DE60223951T2 - System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz - Google Patents

System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz Download PDF

Info

Publication number
DE60223951T2
DE60223951T2 DE60223951T DE60223951T DE60223951T2 DE 60223951 T2 DE60223951 T2 DE 60223951T2 DE 60223951 T DE60223951 T DE 60223951T DE 60223951 T DE60223951 T DE 60223951T DE 60223951 T2 DE60223951 T2 DE 60223951T2
Authority
DE
Germany
Prior art keywords
authentication
protocol
point
control unit
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60223951T
Other languages
English (en)
Other versions
DE60223951D1 (de
Inventor
Jesús Angel de GREGORIO RODRIGUEZ
Miguel Angel Monjas Llorente
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of DE60223951D1 publication Critical patent/DE60223951D1/de
Application granted granted Critical
Publication of DE60223951T2 publication Critical patent/DE60223951T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2858Access network architectures
    • H04L12/2859Point-to-point connection between the data network and the subscribers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Description

  • Technisches Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich allgemein auf Authentifizierungs- und Verschlüsselungsmechanismen in Szenarien von drahtlosen Lokalnetzwerken. Insbesondere bezieht sich die Erfindung auf ein Mittel, ein System und Verfahren für eine SIM-basierte Authentifizierung und einen Schicht-2 bzw. Lager-2 Verschlüsselungsmechanismus zum Schützen des Kommunikationspfads ab der Endgerätapparatur nach vorn.
  • Hintergrund
  • Im Jahre 1999 wurde von der IEEE die Spezifikation 802.11b für drahtlosen Lokalnetz(WLAN)zugang mit Raten von 11 Mbps veröffentlicht. Dieser Standard wurde von der Industrie breit unterstützt und weist eine enorme installierte Basis in wirtschaftlichen Unternehmen und ebenso in öffentlich zugänglichen Hot Spots, wie etwa in Flughäfen, Hotels, Cafes usw. auf.
  • Diese Spezifikation 802.11b bietet zu einem gewissen Grad Authentifizierungs- und Zugangssteuerungsmechanismen ebenso wie Vertraulichkeit, jedoch nur in dem drahtlosen Pfad. In dieser Hinsicht werden in diesem Standard zwei Authentifizierungsverfahren definiert, nämlich "offenes System" (Englisch: „Open System") und „gemeinsamer Schlüssel" (Englisch: „Shared Key").
  • Wenn das offene System benutzt wird, kündigt eine WLAN Karte in der Endgerätvorrichtung (TE, Englisch: Terminal Equipment) an, dass sie wünscht, sich mit einem WLAN Zugangspunkt (im Folgenden als AP, Englisch: Access Point abgekürzt) zu assoziieren. Es wird keine Authentifizierung ausgeführt und es werden nur einige grundlegende Zugangssteuerungsmechanismen benutzt, wie z. B. etwa Medienzugangssteuerungs (MAC, Englisch: Media Access Control)-Filter und Dienstsatzbezeichner (SSID, Englisch: Service Set Identifier).
  • Diese MAC Filter sind dazu ausgebildet, dass sie so funktionieren, dass es nur solchen WLAN Karten erlaubt wird, sich mit dem AP zu assoziieren, deren MAC Adresse zu einer in dem AP gehaltenen Liste, wie etwa einer Zugangssteuerungsliste (ACL, Englisch: Access Control List), gehört. Dieser Zugangssteuerungsmechanismus weist eine begrenzte Zweckmäßigkeit auf, weil die Identität der Einheit, die versucht, sich zu assoziieren, nicht tatsächlich zu einem Benutzer gehört, sondern stattdessen zu dem Gerät selbst. Wenn ein Endgerät oder eine Karte gestohlen wird, dann gibt es keine benutzerbasierte Authentifizierung, um einen Zugang mittels der gestohlenen Geräte zu den Ressourcen zu verhindern. Des Weiteren ist das Verschleiern von MAC Adressen ein trivialer Angriff, weil die MAC Adressen der WLAN Karte immer in den Nachrichtenköpfen der WLAN Datenrahmen erscheinen. Dies ist von einer besonderen Relevanz, weil die meisten WLAN Karten auf dem Markt ihre MAC Adresse verändern können, indem sie nur Softwaremittel benutzen.
  • Der andere Zugangssteuerungsmechanismus ist der vorgenannte Dienstsatzbezeichner (SSID). Dies ist ein alphanumerischer Code, der den Umstand desjenigen WLAN, mit dem sich die Endgerätvorrichtung (TE) zu assoziieren versucht, identifiziert. Ein gegebener AP erlaubt nur die Assoziierung mit WLAN Karten, die einen richtigen SSID bereitstellen. Jedoch gilt, dass weil dieser Bezeichner normalerweise durch die AP's als Sammelruf ausgesendet wird, und selbst ohne den vom Verkäufer bzw. Anbieter eingestellten Voreinstellungswert zu verändern, ist dieser Zugangssteuerungsmechanismus wiederum ziemlich nutzlos, weil eine Vielzahl wohlbekannter Angriffe auftreten kann.
  • Ein zweites oben genanntes Authentifizierungsverfahren ist der sogenannte „gemeinsame Schlüssel" (Englisch: Shared Key). Dieses Verfahren ist in einen grundlegenden Vertraulichkeitsmechanismus eingebettet, welcher von dem verdrahteten äquivalenten Geheimhaltungs (WEP, Englisch: Wired Equivalent Privacy)-Standard bereitgestellt wird. Der WEP-Standard ist ein auf RC4 basierter, symmetrischer Verschlüsselungsalgorithmus. Die Authentifizierung als solche wird ausgeführt, indem ein Anforderungs-Antwortmechanismus benutzt wird, bei dem beide Parteien, die WLAN Karte und der AP zeigen, dass sie einen gleichen Schlüssel besitzen. Jedoch ist dieser Schlüssel in der Endgerätvorrichtung (TE) installiert und gespeichert, und folglich leidet dieser unter denselben Nachteilen wie die beim Besprechen der MAC Filter beschriebenen.
  • Darüber hinaus hat eine Anzahl von kürzlich veröffentlichenden Artikeln die fundamentellen Mängel des Geheimhaltungsmechanismus selbst gezeigt, d. h. die Mängel des WEP Standards. Diese Mängel beginnen bei der Benutzung von statischen WEP Schlüsseln, die es einem Angreifer ermöglichen, die Schlüssel selbst zu finden, weil die Initialisierungsvektoren des Algorithmus in der Klarheit innerhalb des WEP Datenrahmens gesendet werden. Eine Anzahl von passiven Angriffen, wie z. B. etwa eine WLAN Karte, die nur den Datenverkehr erschnüffelt, ermöglicht ebenfalls, die Schlüssel abzuleiten.
  • Im Anfang erschien es, dass nur durch Erneuern (Englisch: Refreshing) der Schlüssel mit einem besseren Schlüsselmanagement und durch Vergrößern ihrer Länge auf beispielsweise 40 bis 128 Bits der Algorithmus sicherer werden könnte, oder zumindest sicher genug, um eine akzeptable Sicherheit zu erzielen,. Jedoch haben mehr und mehr kürzliche Berichte bewiesen, dass der Entwurf dieses Algorithmus als solcher keinen akzeptablen Sicherheitsgrad bereitstellen kann.
  • Heutzutage werden Anstrengungen von der Industrie und repräsentativen Foren unternommen, um die Mängel in den derzeit verfügbaren Standards zu beheben. Die IEEE ist dabei, einen neuen Standard zu definieren, um den Authentifizierungsmechanismus des bestehenden 802.11b zu verbessern, und die Ergebnisse werden möglicherweise auch als sogenannter 802.1x Standard, eine „Port-Based Network Access Control" (übersetzt: „Anschlussbasierte Netzwerkzugangssteuerung") veröffentlicht, jedoch sind diese Arbeiten noch nicht abgeschlossen. Darüber hinaus berücksichtigt diese Herangehensweise nur eine Authentifizierung, so dass immer noch ein richtiger Geheimhaltungsalgorithmus erforderlich ist. In dieser Hinsicht legen es derzeitige Trends nahe, dass ein auf dem sogenannten Advanced Enryption System (AES)-Protokoll basiertes Protokoll den WEP-Standard ersetzen kann. Nichtsdestotrotz übt der in 802.1x vorgeschlagene "Anschluss-basierte Authentifizierungsmechanismus", einen bedeutenden Einfluss aus auf das TE Betriebssystem und auf die verfügbare Software in den AP's, weil 802.1x nur einen Ersatz für die auf WEP-basierten Authentifizierungsmechanismen und das WEP selbst sucht.
  • Kurzfristig wird eine massive Übernahme dieses neuen Standards 802.1x, mit den ganzen nicht gelösten obigen Mängeln zu neuen Investitionen in WLAN Ausrüstung führen, weil durch alle AP's eines gegebenen WLAN ersetzt oder zumindest nachgerüstet werden sollten. Darüber hin aus und einigermaßen offensichtlich stellt jeder WLAN Vertraulichkeitsmechanismus nur einen Schutz auf dem drahtlosen Pfad bereit, d. h. zwischen der WLAN Karte und dem AP. Der entsprechende Ethernet-Verkehr jenseits des AP wird jedoch überhaupt nicht verschlüsselt.
  • Es ist daher eine wichtige Aufgabe der vorliegenden Erfindung, in diesem Stadium Mittel und Verfahren bereitzustellen zum Ermöglichen eines effektiven Authentifizierungsmechanismus von WLAN Benutzern und ebenso einen vollständigen Verschlüsselungsmechanismus über den gesamten, bei der Endgerätvorrichtung des Benutzers beginnenden Kommunikationspfads.
  • Zugehöriger Stand der Technik
  • Kurz gesagt und wie oben bereits besprochen ist die Authentifizierung in derzeitigen in WLAN einsetzbaren Standards, nämlich 802.11, entweder nicht existent oder geräte-basiert, wenn die physikalische MAC Adresse der WLAN Karte zur Authentifizierung der TE benutzt wird. Dies ist für große Aufstellungen offensichtlich unbrauchbar, angesichts der Tatsache, dass eine Verschlüsselung, die durch das WEP Protokoll, wie in WLAN, das für seine Schwächen bekannt ist, erreicht wird, von verschiedenen Sektoren als zum Aufrechterhalten einer akzeptablen Sicherheit nicht angemessen befunden wird.
  • Im Gegensatz dazu wird die Authentifizierung in herkömmlichen und neueren öffentlichen Landmobilnetzwerken, wie GSM, GPRS oder UMTS, erzielt mittels einer SIM Karte und einem Satz sicherheits-fester Protokolle und Algorithmen, die als „Authentifizierung und Schlüsselübereinkommen" (Englisch: Authentication and Key Agreement (im Folgenden als AKA abgekürzt)-Algorithmen bekannt sind.
  • Eine sogenannte SIM-basierte Authentifizierung ist benutzerbasiert, weil eine SIM zur persönlichen Verwendung ausgelegt ist und durch eine Zugangs-PIN geschützt ist.
  • Heutzutage möchten Mobilfunkbetreiber ihr Angebot in Zugangsnetzwerken durch das Einschließen von Breitbandzugang erweitern, und die WLAN Technologie macht dies mit Zugangsraten von bis zu 11 Mbps möglich, wobei hauptsächlich durch die Benutzung von nicht lizensiertem Spektrumsband in WLAN extrem niedrige Aufstellungskosten erzielbar sind. Ein Mobilfunkbetreiber kann dies erreichen durch Installieren seines eigenen WLAN oder durch das Zeichnen von Vereinbarungen mit bestehenden WLAN Betreibern, jedoch sollten in beiden Fällen die Sicherheitserfordernisse mindestens so hoch sein wie im Fall eines mobilen Zugangs zum Kernnetzwerk des Betreibers.
  • Um dies zu erreichen, muss ein WLAN Betreiber einen Authentifizierungs- und Verschlüsselungsmechanismus anbieten, der den Besitz einer SIM Karte voraussetzt. Diese SIM Karte muss durch den Mobilbetreiber ausgegeben werden und kann dann die gleiche SIM sein wie die, die für mobilen Zugang benutzt wird, oder kann eine SIM sein, die absichtlich nur für WLAN Zugang ausgegeben worden ist.
  • Ein von einem Dritten betriebener, herkömmlicher WLAN kann auch seine eigenen lokalen Benutzer aufweisen, und die durch die lokalen Benutzer auszuführende Authentifizierung hängt vollständig vom WLAN Betreiber ab. Beispielsweise kann diese Authentifizierung für lokale Benutzer lediglich auf einer Benutzeridentität plus einem Passwort beruhen, oder sogar überhaupt keine Sicherheit umfasst. Jedoch sollten für diejenigen Benutzer, die bei einem Mobilbetreiber eingeschrieben sind, die Authentifizierung und andere Sicherheitsaspekte durch den WLAN vergleichbar sein mit denjenigen im Netzwerk des Mobilbetreibers. Andererseits sollte ein WLAN, der nur von einem Mobilfunkbetreiber aufgestellt und betrieben wird, den Zugang verweigern für Benutzer, die nicht zu diesem Mobilbetreiber gehören, und sollte nur auf einer SIM Karte basierende Authentifizierungsmechanismen implementieren.
  • Nichtsdestotrotz muss jeglicher Versuch, neue und sichere Mechanismus zur Authentifizierung und Verschlüsselung in WLAN einzuführen, darauf ausgerichtet sein, in derzeitigen WLAN Szenarios so wenig Einfluss wie möglich zu erzeugen.
  • Ein ziemlich interessanter Ansatz, zum Lösen des oben beschriebenen Problems ist die Veröffentlichung der Anmeldung US 2002/0009199 mit dem Titel „Data Ciphering in a Wireless Telecomunication System" (übersetzt: "Einrichten von Datenchiffrierung in einem drahtlosen Telekommunikationssystem"). Die dieser Anmeldung zugrunde liegende technische Lehre liefert ebenfalls ein SIM-basiertes Authentifizierungsschema.
  • Dieses SIM-basierte Authentifizierungsschema ist jedoch dazu gedacht, einen Chiffrierungsschlüssel, der als der Schlüssel des 802.11 nativen WEP Algorithmus für die Verschlüsselung von Verkehr zwischen der TE und der AP verwendet wird, abzuleiten. Der Hauptvorteil, den diese Anwendung über die bestehenden WEP Fähigkeiten hinaus einführt, ist das Hinzufügen eines neuen Mechanismus zum Erneuern der Schlüssel einmal pro Sitzung. Abgesehen davon ist diese Anwendung hauptsächlich eine modifizierte Version des derzeitigen WEP Standards und löst nicht die oben genannten fundamentellen Probleme für die ursprüngliche WEP Version.
  • Nichtsdestotrotz haben verschiedene Sektoren in der Industrie beurteilt, dass wohlbekannte WEP Angriffe einen WEP Schlüssel in weniger als zwei Stunden erraten können. Offensichtlich gilt, dass wenn der WEP Schlüssel statisch ist und niemals erneuert wird, wie in der ursprünglichen WEP Version, das Problem noch viel größer ist. Folglicherweise ist mit dem in US 2002/0009199 dargestellten Ansatz das Problem auf die Begrenzungen der Dauer einer gegebenen Sitzung beschränkt, und wenn sich eine Sitzung über einige Stunden erstreckt, dann tritt das gleiche Problem wie oben auf. Dies ist zum Gewähren von vergleichbaren Sicherheitsniveaus wie die, die in derzeitigen öffentlichen mobilen Landnetzwerken gefunden werden, klar unzureichend.
  • In dieser Hinsicht ist eine Aufgabe der vorliegenden Erfindung, ein viel höheres Sicherheitsniveau zu errichten, das es dem Betreiber ermöglicht, einen Verschlüsselungsalgorithmus auszuwählen, der ihre Sicherheitsbedürfnisse besser erfüllt. Es sei angemerkt, dass normalerweise ein Kompromiss zwischen dem Sicherheitsgrad und der Leistungsfähigkeit besteht. Daher können zusätzliche Merkmale, wie etwas das Unterstützen von Schlüsseln mit einer Länge von 128, 168 oder 256 Bits, usw. ebenso wie das Unterstützen der aktuellsten Sicherheitsalgorithmen, wie z. B. etwa AES, sowie eine Schlüsselrotationsprozedur als weitere Aufgaben der vorliegenden Erfindung betrachtet werden.
  • Ferner geht gemäß der oben genannten Anmeldung (US 2002/0009199) der verschlüsselte Pfad von dem mobilen Endgerät zur AP, weil WEP nur auf dem Funkpfad anwendbar ist. In dieser Hinsicht sind die Unterstützung eines über den AP hinaus zu errichtenden Verschlüsselungspfads und das Überdecken auch des drahtgestützten Teils des WLANs weitere Aufgaben der vorliegenden Erfindung.
  • Ferner lehrt die US 2002/0009199 , dass die Zuordnung einer IP Adresse ausgeführt wird, bevor der Authentifizierungsprozess durchgeführt wird, und folglich kann ein böswilliger Benutzer möglicherweise eine ganze Menge wohlbekannter Angriffe initiieren. Wenn jedoch ein Benutzer keine Mittel hatte, um die IP Verbindungsfähigkeit zu erlangen, bevor er effektiv authentifiziert ist, würde das Risiko stark abnehmen. Folglich ist eine weitere Aufgabe der vorliegenden Erfindung die Bereitstellung eines Authentifizierungsmechanismus für einen Benutzer, der auszuführen ist, bevor dem Benutzer die IP Verbindungsfähigkeit gegeben wird.
  • Andererseits offenbaren die Anmeldungen US 2002/012433 und WO 01/76297 anhand einiger üblicher beispielhafter Ausführungsformen ein System, in dem sich ein drahtlos angepasstes Endgerät mit einem mobilen Heimatnetzwerk über ein drahtloses IP Zugangsnetzwerk verbinden kann. Das mobile Heimatnetzwerk ist für die Authentifizierung des Benutzers mit einer SIM-basierten Authentifizierung verantwortlich, wohingegen das drahtlose IP Zugangsnetzwerk dem Benutzer erlaubt, auf das Internetnetzwerk zuzugreifen, sobald er authentifiziert ist. Das drahtlose Endgerät, das drahtlose IP Zugangsnetzwerk und das mobile Netzwerk kommunizierten alle mit einem mobilen IP Protokoll. Das System umfasst auch eine Steuereinheit für öffentlichen Zugang (Englisch: PAC Public Access Controller) zum Steuern des Zugangs aus dem Funkzugangsnetzwerk zu den Internetdiensten. Diese Steuereinheit für öffentlichen Zugang stellt dem drahtlosen Endgerät eine IP Adresse bereit und authentifiziert das drahtlose Endgerät, bevor eine Verbindung mit dem Internet errichtet ist, und leitet Authentifizierungsnachrichten zwischen dem drahtlosen Endgerät und dem mobilen Heimatnetzwerk weiter. Ferner ist die Schnittstelle zwischen dem drahtlosen Endgerät und der öffentlichen Zugangssteuereinheit eine IP basierte Schnittstelle, wobei die Steuereinheit für öffentlichen Zugang und das drahtlose Endgerät durch entsprechende IP Adressen vor einander identifiziert werden. Die Tatsache, dass die Steuereinheit für öffentlichen Zugang und das drahtlose Endgerät ein IP-basiertes Protokoll benutzen, macht es wesentlich, dass dem drahtlosen Endgerät von Anfang an eine IP Adresse zugewiesen wird, wobei diese IP Adresse von der Steuereinheit für öffentlichen Zugang an das drahtlose Endgerät vor dem Errichten einer sicheren Kanalkommunikation gesendet wird. Dabei tritt aufgrund der Tatsache, dass die Zuweisung einer IP Adresse vor dem Ablaufen des Authentifizierungsprozesses ausgeführt wird, das gleiche Problem auf wie bei der obigen Anmeldung (US 2002/009199) und folglich kann ein böswilliger Benutzer möglicherweise eine ganze Menge wohlbekannter Angriffe initiieren.
  • Zusammenfassend ist eine wichtige Aufgabe der vorliegenden Erfindung die Bereitstellung eines Systems, von Mitteln und Verfahren zum Ermöglichen einer effektiven, SIM-basierten Benutzerauthentifizierung und zum Errichten eines vollständigen Verschlüsselungspfads, beginnend bei der TE, für WLAN Benutzer, die Teilnehmer eines öffentlichen Landmobilnetzwerks sind. Eine andere besonders wichtige Aufgabe ist, dass diese SIM-basierte Benutzerauthentifizierung ausgeführt werden kann, bevor dem Benutzer die IP Verbindungsfähigkeit verliehen wird.
  • Eine weitere Aufgabe der vorliegenden Erfindung ist die Unterstützung von Schlüsseln mit variabler Länge, die Benutzung von Sicherheitsalgorithmen zur Auswahl durch den Betreiber sowie die Bereitstellung eines Schlüsselrotationsverfahrens.
  • Einen noch weitere Aufgabe der vorliegenden Erfindung ist das Erreichen der vorgenannten Ziele mit einem minimalen Einfluss auf herkömmliche WLAN Szenarien.
  • Zusammenfassung der Erfindung
  • Die Aufgaben der Erfindungen werden gelöst durch ein Verfahren zum Erlauben einer SIM-basierten Authentifizierung für Benutzer eines drahtlosen Lokalnetzwerks, die Teilnehmer eines öffentlichen Landmobilfunknetzes sind, mittels Datenverbindungsschicht (Englisch: Data Link Lager) Schicht-2 (Englisch: Lager-2) Authentifizierungsmechanismus. Ein wichtiger Aspekt dieses Verfahrens ist, dass die IP Verbindungsfähigkeit dem Benutzer nur dann bereitgestellt wird, wenn der Authentifizierungsprozess erfolgreich abgeschlossen ist. Die Aufgaben der Erfindung werden daher erreicht mit einem Verfahren, bei dem ein drahtloses Endgerät einen zugänglichen Zugangspunkt findet und die Assoziierung mit dem drahtlosen Lokalnetzwerk anfragt, und der Zugangspunkt die Anfrage dafür akzeptiert. Das drahtlose Endgerät initiiert dann das Auffinden einer Zugangssteuereinheit, die zwischen dem Zugangspunkt und dem öffentlichen Landmobilfunknetz zwischengeschaltet ist.
  • Dann sendet das drahtlose Endgerät den Benutzerbezeichner unmittelbar auf ein Schicht-2 Punkt-zu-Punkt Protokoll (Englisch: Point-to-point Lager 2 protocol) gerichtet an die Zugangssteuereinheit, die dann in oben auf einem Schicht-2 Punkt-zu-Punkt Protokoll empfangenen Benutzerkennzeichner aufwärts an ein in der Anwendungsebene angesiedeltes Authentifizierungsprotokoll weitergibt.
  • Danach sendet die Zugangssteuereinheit den Benutzerkennzeichner gerichtet an einen Authentifizierungs-Gateway in dem öffentlichen Landmobilfunknetz, um einen Authentifizierungsvorgang zu initiieren.
  • Nachdem der Authentifizierungsvorgang gestartet ist, empfängt die Zugangssteuereinheit eine Authentifizierungsanfrage von dem öffentlichen Landmobilfunknetz über den Authentifizierungs-Gateway; und verschiebt die von demselben Protokoll auf der Anwendungsebene empfangene Authentifizierungsanfrage abwärts oben auf das Schicht-2 Punkt-zu-Punkt Protokoll. Die Authentifizierungsanfrage wird von der Zugangssteuereinheit gerichtet an das drahtlose Endgerät gesendet, um eine Authentifizierungsanfrage abzuleiten.
  • Dann kann das drahtlose Endgerät die Authentifizierungsantwort unmittelbar oben auf ein Schicht-2 Punkt-zu-Punkt Protokoll gerichtet an die Zugangssteuereinheit senden, die die oben auf dem Schicht-2 Punkt-zu-Punkt Protokoll empfangene Authentifizierungsantwort aufwärts zu dem Authentifizierungsprotokoll in der Anwendungsebene verschiebt. Die Authentifizierungsantwort wird von der Zugangssteuereinheit, die einen Verschlüsselungsschlüssel von dem öffentlichen Landmobilnetzwerk über den Authentifizierungs-Gateway empfängt, gerichtet an den Authentifizierungs-Gateway gesendet.
  • Danach extrahiert die Zugangssteuereinheit den auf dem Protokoll in der Anwendungsebene empfangenen Verschlüsselungsschlüssel zur weiteren Verschlüsselung des Kommunikationspfads mit dem drahtlosen Endgerät; und die Zugangssteuereinheit sendet eine zugewiesene IP Adresse und andere Netzwerkkonfigurationsparameter gerichtet an das drahtlose Endgerät.
  • Dies stellt den Vorteil bereit, dass das mobile Endgerät im gesamten Kommunikationspfad einen Sicherheitsauthentifizierungsmechanismus, ähnlich den in Funkkommunikationsnetzwerken benutzten, hinzufügt, was bedeutet, dass die Geheimhaltung im drahtlosen Pfad und im drahtgestützten Pfad erzielt wird. Die Betreiber können ihre Zugangsnetzwerke erweitern, in dem sie lokalisierten Breitbandzugang (11 Mbps) bei sehr niedrigen Kosten anbieten.
  • Auch wird zum Erreichen der Aufgaben der vorliegenden Erfindung eine Zugangssteuereinheit mit einem in einer OSI Schicht-2 angeordneten Punkt-zu-Punkt Server bereitgestellt zum Kommunizieren mit dem drahtlosen Endgerät; und ein in einer OSI Anwendungsebene angesiedeltes Authentifizierungsprotokoll zum Kommunizieren mit dem öffentlichen Landmobilfunknetz. Darüber hinaus umfasst diese Zugangssteuereinheit auch ein Mittel zum Schieben der oben auf dem Schicht-2 Punkt-zu-Punkt Protokoll empfangenen Information aufwärts zu einem geeigneten, in der Anwendungsebene angesiedelten Authentifizierungsprotokoll. In ähnlicher Weise umfasst auch die Zugangssteuereinheit Mittel zum Schieben der oben auf dem in der Anwendungsebene residierenden Authentifizierungsprotokoll empfangenen Information abwärts nach oben auf das Schicht-2 Punkt-zu-Punkt Protokoll.
  • Um die Aufgaben der vorliegenden Erfindung vollständig zu erzielen, wird auch ein drahtloses Endgerät bereit gestellt, das Funktionalität bereit stellt zum Agieren als eine Schicht-2 Punkt-zu-Punkt Protokoll-Client und das oben auf diesem Schicht-2 Punkt-zu-Punkt Protokoll ein erweiterbares Authentifizierungsprotokoll aufweist.
  • Die durch die Erfindung bereit gestellte Gesamtlösung resultiert in einem Telekommunikationssystem, das fol gendes umfasst: ein drahtloses Lokalnetzwerk mit mindestens einem Zugangspunkt, ein öffentliches Landmobilfunknetz, mindestens ein drahtloses Endgerät wie oben, und die obige Zugangssteuereinheit.
  • Kurze Beschreibung der Zeichnungen
  • Die Merkmale, Aufgaben und Vorteile der Erfindung werden offensichtlich durch Lesen dieser Beschreibung zusammen mit den beigefügten Zeichnungen, für die gilt:
  • 1 stellt eine bevorzugte Ausführungsform davon dar, wie ein Benutzer eines herkömmlichen Mobilfunknetzes, der durch ein WLAN, auf das von mobilen und nicht mobilen Benutzern zugegriffen werden kann, Zugang erlangt, durch sein eigenes Mobilfunknetz authentifiziert werden kann und einen verschlüsselten Pfad von dem TE zu seinem eigenen Mobilfunknetzwerk zur Verfügung gestellt bekommen.
  • 2 zeigt eine im Vergleich zu der Architektur in 1 vereinfachte Architektur, die auf einen WLAN, auf den nur Benutzer eines öffentlichen Landmobilfunknetzes zugreifen, anwendbar ist.
  • 3 zeigt schematisch eine Ausführungsform einer Zugangssteuereinheit mit einem PPPoE Server und einem RADIUS Client, in dem sich das erweiterbare Authentifizierungsprotokoll angeordnet ist.
  • 4 zeigt im Wesentlichen eine beispielhafte Abfolge von Aktionen, die von dem TE zu dem Mobilfunknetz und durch die WLAN Einheiten hindurch ausgeführt werden, um eine SIM-basierte Benutzerauthentifizierung auszuführen.
  • Ausführliche Beschreibung bevorzugter Ausführungsformen
  • Das Folgende beschreibt derzeit bevorzugte Ausführungsformen von Mitteln, Verfahren und ein System zum Ermöglichen einer effektiven, SIM-basierten Benutzerauthentifizierung und zum Errichten eines vollständigen Verschlüsselungspfads beginnend bei der TE für WLAN Benutzer, die Teilnehmer eines öffentlichen Landmobilfunknetzes sind. Nach einem Aspekt der vorliegenden Erfindung wird diese SIM-basierte Benutzerauthentifizierung ausgeführt bevor dem Benutzer eine IP Verbindungsfähigkeit verliehen worden ist.
  • Daher wird in 1 eine Gesamtskizze einer bevorzugten Ausführungsform vorgestellt. Diese zeigt ein allgemeines Szenario, bei dem Teilnehmer eines öffentlichen Landmobilfunknetzes (GSM/GPRS/UMTS) ebenso wie andere lokale, nicht mobile Benutzer, auf ein drahtloses Lokalnetzwerk (WLAN) zugreifen. Dieses allgemeine Szenario in 1 schlägt eine besonders einfache Architektur vor, die darauf abzielt, die Einflüsse auf ein bestehendes herkömmliches WLAN zu minimalisieren, um eine der Aufgaben der vorliegenden Erfindung zu lösen. Diese ziemlich einfache Architektur bezieht verschiedene, im Folgenden beschriebene Einheiten aus einem WLAN und aus einem öffentlichen Landmobilfunknetz mit ein. Ferner gibt 2 eine noch weiter vereinfachte Architektur gemäß einer anderen Ausführungsform der vorliegenden Erfindung für ein WLAN ohne lokale WLAN Benutzer, das nur an Teilnehmer eines öffentlichen Landmobilfunknetzes Zugang verleiht.
  • Eine erste Einheit in 1 und 2 ist die Endgeräteapparatur (TE, Englisch: Terminal Equipment), die mit der notwendigen Hardware und Software zum Dienen als Schnittstelle mit der SIM Karte des Benutzers und ebenso zum Senden und Empfangen der erforderlichen Benachrichtigungsinformation nach der Authentifizierungs- und Schlüsselübereinkunft (AKA, Englisch: Authentication and Key Agreement)-Protokoll ausgerüstet ist. Die TE umfasst auch die erforderliche Software, um ein Punkt-zu-Punkt Protokoll über Ethernet (PPPoE) Protokoll, Clientseitig und gemäß RFC 2516 zu implementieren.
  • Das Einschließen eines derartigen PPPoE Client ermöglicht die Errichtung einer Punkt-zu-Punkt Protokoll (PPP) Sitzung mit einem bestimmten Server in der WLAN Domäne. Dies ist eine sehr günstige Ausführungsform, um bestehenden Authentifizierungsmechanismen zum Durchbruch zu verhelfen, beispielsweise dem erweiterbaren Authentifizierungsprotokoll (EAP, Englisch: Extensible Authentication Protocol) und Verschlüsselungsprotokollen, wie etwa dem PPP Verschlüsselungssteuerungsprotokoll (im folgenden als „PPP verschlüsselt" bezeichnet) gemäss RFC 1968, das den Verschlüsselungspfad entlang des drahtgestützten Teils des WLAN erweitert, was ein viel höheres Sicherheitsniveau bietet. Eine Komponente wie dieser PPPoE Client ist ein Kernelement für die vorgeschlagene Lösung.
  • Andere Einheiten in den Szenarien der 1 und 2 sind die Zugangspunkte (AP), die sich als reine Standardfunkstationen gemäss dem Standard 802.11b ohne jegliche zusätzliche Logik verhalten. Anders als andere mögliche Lösungen, wie bezüglich des aufkommenden Standards 802.1x erläutert, erlaubt der durch die vorliegende Erfindung angebotene Ansatz die Wiederverwendung der bestehenden preiswerten Hardware anstatt dass alle in den WLAN vorhandenen AP's (Englisch: Access Point) ersetzt oder nachgerüstet werden müssen. Diese unveränderten AP's können in diesem Szenario mit dem ausgeschalteten WEP Support laufen gelassen werden, weil ein derartiger WEP aus sich selbst heraus eine geringere Sicherheit als im Vergleich zu den oben auf der PPPoE Ebene implementierten Sicherheitsmechanismen bietet.
  • Nach einem Aspekt der vorliegenden Erfindung wird eine neue Einheit bereitgestellt, die Zugangssteuereinheit (im Folgenden als AC, Englisch: Access Controller) sowohl in 1 als auch in 2 bereitgestellt, welche AC die erforderliche PPPoE Serverfunktionalität umfasst. Dieser PPPoE Server wird von der Endgeräteapparatur (TE) automatisch durch einen eingebauten Mechanismus in dem PPPoE Protokoll erkannt, nämlich durch einen Handshake, der durch eine als Sammelruf ausgesendete Nachricht initiiert wurde. Diese Zugangssteuereinheit (AC) umfasst auch eine Funktionalität als RADIUS Client, die die Verantwortlichkeit aufweist für das Einholen von Client-Berechtigungsnachweisen, die durch oben auf einem PPP getragenen EAP Attributen empfangen werden, und für das Aussenden derselben gerichtet an einen herkömmlichen WLAN Authentifizierungsserver (WLAN-AS), und auch durch EAP Attribute, die oben auf RADIUS Nachrichten getragen werden. Eine Komponente wie diese Zugangssteuereinheit (AC), ist auch ein Kernelement für den Zweck der vorliegenden Lösung.
  • Sowohl die Zugangssteuereinheit als auch der vorgenannte, in der Endgeräteapparatur eingebettete PPPoE Client sind kooperierende Einheiten, die zum Tunneln einer Anfrage/Antwort-Authentifizierungsprozedur ebenso wie zum Errichten eines verschlüsselten Pfads gedacht sind.
  • Eine weitere nur in dem in 1 gezeigten Allgemeinszenario vorhandene Einheit ist ein WLAN-Authentifizierungsserver (WLAN-AS), der die Funktionalität eines lokalen Authentifizierungsservers implementiert für nicht zu dem Mobilbetreiber gehörende, lokale WLAN Benutzer, die folglich durch andere Mittel, wie etwa eine reine Benutzer- und Passwortanpassung authentifiziert werden können. Dieser WLAN-AS spielt auch die Rolle eines RADIUS Proxy, wenn Authentifizierungsnachrichten von der Zugangssteuereinheit empfangen werden, und leitet diese gerichtet an einen Authentifizierungs-Gateway (im folgenden als AG bezeichnet) weiter in der Domäne des Betreibers des öffentlichen Landmobilfunknetzes.
  • Der WLAN-AS ist nur erforderlich für den Zweck der vorliegenden Erfindung, um die eigenen WLAN Benutzer, die keine mobilen Teilnehmer des öffentlichen Landmobilfunknetzes sind, zu authentifizieren. Folglich kann ein WLAN, das zum Verleihen von Zugang nur an Teilnehmer eines Mobilfunknetzes gedacht ist, sich von derartigen Einheiten befreien, ohne die Authentifizierung des mobilen Teilnehmers und die Errichtung eines verschlüsselten Pfads zu beeinflussen, was der Umfang der vorliegenden Erfindung ist. In dieser Hinsicht zeigt 2 eine Ausführungsform einer vereinfachten Architektur für ein WLAN, das Zugang nur an Teilnehmer eines öffentlichen Landmobilfunknetzes, in dem der WLAN-AS folglich nicht enthalten ist wie oben erläutert, verleiht.
  • Eine noch weitere in den Szenarien der 1 und 2 enthaltene Einheit ist der Authentifizierungs-Gateway (im Folgenden als AG bezeichnet), allein oder wahrscheinlich in Kooperation mit einem Heimatortregister (HLR, Englisch: Home Location Register) zum Speichern der Benutzerdaten von mobilen Teilnehmern. Dieser Authentifizierungs-Gateway (AG), alleine oder in Kombination mit einem HLR, fungiert als Backend-Server zur Authentifizierung innerhalb der Domäne des Betreibers, und betreut das Erzeugen von Authentifizierungsvektoren nach dem AKA Protokoll für herkömmliche und neuere öffentliche Landmobilfunknetze, wie etwa GSM, GPRS und UMTS. Diese Komponenten, nämlich AG und HLR, können physikalisch ge trennte Einheiten sein, die miteinander durch das mobile Anwendungsteil (MAP, Englisch: Mobile Application Part)-Protokoll miteinander kommunizieren, oder sie können eine einzelne logische Einheit sein, die als ein RADIUS Server mit eingebauter Teilnehmerdatenbank, zusammen mit der Implementierung der erforderlichen Algorithmen in AKA, wie etwa die wohl bekannten A5, A8 usw., agiert. Im letzteren Ansatz ist die Kommunikation in Richtung auf einen HLR folglich nicht erforderlich, wie beispielhaft in 2 veranschaulicht.
  • Kurz gesagt sind die Zugangssteuereinheit, der vorgenannte, in der Endgeräteapparatur eingebettete PPPoE Client und dieser Authentifizierungs-Gateway die Kerneinheiten für den Zweck der vorliegenden Erfindung. Die besondere Beschreibung der in diesen Einheiten vorhandenen Funktionen geschieht nur veranschaulichend und in einer nicht beschränkenden Weise.
  • 3 zeigt verschiedene in einer Zugangssteuereinheit (AC) involvierte Protokollebenen mit Verweis auf das Modell der systemunabhängigen Kommunikation (OSI, Englisch: Open System Interconnection). Der unterhalb einer IP Ebene angeordnete PPPoE Server umfasst eine PPPoE Protokollebene, die natürlicherweise über einer Ethernetebene residiert, und weist die den vorgenannten eingebetteten EAP auf. In ähnlicher Weise gilt, dass der RADIUS Client eine RADIUS Protokollschicht aufweist, die die EAP eingebettet aufweist, wobei die EAP über einem UDP Layer angesiedelt ist, die beide über einer IP Ebene angesiedelt sind.
  • Andererseits wird die Art und Weise, in der die verschiedenen Elemente einiger Aspekte die vorliegende Erfindung gemäß den derzeit bevorzugten Ausführungsformen ausführen, im Folgenden mit Verweis auf die Abfolge der in 4 gezeigten Aktionen beschrieben.
  • Die vorgenannte Endgeräteapparatur (TE) ist mit einem Mobilfunkendgeräteadapter (MTA, Englisch: Mobile Terminal Adapter), der den Zugriff auf eine in dem Mobilfunkendgerät getragenen SIM Karte erlaubt, ausgerüstet. Diese TE weist ein Sendeempfangsgerät auf zum Kommunizieren (C-401, C-402) mit einem AP des WLAN, und umfasst den geeigneten Software-Stapel, um das PPPoE Protokoll gemass RFC 2516 zu implementieren.
  • Die Zugangssteuereinheit (AC) weist einen eingebetteten PPPoE Server auf. Das Erkennen des PPPoE Servers durch den PPPoE Client ist ein integraler Teil des Protokolls selbst (C-403, C-404, C-405, C-406). Die von dem TE auf der PPPoE Verbindung (C-407, C-408) benutzte Identität ist ein Netzwerkzugangsbezeichner (NAI, Englisch: Network Access Identifier), der vom Benutzer eingegeben wird, um die erforderlichen Einwahlsitzungen herzustellen, und dessen Wirkungsbereich benutzt wird, um den Benutzer als einen Teilnehmer eines gegebenen Mobilbetreibers zu identifizieren. Es wird kein Passwort benötigt, weil die Authentifizierung durch andere Mittel ausgeführt wird. Alternativ könnte die IMSI anstelle des Sendens einer NAI von der SIM Karte geholt werden und als die Benutzeridentität gesendet werden. Dies sollte nur eingesetzt werden, wenn das Aussenden der IMSI im Klartext akzeptabel ist, was nicht der Fall sein könnte.
  • Nachdem die Benutzeridentität mit Hilfe des EAP Mechanismus empfangen worden ist, weist die Zugangssteuereinheit (AC) einen RADIUS Client auf zum Senden (C-408) von Authentifizierungsnachrichten an den WLAN-AS Server. Das erweiterbare Authentifizierungsprotokoll (EAP) wird oben auf PPP und RADIUS ablaufen gelassen, um Authentifizie rungsinformation zwischen der TE und der AG zu transportieren. Der innerhalb der EAP zu benutzende Authentifizierungsmechanismus kann der gewöhnliche, in öffentlichen Landmobilfunknetzen benutzte AKA sein. Wie bereits oben erwähnt, fungiert der WLAN-AS als ein Authentifizierungsserver für reguläre WLAN Benutzer, deren Authentifizierung nicht SIM-basiert ist, und als ein Authentifizierungs-Proxy für diejenigen Benutzer, deren Bereichsteil der NAI diese als Teilnehmer eines Mobilfunknetzes identifiziert, wodurch eine SIM-basierte Authentifizierung eingesetzt wird. Wenn er dann als ein Authentifizierungs-Proxy fungiert, leitet der WLAN-AS (C-410) die empfangenen Authentifizierungsnachrichten an den Authentifizierungs-Gateway (AG) weiter.
  • Wenn der Authentifizierungs-Gateway eine Authentifizierungsanforderung empfängt, fragt die HRL unter Benutzung einer MAP Schnittstelle nach einem Authentifizierungsvektor (C-411), Trielet oder Quintet. Für diese Aufgabe muss der Authentifizierungs-Gateway (AG) die IMSI des Teilnehmers, dessen NAI in der RADIUS Nachricht gesendet worden sind, kennen. Diese IMSI kann beispielsweise durch ein Nachschlagen in einer Verzeichnisdatenbank erkannt werden. Die HLR antwortet mit der angeforderten Authentifizierungsinformation (C-412) für den Benutzer.
  • Dann kapselt die AG die RAND Komponente des Authentifizierungsvektors in ein EAP Attribut und sendet dies innerhalb einer RADIUS Nachricht durch den WLAN-AS (C-413) gerichtet an den AC (C-414) zurück. Es sei angemerkt, dass für Benutzer von neueren mobilen Netzwerken, wie etwa UMTS, auch das Aussenden einer Nachricht wie etwa AUTN erforderlich sein kann.
  • Die AC leitet dann (C-415) die empfangene EAP Information in einer PPP Nachricht an die PE weiter. Es sei ange merkt, dass die AC sich hier als ein „Durchlauf" der EAP Information zwischen „Carrier" Protokollen, wie etwa PPP und RADIUS, verhält.
  • Wenn die TE die EAP Information empfängt, die RAND Nummer extrahiert und diese benutzt, um die SIM abzufragen und eine Antwort (RES) zu erzeugen, die dann an die AG über das wiederum über PPP und RADIUS übertragene EAP zurückgeschickt wird (C-416, C-417, C-418). Wie zuvor für UMTS Benutzer authentifiziert die TE zuerst das Netzwerk, basiert auf der AUTN. Bei diesem Schritt ist anzumerken, dass die TE den Verschlüsselungsschlüssel erzeugt, und zwar gemäß dem im AKA definierten Standardalgorithmus. Dieser Schlüssel wird als ein Keim, nämlich als Verschlüsselungsmaterial, benutzt, um einen oder mehrere, mit dem in RFC 1968 genannten PPP Verschlüsselungssteuerungsprotokoll und ebenso mit den bestehenden PPP Verschlüsselungsalgorithmen zu benutzende Sitzungsschlüssel, beispielsweise das PPP Triple-DES Verschlüsselungsprotokoll, RFC 2420, abzuleiten.
  • Die AG empfängt (C-418) die EAP Antwort und überprüft die Gültigkeit der Anfrage. Der AKA Verschlüsselungsschlüssel (Kc) wurde vorher in dem Authentifizierungsvektor von der HLR, wahrscheinlich in Kooperation mit einem nicht gezeigten Authentifizierungszentrum (AuC, Englisch: Authentication Centre) empfangen. Die AG kommuniziert dann den AKA Verschlüsselungsschlüssel (Kc) an den AC (C-419, C-420), wo der PPPoE Server residiert. Dies kann in einer RADIUS Zugangsakzeptierungs-(Englisch: Access Accept) Nachricht ausgeführt werden, in der der EAP-Erfolg (Englisch: EAP-Success) übertragen wird, jedoch weil dieser EAP Befehl keine zusätzlichen Daten tragen kann, kann ein RADIUS Anbieterspezifisches Attribut (VSA, Englisch: Vendor Specific Attribute) eine nützlichere Option sein.
  • An dieser Stufe empfängt der AC (C-420) eine RADIUS Zugangsakzeptierungsnachricht und fordert eine IP Adresse aus einem dynamischen Host Konfigurationsprotokoll (DHCP, Englisch: Dynamic Host Configuration Protocol) Server, wobei diese IP Adresse weiter an die TE zu senden ist, an. Die AC folgt dem gleichen Algorithmus wie die TE, um aus dem mit dem PPP Verschlüsselungssteuerungsprotokoll und dem gewählten PPP Verschlüsselungsalgorithmus (beispielsweise 3DES) zu benutzenden AKA Verschlüsselungsschlüssel (Kc) Sitzungsschlüssel abzuleiten. Der AC sendet (C-421) möglicherweise die Nachricht „EAP-Erfolg" an die TE, zusammen mit anderen an die TE bestimmten Konfigurationsparametern, wie etwa einer IP Adresse, einer IP Netzmaske, DNS Servern, usw. Dann ist die PPP Verbindung vollständig eingerichtet und dazu bereit, in die Netzwerkphase einzutreten.

Claims (25)

  1. Ein Verfahren in einem Telekommunikationssystem zum Erlauben einer SIM-basierten Authentifizierung für Benutzer eines drahtlosen, lokalen Netzwerks, wobei die Benutzer Teilnehmer eines öffentlichen Landmobilfunknetzes sind, das Verfahren umfassend die folgenden Schritte: (a) ein drahtloses Endgerät greift über einen zugänglichen Zugangspunkt auf das drahtlose lokale Netzwerk zu; (b) Erkennen einer zwischen dem Zugangspunkt und dem öffentlichen Landmobilfunknetz des drahtlosen Endgeräts zwischengeschalteten Zugangssteuereinheit; (c) Ausführen einer SIM-basierten Authentifizierungsprozedur mittels Anfrage/Antwort zwischen dem drahtlosen Endgerät und dem öffentlichen Landmobilfunknetz über die Zugangssteuereinheit, wobei das drahtlose Endgerät mit einer SIM Karte ausgestattet ist und zum Lesen von deren Daten ausgebildet ist; das Verfahren dadurch gekennzeichnet, dass die Einsendungen im Rahmen der Authentifizierung mittels Anfrage/Antwort in Schritt c) stattfinden, bevor eine IP Verbindungsfähigkeit mit dem Benutzer bereitgestellt worden ist, und ausgeführt werden: – oben auf einem Protokoll der Punkt-zu-Punkt Ebene 2 (PPPoE) (Englisch: Point-to-Point layer 2 protocol) zwischen dem drahtlosen Endgerät und der Zugangssteuereinheit; und – auf einem sich auf der Anwendungsebene zwischen dem öffentlichen Landmobilfunknetz und der Zugangssteuereinheit befindlichen Authentifizierungsprotokoll; und das Verfahren ferner einen Schritt umfasst: (d) dem Benutzer am drahtlosen Endgerät Anbieten von einer IP Verbindungsfähigkeit mit durch Senden einer zugewiesenen IP Adresse und anderen Netzwerkkonfigurationsparametern, wenn der Benutzer einmal von dem öffentlichen Landmobilfunknetzwerk gültig authentifiziert worden ist.
  2. Das Verfahren nach Anspruch 1, wobei der Schritt b) des Erkennens einer Zugangssteuereinheit einen Schritt umfasst des Einrichtens einer Arbeitssitzung eines Punkt-zu-Punkt Protokolls zwischen einem Client eines Punkt-zu-Punkt über Ethernet (PPPoE) Protokolls in dem drahtlosen Endgerät und einem Server eines Punkt-zu-Punkt über Ethernet (PPPoE) Protokolls in der Zugangssteuereinheit.
  3. Das Verfahren nach Anspruch 1, wobei der Schritt c) des Ausführens der Authentifizierungsprozedur über Anfrage/Antwort die folgenden Schritte umfasst: (c1) Senden eines Nutzerbezeichners aus dem drahtlosen Endgerät an das öffentliche Landmobilfunknetz über die Zugangssteuereinheit; (c2) Empfangen einer Authentifizierungsanfrage aus dem öffentlichen Landmobilfunknetz über die Zugangssteuereinheit an dem drahtlosen Endgerät; (c3) bei dem drahtlosen Endgerät aus der empfangenen Nachricht Ableiten eines Verschlüsselungsschlüssels und einer Authentifizierungsanfrage; (c4) Senden der Authentifizierungsantwort aus dem drahtlosen Endgerät an das öffentliche Landmobilfunknetz über die Zugangssteuereinheit; (c5) Empfangen eines Verschlüsselungsschlüssels aus dem öffentlichen Landmobilfunknetz an der Zugangssteuereinheit; und (c6) Extrahieren des Verschlüsselungsschlüssels, der zur weiteren Verschlüsselung eines Kommunikationspfades mit dem drahtlosen Endgerät empfangen worden ist.
  4. Das Verfahren nach Anspruch 2, ferner umfassend einen Schritt des Verschiebens von oben auf einem Protokoll der Punkt-zu-Punkt Ebene 2 (PPPoE) empfangener Authentifizierungsinformation, aufwärts zu einem sich in einer Anwendungsebene für Einsendungen zu dem öffentlichen Landmobilfunknetz befindlichen Authentifizierungsprotokoll.
  5. Das Verfahren nach Anspruch 4, ferner umfassend einen Schritt des Verschiebens von auf einem in der Anwendungsebene angeordneten Authentifizierungsprotokoll empfangenen Authentifizierungsinformation, abwärts nach oben auf ein Protokoll einer Punkt-zu-Punkt Ebene 2 (PPPoE) für Einsendungen zu dem drahtlosen Endgerät.
  6. Das Verfahren nach Anspruch 3, ferner umfassend einen Schritt des Einrichtens an dem drahtlosen Endgerät eines symmetrischen Verschlüsselungspfads unter Benutzung des zuvor abgeleiteten Verschlüsselungsschlüssels bei der Zugangssteuereinheit und dem drahtlosen Endgerät.
  7. Das Verfahren nach einem der vorhergehenden Ansprüche, wobei der Schritt d) des Aussendens einer IP Adresse einen vorhergehenden Schritt des Anfragens einer derartigen IP Adresse von einem Protokollserver für eine dynamische Host-Konfiguration enthält.
  8. Das Verfahren nach einem der vorhergehenden Ansprüche, wobei die Kommunikation zwischen der Zugangssteuereinheit und dem öffentlichen Landmobilfunknetz über einen Authentifizierungs-Gateway des öffentlichen Landmobilfunknetzes verläuft.
  9. Das Verfahren nach einem der vorhergehenden Ansprüche, wobei die Kommunikation zwischen der Zugangssteuereinheit und dem Authentifizierungs-Gateway eines öffentlichen Landmobilfunknetzes über einen Authentifizierungsserver des für die Authentifizierung von lokalen Benutzern des drahtlosen lokalen Netzwerks, die keine mobilen Teilnehmer sind, zuständigen drahtlosen lokalen Netzes erfolgt.
  10. Das Verfahren nach einem der vorhergehenden Ansprüche, wobei der Benutzerkennzeichner in Schritt c1) einen Netzzugangsbezeichner umfasst.
  11. Das Verfahren nach einem der vorhergehenden Ansprüche, wobei der Benutzerbezeichner in Schritt c1) eine internationale Mobilteilnehmeridentität umfasst.
  12. Das Verfahren nach einem der vorhergehenden Ansprüche, wobei das in der Anwendungsebene im Schritt c) angeordnete Authentifizierungsprotokoll ein erweiterbares Authentifizierungsprotokoll ist.
  13. Das Verfahren nach Anspruch 12, wobei dieses erweiterbare Authentifizierungsprotokoll über ein RADIUS-Protokoll transportiert wird.
  14. Das Verfahren nach Anspruch 12, wobei das erweiterbare Authentifizierungsprotokoll über ein Durchmesser-Protokoll (Englisch: Diameter Protocol) transportiert wird.
  15. Eine Zugangssteuereinheit in einem Telekommunikationssystem, das ein drahtloses Lokalnetzwerk mit mindestens einem Zugangspunkt, ein öffentliches Landmobilfunknetz und mindestens eine mit einer SIM Karte versehene und zum Lesen von deren Teilnehmerdaten ausgebildete Endgerätapparatur umfasst; wobei die Zugangssteuereinheit dadurch gekennzeichnet ist, dass sie umfasst: (a) einen Server für ein Protokoll einer Punkt-zu-Punkt Ebene 2 (PPPoE) (Englisch: Point-to-Point layer 2 protocol) zum Kommunizieren mit dem drahtlosen Endgerät, und ausgebildet zum Durchtunneln des SIM-basierten Authentifizierungsprotokolls mittels Anfrage/Antwort; und (b) ein Authentifizierungsprotokoll, das auf einer OSI Anwendungsebene zum Kommunizieren mit dem öffentlichen Landmobilfunknetz angeordnet ist.
  16. Die Zugangssteuereinheit nach Anspruch 15, ferner umfassend: (a) Mittel zum Verschieben der auf der Oberseite des Protokolls der Punkt-zu-Punkt Ebene 2 (PPPoE) empfangenen Information aufwärts zu dem in der Anwendungsschicht angeordneten Authentifizierungsprotokoll; und (b) Mittel zum Verschieben der auf dem in der Anwendungsebene angeordneten Authentifizierungsprotokoll empfangenen Information abwärts nach oben auf das Protokoll der Punkt-zu-Punkt Ebene 2 (PPPoE).
  17. Die Zugangssteuereinheit nach Anspruch 16, ferner umfassend Mittel zum Anfragen einer IP Adresse von einem Server für ein Protokoll einer dynamischen Host-Konfiguration, nachdem ein Benutzer durch sein öffentliches Landmobilfunknetz erfolgreich authentifiziert worden ist.
  18. Eine Zugangssteuereinheit nach Anspruch 17, ausgebildet zum Kommunizieren mit einem drahtlosen Endgerät über einen Zugangspunkt.
  19. Eine Zugangssteuereinheit nach Anspruch 17, ausgebildet zum Kommunizieren mit einem öffentlichen Landmobilfunknetz über einen Authentifizierungs-Gateway.
  20. Eine Zugangssteuereinheit nach Anspruch 17, ausgebildet zum Kommunizieren über einen zum Authentifizieren von lokalen Benutzern eines öffentlichen lokalen Netzes verantwortlichen Authentifizierungsserver mit einem Authentifizierungs-Gateway.
  21. Eine Zugangssteuereinheit nach einem der Ansprüche 15 bis 20, wobei das auf der Anwendungsebene angeordnete Authentifizierungsprotokoll ein erweiterbares Authentifizierungsprotokoll ist.
  22. Die Zugangssteuereinheit nach Anspruch 21, wobei dieses erweiterbare Authentifizierungsprotokoll über ein RADIUS-Protokoll transportiert wird.
  23. Die Zugangssteuereinheit nach Anspruch 21, wobei dieses erweiterbare Authentifizierungsprotokoll über ein Durchmesser-Protokoll (Englisch: Diameter Protocol) transportiert wird.
  24. Ein drahtloses Endgerät mit einer SIM Karte, die zum Ausführen einer SIM-basierten Authentifizierungsprozedur zugänglich ist, wobei das drahtlose Endgerät eine Funktionalität zum Agieren als ein Client eines Protokolls einer Punkt-zu-Punkt Ebene 2 (PPPoE) umfasst und das oben auf diesem Protokoll der Punkt-zu-Punkt Ebene 2 ein erweiterbares Authentifizierungsprotokoll aufweist, wobei das drahtlose Endgerät gekennzeichnet ist durch Empfangen einer IP Adresse, nachdem eine erfolgreiche SIM-basierte Authentifizierungsprozedur ausgeführt worden ist, wobei die IP Adresse benutzbar ist, um eine IP Verbindungsfähigkeit zu erhalten.
  25. Ein Telekommunikationssystem umfassend ein drahtloses lokales Netz mit mindestens einem Zugangspunkt, einem öffentlichen Landmobilfunknetz und mindestens einer mit einer SIM Karte ausgestatteten und zum Lesen von deren Teilnehmerdaten ausgebildeten Endgerätapparatur, dadurch gekennzeichnet, dass es ferner die Zugangssteuereinheit nach den Ansprüchen 15 bis 23 umfasst, um Benutzern des drahtlosen mobilen Netzes, die Teilnehmer des öffentlichen Landmobilfunknetzes sind, eine SIM-basierte Teilnehmerauthentifizierung zu erlauben.
DE60223951T 2002-05-01 2002-05-01 System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz Expired - Lifetime DE60223951T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2002/004865 WO2003094438A1 (en) 2002-05-01 2002-05-01 System, apparatus and method for sim-based authentication and encryption in wireless local area network access

Publications (2)

Publication Number Publication Date
DE60223951D1 DE60223951D1 (de) 2008-01-17
DE60223951T2 true DE60223951T2 (de) 2008-11-27

Family

ID=29286077

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60223951T Expired - Lifetime DE60223951T2 (de) 2002-05-01 2002-05-01 System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz

Country Status (10)

Country Link
US (1) US7936710B2 (de)
EP (1) EP1502388B1 (de)
JP (1) JP4194046B2 (de)
CN (1) CN100366007C (de)
AT (1) ATE380424T1 (de)
AU (1) AU2002255000A1 (de)
BR (1) BRPI0215728B1 (de)
DE (1) DE60223951T2 (de)
ES (1) ES2295336T3 (de)
WO (1) WO2003094438A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015122936A1 (de) * 2015-12-29 2017-06-29 Deutsche Telekom Ag Verfahren zur flexibleren Ressourcennutzung bei der Telekommunikation

Families Citing this family (98)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7325246B1 (en) * 2002-01-07 2008-01-29 Cisco Technology, Inc. Enhanced trust relationship in an IEEE 802.1x network
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
EP1512260B1 (de) * 2002-06-07 2005-11-30 Siemens Aktiengesellschaft Verfahren und vorrichtung zur authentifizierung eines teilnehmers für die inanspruchnahme von diensten in einem wirelees lan (wlan)
US7634230B2 (en) * 2002-11-25 2009-12-15 Fujitsu Limited Methods and apparatus for secure, portable, wireless and multi-hop data networking
US20050152305A1 (en) * 2002-11-25 2005-07-14 Fujitsu Limited Apparatus, method, and medium for self-organizing multi-hop wireless access networks
US7565688B2 (en) 2002-12-23 2009-07-21 Hewlett-Packard Development Company, L.P. Network demonstration techniques
JP4475377B2 (ja) * 2002-12-27 2010-06-09 日本電気株式会社 無線通信システム、共通鍵管理サーバ、および無線端末装置
ITRM20030100A1 (it) * 2003-03-06 2004-09-07 Telecom Italia Mobile Spa Tecnica di accesso multiplo alla rete, da parte di terminale di utente interconnesso ad una lan e relativa architettura di riferimento.
US20060179305A1 (en) * 2004-03-11 2006-08-10 Junbiao Zhang WLAN session management techniques with secure rekeying and logoff
CN1762127A (zh) * 2003-03-18 2006-04-19 汤姆森特许公司 使用通用分组无线服务/通用移动电信系统基础设施的无线局域网连接的验证
US20050114680A1 (en) * 2003-04-29 2005-05-26 Azaire Networks Inc. (A Delaware Corporation) Method and system for providing SIM-based roaming over existing WLAN public access infrastructure
JP2005341290A (ja) * 2004-05-27 2005-12-08 Keio Gijuku 通信システムおよび無線通信装置
CN1857024B (zh) * 2003-09-26 2011-09-28 艾利森电话股份有限公司 在移动通信系统中用于密码学的增强型安全性设计
US8345882B2 (en) * 2003-11-11 2013-01-01 Siemens Aktiengesellschaft Method for safeguarding data traffic between a first terminal and a first network and a second terminal and a second network
GB2417856B (en) * 2004-03-20 2008-11-19 Alcyone Holding S A Wireless LAN cellular gateways
US7861006B2 (en) * 2004-03-23 2010-12-28 Mcnulty Scott Apparatus, method and system for a tunneling client access point
US7623518B2 (en) * 2004-04-08 2009-11-24 Hewlett-Packard Development Company, L.P. Dynamic access control lists
US20050238171A1 (en) * 2004-04-26 2005-10-27 Lidong Chen Application authentication in wireless communication networks
US7873350B1 (en) * 2004-05-10 2011-01-18 At&T Intellectual Property Ii, L.P. End-to-end secure wireless communication for requesting a more secure channel
CN1274181C (zh) 2004-06-25 2006-09-06 华为技术有限公司 管理本地终端设备接入网络的方法
GR1005023B (el) * 2004-07-06 2005-10-11 Atmel@Corporation Μεθοδος και συστημα ενισχυσης της ασφαλειας σε ασυρματους σταθμους τοπικου δικτυου (lan)
KR100626676B1 (ko) * 2004-07-15 2006-09-25 삼성전자주식회사 애드 혹 네트워크에서 프리픽스 할당 방법
DE112005001833B4 (de) * 2004-07-30 2012-06-28 Meshnetworks, Inc. System und Verfahren zum Herbeiführen des sicheren Einsatzes von Netzwerken
WO2006013150A1 (en) * 2004-08-02 2006-02-09 Service Factory Sf Ab Sim-based authentication
DK1624639T3 (da) * 2004-08-02 2009-08-10 Service Factory Ab SIM-baseret autentificering
EP1635528A1 (de) * 2004-09-13 2006-03-15 Alcatel Verfahren für die Gewährleistung des Zugangs zu einem Datenkommunikationsnetzwerk und die entsprechenden Geräte
JP4689225B2 (ja) * 2004-10-15 2011-05-25 パナソニック株式会社 無線ネットワークシステム、無線端末収容装置及び通信装置
US7483996B2 (en) * 2004-11-29 2009-01-27 Cisco Technology, Inc. Techniques for migrating a point to point protocol to a protocol for an access network
US7558866B2 (en) * 2004-12-08 2009-07-07 Microsoft Corporation Method and system for securely provisioning a client device
WO2006064359A1 (en) * 2004-12-17 2006-06-22 Telefonaktiebolaget Lm Ericsson (Publ) Clone-resistant mutual authentication in a radio communication network
WO2006079953A1 (en) * 2005-01-31 2006-08-03 Koninklijke Philips Electronics N.V. Authentication method and device for use in wireless communication system
US8059527B2 (en) * 2005-02-19 2011-11-15 Cisco Technology, Inc. Techniques for oversubscribing edge nodes for virtual private networks
FR2883115A1 (fr) * 2005-03-11 2006-09-15 France Telecom Procede d'etablissement d'un lien de communication securise
FR2884093B1 (fr) * 2005-03-31 2007-05-11 Sagem Procede et dispositif d'association d'un dispositif de communication a une passerelle
WO2006114628A2 (en) * 2005-04-26 2006-11-02 Vodafone Group Plc Sae/lte telecommunications networks
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
CN100372440C (zh) * 2005-07-08 2008-02-27 清华大学 基于蜂窝网络定位的无线局域网发现方法
DE202005021930U1 (de) 2005-08-01 2011-08-08 Corning Cable Systems Llc Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen
CN100417296C (zh) * 2005-09-20 2008-09-03 华为技术有限公司 一种终端接入3g网络的控制方法
ATE484143T1 (de) * 2005-09-30 2010-10-15 Alcyone Holding S A Verfahren und vorrichtung zum aufbau einer verbindung zwischen einer mobilen vorrichtung und einem netzwerk
CN101322346A (zh) 2005-12-01 2008-12-10 鲁库斯无线公司 借助于无线基站虚拟化的按需服务
CN100452924C (zh) * 2006-01-09 2009-01-14 中国科学院软件研究所 利用sim卡实现终端与网络双向鉴权的方法和装置
US20070180499A1 (en) * 2006-01-31 2007-08-02 Van Bemmel Jeroen Authenticating clients to wireless access networks
US8953588B2 (en) 2006-02-03 2015-02-10 Broadcom Corporation Mobile network with packet data network backhaul
EP1988730A4 (de) * 2006-02-22 2011-09-28 Nec Corp Funkzugangssystem und funkzugangsverfahren
DK1989853T3 (en) * 2006-02-23 2017-03-20 Togewa Holding Ag SWITCHING SYSTEM AND SIMILAR PROCEDURE FOR UNICAST OR MULTICAST TRANSMISSIONS FROM START TO END OF DATA AND / OR MULTIMEDIA FLOW BETWEEN NETWORK Nodes
JP4965144B2 (ja) * 2006-03-20 2012-07-04 株式会社リコー 通信装置
NO20061520L (no) * 2006-04-04 2007-10-05 Telenor Asa Fremgangsmate og anordning for autentisering av brukere
US9071583B2 (en) * 2006-04-24 2015-06-30 Ruckus Wireless, Inc. Provisioned configuration for automatic wireless connection
US7788703B2 (en) * 2006-04-24 2010-08-31 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
US9769655B2 (en) 2006-04-24 2017-09-19 Ruckus Wireless, Inc. Sharing security keys with headless devices
EP2027700A1 (de) * 2006-04-28 2009-02-25 Gemalto SA Übertragung von daten zwischen einem server und einem kommunizierenden objekt
EP1865656A1 (de) * 2006-06-08 2007-12-12 BRITISH TELECOMMUNICATIONS public limited company Erstellung einer gesicherten Kommunikationsverbindung unter Verwendung einer Authentifizierung mittels Dritter
DE102006038591B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
FI121560B (fi) * 2006-11-20 2010-12-31 Teliasonera Ab Todentaminen matkaviestintäyhteistoimintajärjestelmässä
GB2446738C (en) * 2007-02-02 2014-10-01 Ubiquisys Ltd Basestation measurement modes
GB2449533B (en) 2007-02-23 2009-06-03 Ubiquisys Ltd Basestation for cellular communications system
CN101282259B (zh) * 2007-04-04 2011-07-27 中国电信股份有限公司 基于身份识别模块im的ip网接入认证系统、应用和方法
US8769611B2 (en) 2007-05-31 2014-07-01 Qualcomm Incorporated Methods and apparatus for providing PMIP key hierarchy in wireless communication networks
US9239915B2 (en) * 2007-09-26 2016-01-19 Intel Corporation Synchronizing between host and management co-processor for network access control
US11190936B2 (en) 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US10783232B2 (en) 2007-09-27 2020-09-22 Clevx, Llc Management system for self-encrypting managed devices with embedded wireless user authentication
US10778417B2 (en) * 2007-09-27 2020-09-15 Clevx, Llc Self-encrypting module with embedded wireless user authentication
US10181055B2 (en) 2007-09-27 2019-01-15 Clevx, Llc Data security system with encryption
JP5167759B2 (ja) * 2007-10-24 2013-03-21 日本電気株式会社 通信システム、通信方法、認証情報管理サーバおよび小型基地局
US8775790B2 (en) * 2007-10-30 2014-07-08 Honeywell International Inc. System and method for providing secure network communications
FI122163B (fi) 2007-11-27 2011-09-15 Teliasonera Ab Verkkopääsyautentikointi
GB2464553B (en) 2008-10-22 2012-11-21 Skype Controlling a connection between a user terminal and an access node connected to a communication network
GB2464552B (en) 2008-10-22 2012-11-21 Skype Authentication system and method for authenticating a user terminal with an access node providing restricted access to a communication network
US9032058B2 (en) * 2009-03-13 2015-05-12 Assa Abloy Ab Use of SNMP for management of small footprint devices
US20100235900A1 (en) * 2009-03-13 2010-09-16 Assa Abloy Ab Efficient two-factor authentication
CN102014384A (zh) * 2009-09-04 2011-04-13 黄金富 通过移动电话网络验证wapi无线网络终端身份的方法
US8830866B2 (en) * 2009-09-30 2014-09-09 Apple Inc. Methods and apparatus for solicited activation for protected wireless networking
US8873523B2 (en) * 2009-09-30 2014-10-28 Apple Inc. Methods and apparatus for solicited activation for protected wireless networking
CN102130975A (zh) * 2010-01-20 2011-07-20 中兴通讯股份有限公司 一种用身份标识在公共设备上接入网络的方法及系统
JP5521057B2 (ja) * 2010-03-09 2014-06-11 アルカテル−ルーセント ユーザ機器を認証するための方法および装置
JP2011199340A (ja) * 2010-03-17 2011-10-06 Fujitsu Ltd 通信装置及び方法、並びに通信システム
FR2958428B1 (fr) * 2010-03-30 2012-08-31 Radiotelephone Sfr Procede d'execution d'un premier service alors qu'un deuxieme service est en cours d'execution, au moyen d'un terminal informatique equipe d'une carte a circuit integre.
CN101815365B (zh) * 2010-04-02 2012-09-05 北京傲天动联技术有限公司 无线接入控制器发现、关联以及配置方法
US8464061B2 (en) 2010-08-30 2013-06-11 Apple Inc. Secure wireless link between two devices using probes
CN102083067A (zh) * 2010-12-17 2011-06-01 中国联合网络通信集团有限公司 通信终端、方法和系统
CN102625306A (zh) * 2011-01-31 2012-08-01 电信科学技术研究院 认证方法、系统和设备
US8887257B2 (en) * 2011-04-26 2014-11-11 David T. Haggerty Electronic access client distribution apparatus and methods
EP2705429B1 (de) 2011-05-01 2016-07-06 Ruckus Wireless, Inc. Fernzurücksetzung eines kabelzugangspunktes
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
CN102572838B (zh) * 2012-02-15 2015-10-28 刘士顺 一种无线pppoe拨号系统
US9092610B2 (en) 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
CN102917359A (zh) * 2012-09-27 2013-02-06 中兴通讯股份有限公司 一种内置PPPoE拨号功能的移动终端及其拨号方法
JP5987707B2 (ja) * 2013-01-25 2016-09-07 ソニー株式会社 端末装置、プログラム及び通信システム
EP3089495B1 (de) * 2013-12-25 2019-03-20 Sony Corporation Endgerätevorrichtung, die authentifizierungsdaten durch eine andere endgerätevorrichtung erhält
US9432363B2 (en) * 2014-02-07 2016-08-30 Apple Inc. System and method for using credentials of a first client station to authenticate a second client station
JP6465108B2 (ja) * 2014-05-01 2019-02-06 ソニー株式会社 無線通信装置
US10223549B2 (en) * 2015-01-21 2019-03-05 Onion ID Inc. Techniques for facilitating secure, credential-free user access to resources
US9843885B2 (en) * 2015-08-12 2017-12-12 Apple Inc. Methods, procedures and framework to provision an eSIM and make it multi-SIM capable using primary account information
IL248058B (en) * 2016-09-26 2021-04-29 Verint Systems Ltd System and method for obtaining an ID of a mobile communication terminal at a checkpoint
CN113923650A (zh) * 2017-04-18 2022-01-11 华为技术有限公司 网络接入方法、装置和通信系统
JP7161108B2 (ja) * 2019-02-26 2022-10-26 日本電信電話株式会社 通信方法、通信システム、中継装置および中継プログラム
US20230354026A1 (en) * 2022-04-29 2023-11-02 Microsoft Technology Licensing, Llc Encrypted flow of sim data between regions and edge networks

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE508844C2 (sv) * 1997-02-19 1998-11-09 Postgirot Bank Ab Förfarande för behörighetskontroll med SIM-kort
FR2790177B1 (fr) * 1999-02-22 2001-05-18 Gemplus Card Int Authentification dans un reseau de radiotelephonie
US8463231B1 (en) * 1999-11-02 2013-06-11 Nvidia Corporation Use of radius in UMTS to perform accounting functions
FI20000761A0 (fi) 2000-03-31 2000-03-31 Nokia Mobile Phones Ltd Laskutus pakettidataverkossa
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
FI111208B (fi) * 2000-06-30 2003-06-13 Nokia Corp Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä
US7043633B1 (en) * 2000-08-28 2006-05-09 Verizon Corporation Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation
US6854014B1 (en) * 2000-11-07 2005-02-08 Nortel Networks Limited System and method for accounting management in an IP centric distributed network
US20030120920A1 (en) * 2001-12-20 2003-06-26 Svensson Sven Anders Borje Remote device authentication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015122936A1 (de) * 2015-12-29 2017-06-29 Deutsche Telekom Ag Verfahren zur flexibleren Ressourcennutzung bei der Telekommunikation

Also Published As

Publication number Publication date
US20060052085A1 (en) 2006-03-09
BR0215728A (pt) 2005-02-22
ES2295336T3 (es) 2008-04-16
DE60223951D1 (de) 2008-01-17
EP1502388B1 (de) 2007-12-05
CN100366007C (zh) 2008-01-30
ATE380424T1 (de) 2007-12-15
WO2003094438A1 (en) 2003-11-13
US7936710B2 (en) 2011-05-03
CN1666465A (zh) 2005-09-07
BRPI0215728B1 (pt) 2016-06-07
JP2005524341A (ja) 2005-08-11
JP4194046B2 (ja) 2008-12-10
EP1502388A1 (de) 2005-02-02
AU2002255000A1 (en) 2003-11-17

Similar Documents

Publication Publication Date Title
DE60223951T2 (de) System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz
EP1529374B1 (de) Verfahren und system für gsm-authentifizierung bei wlan-roaming
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE60313445T2 (de) Apparat und Methode für eine Authentisierung mit einmaliger Passworteingabe über einen unsicheren Netzwerkzugang
EP1749367B1 (de) Verfahren und system für content-basiertes billing in ip-netzwerken
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE19983405B4 (de) System und Verfahren zur Authentifikation in einem mobilen Kommunikationssystem
DE69935590T2 (de) Authentikationsverfahren und entsprechendes system für ein telekommunikationsnetz
DE60114535T2 (de) Zugriffsauthentifizierungssystem für eine Funkumgebung
EP1952574B1 (de) Verfahren und anordnung zum bereitstellen eines drahtlosen mesh-netzwerks
DE60211360T2 (de) Verfahren zum authentisieren eines benutzers in einem endgerät, authentisierungssystem, endgerät und authorisierungseinrichtung
DE602004004844T2 (de) Authentifizierung des Zugriffs auf ein drahtloses Local Area Network basierend auf Sicherheitswerte(n), die einem zellularen Mobilfunksystem zugeordnet sind
DE102006038592B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
DE10043203A1 (de) Generische WLAN-Architektur
DE60132211T2 (de) Steuerung von unchiffriertem benutzerverkehr
DE202006020961U1 (de) Zugangspunkt für Mobilkommunikationsnetz
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE102004045147A1 (de) Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
DE69914340T2 (de) System und verfahren zum unterhalten einer virtuellen verbindung zu einem netzknoten
EP1523834B1 (de) Verfahren und datensystem zum anbinden eines drahtlosen lokalen netzwerks an eine umts-endstation
DE60130899T2 (de) Wap-sitzung tunneling
DE102017210721A1 (de) Verfahren und Kommunikationssystem zum effizienten Aufbau einer sicheren Datenverbindung zwischen einem Client-Rechner und einem Server-Rechner
WO2005004433A1 (de) Verfahren und einrichtung zum bilden und entschlüsseln einer verschlüsselten nachricht mit kommunikations-konfigurationsdaten
CH694678A5 (de) Verfahren und System für GSM-Authentifizierung bei WLAN Roaming.

Legal Events

Date Code Title Description
8364 No opposition during term of opposition