09-06 | 华为技术有限公司 | 管理本地终端设备接入网络的方法 |
| GR1005023B (el) * | 2004-07-06 | 2005-10-11 | Atmel@Corporation | Μεθοδος και συστημα ενισχυσης της ασφαλειας σε ασυρματους σταθμους τοπικου δικτυου (lan) |
| KR100626676B1 (ko) * | 2004-07-15 | 2006-09-25 | 삼성전자주식회사 | 애드 혹 네트워크에서 프리픽스 할당 방법 |
| DE112005001833B4 (de) * | 2004-07-30 | 2012-06-28 | Meshnetworks, Inc. | System und Verfahren zum Herbeiführen des sicheren Einsatzes von Netzwerken |
| WO2006013150A1 (en) * | 2004-08-02 | 2006-02-09 | Service Factory Sf Ab | Sim-based authentication |
| DK1624639T3 (da) * | 2004-08-02 | 2009-08-10 | Service Factory Ab | SIM-baseret autentificering |
| EP1635528A1 (en) * | 2004-09-13 | 2006-03-15 | Alcatel | A method to grant access to a data communication network and related devices |
| JP4689225B2 (ja) * | 2004-10-15 | 2011-05-25 | パナソニック株式会社 | 無線ネットワークシステム、無線端末収容装置及び通信装置 |
| US7483996B2 (en) * | 2004-11-29 | 2009-01-27 | Cisco Technology, Inc. | Techniques for migrating a point to point protocol to a protocol for an access network |
| US7558866B2 (en) * | 2004-12-08 | 2009-07-07 | Microsoft Corporation | Method and system for securely provisioning a client device |
| WO2006064359A1 (en) * | 2004-12-17 | 2006-06-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Clone-resistant mutual authentication in a radio communication network |
| WO2006079953A1 (en) * | 2005-01-31 | 2006-08-03 | Koninklijke Philips Electronics N.V. | Authentication method and device for use in wireless communication system |
| US8059527B2 (en) * | 2005-02-19 | 2011-11-15 | Cisco Technology, Inc. | Techniques for oversubscribing edge nodes for virtual private networks |
| FR2883115A1 (fr) * | 2005-03-11 | 2006-09-15 | France Telecom | Procede d'etablissement d'un lien de communication securise |
| FR2884093B1 (fr) * | 2005-03-31 | 2007-05-11 | Sagem | Procede et dispositif d'association d'un dispositif de communication a une passerelle |
| WO2006114628A2 (en) * | 2005-04-26 | 2006-11-02 | Vodafone Group Plc | Sae/lte telecommunications networks |
| FI20050491A0 (fi) * | 2005-05-09 | 2005-05-09 | Nokia Corp | Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä |
| CN100372440C (zh) * | 2005-07-08 | 2008-02-27 | 清华大学 | 基于蜂窝网络定位的无线局域网发现方法 |
| DE202005021930U1 (de) | 2005-08-01 | 2011-08-08 | Corning Cable Systems Llc | Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen |
| CN100417296C (zh) * | 2005-09-20 | 2008-09-03 | 华为技术有限公司 | 一种终端接入3g网络的控制方法 |
| ATE484143T1 (de) * | 2005-09-30 | 2010-10-15 | Alcyone Holding S A | Verfahren und vorrichtung zum aufbau einer verbindung zwischen einer mobilen vorrichtung und einem netzwerk |
| CN101322346A (zh) | 2005-12-01 | 2008-12-10 | 鲁库斯无线公司 | 借助于无线基站虚拟化的按需服务 |
| CN100452924C (zh) * | 2006-01-09 | 2009-01-14 | 中国科学院软件研究所 | 利用sim卡实现终端与网络双向鉴权的方法和装置 |
| US20070180499A1 (en) * | 2006-01-31 | 2007-08-02 | Van Bemmel Jeroen | Authenticating clients to wireless access networks |
| US8953588B2 (en) | 2006-02-03 | 2015-02-10 | Broadcom Corporation | Mobile network with packet data network backhaul |
| EP1988730A4 (en) * | 2006-02-22 | 2011-09-28 | Nec Corp | RADIO ACCESS SYSTEM AND RADIO ACCESS METHOD |
| DK1989853T3 (en) * | 2006-02-23 | 2017-03-20 | Togewa Holding Ag | SWITCHING SYSTEM AND SIMILAR PROCEDURE FOR UNICAST OR MULTICAST TRANSMISSIONS FROM START TO END OF DATA AND / OR MULTIMEDIA FLOW BETWEEN NETWORK Nodes |
| JP4965144B2 (ja) * | 2006-03-20 | 2012-07-04 | 株式会社リコー | 通信装置 |
| NO20061520L (no) * | 2006-04-04 | 2007-10-05 | Telenor Asa | Fremgangsmate og anordning for autentisering av brukere |
| US9071583B2 (en) * | 2006-04-24 | 2015-06-30 | Ruckus Wireless, Inc. | Provisioned configuration for automatic wireless connection |
| US7788703B2 (en) * | 2006-04-24 | 2010-08-31 | Ruckus Wireless, Inc. | Dynamic authentication in secured wireless networks |
| US9769655B2 (en) | 2006-04-24 | 2017-09-19 | Ruckus Wireless, Inc. | Sharing security keys with headless devices |
| EP2027700A1 (fr) * | 2006-04-28 | 2009-02-25 | Gemalto SA | Transmission de données entre un serveur et un objet communicant |
| EP1865656A1 (en) * | 2006-06-08 | 2007-12-12 | BRITISH TELECOMMUNICATIONS public limited company | Provision of secure communications connection using third party authentication |
| DE102006038591B4 (de) * | 2006-08-17 | 2008-07-03 | Siemens Ag | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
| FI121560B (fi) * | 2006-11-20 | 2010-12-31 | Teliasonera Ab | Todentaminen matkaviestintäyhteistoimintajärjestelmässä |
| GB2446738C (en) * | 2007-02-02 | 2014-10-01 | Ubiquisys Ltd | Basestation measurement modes |
| GB2449533B (en) | 2007-02-23 | 2009-06-03 | Ubiquisys Ltd | Basestation for cellular communications system |
| CN101282259B (zh) * | 2007-04-04 | 2011-07-27 | 中国电信股份有限公司 | 基于身份识别模块im的ip网接入认证系统、应用和方法 |
| US8769611B2 (en) | 2007-05-31 | 2014-07-01 | Qualcomm Incorporated | Methods and apparatus for providing PMIP key hierarchy in wireless communication networks |
| US9239915B2 (en) * | 2007-09-26 | 2016-01-19 | Intel Corporation | Synchronizing between host and management co-processor for network access control |
| US11190936B2 (en) | 2007-09-27 | 2021-11-30 | Clevx, Llc | Wireless authentication system |
| US10783232B2 (en) | 2007-09-27 | 2020-09-22 | Clevx, Llc | Management system for self-encrypting managed devices with embedded wireless user authentication |
| US10778417B2 (en) * | 2007-09-27 | 2020-09-15 | Clevx, Llc | Self-encrypting module with embedded wireless user authentication |
| US10181055B2 (en) | 2007-09-27 | 2019-01-15 | Clevx, Llc | Data security system with encryption |
| JP5167759B2 (ja) * | 2007-10-24 | 2013-03-21 | 日本電気株式会社 | 通信システム、通信方法、認証情報管理サーバおよび小型基地局 |
| US8775790B2 (en) * | 2007-10-30 | 2014-07-08 | Honeywell International Inc. | System and method for providing secure network communications |
| FI122163B (fi) | 2007-11-27 | 2011-09-15 | Teliasonera Ab | Verkkopääsyautentikointi |
| GB2464553B (en) | 2008-10-22 | 2012-11-21 | Skype | Controlling a connection between a user terminal and an access node connected to a communication network |
| GB2464552B (en) | 2008-10-22 | 2012-11-21 | Skype | Authentication system and method for authenticating a user terminal with an access node providing restricted access to a communication network |
| US9032058B2 (en) * | 2009-03-13 | 2015-05-12 | Assa Abloy Ab | Use of SNMP for management of small footprint devices |
| US20100235900A1 (en) * | 2009-03-13 | 2010-09-16 | Assa Abloy Ab | Efficient two-factor authentication |
| CN102014384A (zh) * | 2009-09-04 | 2011-04-13 | 黄金富 | 通过移动电话网络验证wapi无线网络终端身份的方法 |
| US8830866B2 (en) * | 2009-09-30 | 2014-09-09 | Apple Inc. | Methods and apparatus for solicited activation for protected wireless networking |
| US8873523B2 (en) * | 2009-09-30 | 2014-10-28 | Apple Inc. | Methods and apparatus for solicited activation for protected wireless networking |
| CN102130975A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种用身份标识在公共设备上接入网络的方法及系统 |
| JP5521057B2 (ja) * | 2010-03-09 | 2014-06-11 | アルカテル−ルーセント | ユーザ機器を認証するための方法および装置 |
| JP2011199340A (ja) * | 2010-03-17 | 2011-10-06 | Fujitsu Ltd | 通信装置及び方法、並びに通信システム |
| FR2958428B1 (fr) * | 2010-03-30 | 2012-08-31 | Radiotelephone Sfr | Procede d'execution d'un premier service alors qu'un deuxieme service est en cours d'execution, au moyen d'un terminal informatique equipe d'une carte a circuit integre. |
| CN101815365B (zh) * | 2010-04-02 | 2012-09-05 | 北京傲天动联技术有限公司 | 无线接入控制器发现、关联以及配置方法 |
| US8464061B2 (en) | 2010-08-30 | 2013-06-11 | Apple Inc. | Secure wireless link between two devices using probes |
| CN102083067A (zh) * | 2010-12-17 | 2011-06-01 | 中国联合网络通信集团有限公司 | 通信终端、方法和系统 |
| CN102625306A (zh) * | 2011-01-31 | 2012-08-01 | 电信科学技术研究院 | 认证方法、系统和设备 |
| US8887257B2 (en) * | 2011-04-26 | 2014-11-11 | David T. Haggerty | Electronic access client distribution apparatus and methods |
| EP2705429B1 (en) | 2011-05-01 | 2016-07-06 | Ruckus Wireless, Inc. | Remote cable access point reset |
| US8756668B2 (en) | 2012-02-09 | 2014-06-17 | Ruckus Wireless, Inc. | Dynamic PSK for hotspots |
| CN102572838B (zh) * | 2012-02-15 | 2015-10-28 | 刘士顺 | 一种无线pppoe拨号系统 |
| US9092610B2 (en) | 2012-04-04 | 2015-07-28 | Ruckus Wireless, Inc. | Key assignment for a brand |
| CN102917359A (zh) * | 2012-09-27 | 2013-02-06 | 中兴通讯股份有限公司 | 一种内置PPPoE拨号功能的移动终端及其拨号方法 |
| JP5987707B2 (ja) * | 2013-01-25 | 2016-09-07 | ソニー株式会社 | 端末装置、プログラム及び通信システム |
| EP3089495B1 (en) * | 2013-12-25 | 2019-03-20 | Sony Corporation | Terminal device acquiring authentication data through other device |
| US9432363B2 (en) * | 2014-02-07 | 2016-08-30 | Apple Inc. | System and method for using credentials of a first client station to authenticate a second client station |
| JP6465108B2 (ja) * | 2014-05-01 | 2019-02-06 | ソニー株式会社 | 無線通信装置 |
| US10223549B2 (en) * | 2015-01-21 | 2019-03-05 | Onion ID Inc. | Techniques for facilitating secure, credential-free user access to resources |
| US9843885B2 (en) * | 2015-08-12 | 2017-12-12 | Apple Inc. | Methods, procedures and framework to provision an eSIM and make it multi-SIM capable using primary account information |
| DE102015122936A1 (de) * | 2015-12-29 | 2017-06-29 | Deutsche Telekom Ag | Verfahren zur flexibleren Ressourcennutzung bei der Telekommunikation |
| IL248058B (en) * | 2016-09-26 | 2021-04-29 | Verint Systems Ltd | System and method for obtaining an ID of a mobile communication terminal at a checkpoint |
| CN113923650A (zh) * | 2017-04-18 | 2022-01-11 | 华为技术有限公司 | 网络接入方法、装置和通信系统 |
| JP7161108B2 (ja) * | 2019-02-26 | 2022-10-26 | 日本電信電話株式会社 | 通信方法、通信システム、中継装置および中継プログラム |
| US20230354026A1 (en) * | 2022-04-29 | 2023-11-02 | Microsoft Technology Licensing, Llc | Encrypted flow of sim data between regions and edge networks |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1248367A (zh) * | 1997-02-19 | 2000-03-22 | Lm爱立信电信公司 | 用于授权检验的方法 |
| WO2001076297A1 (en) * | 2000-03-31 | 2001-10-11 | Nokia Corporation | Billing in a packet data network |
| US20020012433A1 (en) * | 2000-03-31 | 2002-01-31 | Nokia Corporation | Authentication in a packet data network |
| WO2002011468A2 (en) * | 2000-07-27 | 2002-02-07 | Ipwireless, Inc. | Use of radius (remote authentication dial-in user service) in umts to perform accounting functions |
| CN1341338A (zh) * | 1999-02-22 | 2002-03-20 | 格姆普拉斯公司 | 在无线电话网络中的鉴权 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI111208B (fi) * | 2000-06-30 | 2003-06-13 | Nokia Corp | Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä |
| US7043633B1 (en) * | 2000-08-28 | 2006-05-09 | Verizon Corporation Services Group Inc. | Method and apparatus for providing adaptive self-synchronized dynamic address translation |
| US6854014B1 (en) * | 2000-11-07 | 2005-02-08 | Nortel Networks Limited | System and method for accounting management in an IP centric distributed network |
| US20030120920A1 (en) * | 2001-12-20 | 2003-06-26 | Svensson Sven Anders Borje | Remote device authentication |
-
2002
- 2002-05-01 EP EP02724305A patent/EP1502388B1/en not_active Expired - Lifetime
- 2002-05-01 ES ES02724305T patent/ES2295336T3/es not_active Expired - Lifetime
- 2002-05-01 AT AT02724305T patent/ATE380424T1/de not_active IP Right Cessation
- 2002-05-01 DE DE60223951T patent/DE60223951T2/de not_active Expired - Lifetime
- 2002-05-01 US US10/510,498 patent/US7936710B2/en active Active
- 2002-05-01 BR BRPI0215728A patent/BRPI0215728B1/pt active IP Right Grant
- 2002-05-01 CN CNB028288793A patent/CN100366007C/zh not_active Expired - Lifetime
- 2002-05-01 JP JP2004502552A patent/JP4194046B2/ja not_active Expired - Lifetime
- 2002-05-01 WO PCT/EP2002/004865 patent/WO2003094438A1/en active IP Right Grant
- 2002-05-01 AU AU2002255000A patent/AU2002255000A1/en not_active Abandoned
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1248367A (zh) * | 1997-02-19 | 2000-03-22 | Lm爱立信电信公司 | 用于授权检验的方法 |
| CN1341338A (zh) * | 1999-02-22 | 2002-03-20 | 格姆普拉斯公司 | 在无线电话网络中的鉴权 |
| WO2001076297A1 (en) * | 2000-03-31 | 2001-10-11 | Nokia Corporation | Billing in a packet data network |
| US20020012433A1 (en) * | 2000-03-31 | 2002-01-31 | Nokia Corporation | Authentication in a packet data network |
| WO2002011468A2 (en) * | 2000-07-27 | 2002-02-07 | Ipwireless, Inc. | Use of radius (remote authentication dial-in user service) in umts to perform accounting functions |
Also Published As
| Publication number | Publication date |
|---|---|
| US20060052085A1 (en) | 2006-03-09 |
| BR0215728A (pt) | 2005-02-22 |
| ES2295336T3 (es) | 2008-04-16 |
| DE60223951D1 (de) | 2008-01-17 |
| EP1502388B1 (en) | 2007-12-05 |
| ATE380424T1 (de) | 2007-12-15 |
| WO2003094438A1 (en) | 2003-11-13 |
| DE60223951T2 (de) | 2008-11-27 |
| US7936710B2 (en) | 2011-05-03 |
| CN1666465A (zh) | 2005-09-07 |
| BRPI0215728B1 (pt) | 2016-06-07 |
| JP2005524341A (ja) | 2005-08-11 |
| JP4194046B2 (ja) | 2008-12-10 |
| EP1502388A1 (en) | 2005-02-02 |
| AU2002255000A1 (en) | 2003-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100366007C (zh) | 用于在无线局域网接入的基于sim的鉴权和加密的系统、设备和方法 | |
| Koien et al. | Security aspects of 3G-WLAN interworking | |
| EP1515516B1 (en) | Authenticating access to a wireless local area network based on security value(s) associated with a cellular system | |
| DK2547134T3 (en) | IMPROVED SUBSCRIPTION AUTHENTICATION FOR UNAUTHORIZED MOBILE ACCESS SIGNALS | |
| JP3984993B2 (ja) | アクセスネットワークを通じて接続を確立するための方法及びシステム | |
| US7565529B2 (en) | Secure authentication and network management system for wireless LAN applications | |
| EP2606663B1 (en) | A system and method for wi-fi roaming | |
| EP2606678B1 (en) | Systems and methods for maintaining a communication session | |
| US8626123B2 (en) | System and method for securing a base station using SIM cards | |
| CN100568799C (zh) | 用于通信网络中的相互验证的方法和软件程序产品 | |
| JP4160049B2 (ja) | 第1のネットワークを通じた第2のネットワークのサービスへのアクセスを提供する方法及びシステム | |
| US20040090930A1 (en) | Authentication method and system for public wireless local area network system | |
| WO2006024969A1 (en) | Wireless local area network authentication method | |
| CN101877852B (zh) | 用户接入控制方法和系统 | |
| CN100411335C (zh) | 一种无线局域网中分组数据关口获取用户身份标识的方法 | |
| RU2292648C2 (ru) | Система, устройство и способ, предназначенные для аутентификации на основе sim и для шифрования при доступе к беспроводной локальной сети | |
| WO2005057341A2 (en) | Automatic hardware-enabled virtual private network system | |
| Tsai et al. | SIM-based subscriber authentication for wireless local area networks | |
| Borick et al. | Secure Wi-Fi Technologies for Enterprise LAN Network | |
| Rannenberg | Network Security II | |
| Kizza et al. | Security in Wireless Systems | |
| Bari et al. | Network selection for public WLANs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20080130 |
|
| CX01 | Expiry of patent term |