DE60215978T2 - Method and device for access control of a mobile terminal in a communication network - Google Patents
Method and device for access control of a mobile terminal in a communication network Download PDFInfo
- Publication number
- DE60215978T2 DE60215978T2 DE60215978T DE60215978T DE60215978T2 DE 60215978 T2 DE60215978 T2 DE 60215978T2 DE 60215978 T DE60215978 T DE 60215978T DE 60215978 T DE60215978 T DE 60215978T DE 60215978 T2 DE60215978 T2 DE 60215978T2
- Authority
- DE
- Germany
- Prior art keywords
- authentication
- wireless terminal
- access point
- access control
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Description
Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zur Zugangssteuerung eines drahtlosen Endgeräts zu einem Kommunikationsnetz, und insbesondere, obgleich nicht notwendigerweise, zum Senden von Datenpaketen eines drahtlosen Endgeräts mit gesteuertem Zugang zu einem drahtlosen lokalen Netz.The The present invention relates to a method and an apparatus for access control of a wireless terminal to a communication network, and in particular, though not necessarily, for sending Data packets of a wireless terminal with controlled access to a wireless local area network.
Stand der TechnikState of technology
Ein drahtloses lokales Netz umfasst typischerweise ein Netz, das Endgeräte umfasst, wie etwa drahtlose Endgeräte oder tragbare Computer oder Zugangspunkte, wobei die Datenübertragung zwischen den Endgeräten und den Zugangspunkten teilweise oder insgesamt drahtlos unter Benutzung von Funkwellen oder Infrarottechnologie ausgeführt ist.One A wireless local area network typically includes a network that includes terminals, like wireless devices or portable computers or access points, wherein the data transfer between the terminals and the access points partly or totally wirelessly using Radio waves or infrared technology is executed.
Die Struktur von Telekommunikationsnetzen ist im Allgemeinen unter Benutzung des OSI-Modells (Open System Interconnection) erklärt, das die Schnittstellen definiert, über die die verschiedenen Geräte und die zugehörige Software miteinander kommunizieren. Das OSI-Modell ist auf ein Schichtenkonzept gegründet, wobei die unterste oder erste Schicht als Bitübertragungsschicht bekannt ist, die alle logischen, elektrischen und mechanischen Themen umspannt, welche Datenübertragung betreffen. Die zweite Protokollschicht, d.h. die Sicherungsschicht, ist für Verbindungsaufbau, Fehlerberichtigung und Verbindungsabbau zuständig. Die dritte Protokollschicht, d.h. die Vermittlungsschicht, sieht nicht von der Netzstruktur abhängige Datenübertragung vor. Die folgenden Schichten sind die Transportschicht (vierte Schicht), Sitzungsschicht (fünfte Schicht), Darstellungsschicht (sechste Schicht) und Anwendungsschicht (siebte Schicht).The Structure of telecommunication networks is generally in use of the OSI model (Open System Interconnection) explains that defines the interfaces, via the different devices and the associated Software communicate with each other. The OSI model is based on a shift concept founded, the lowest or first layer being known as a physical layer is that spans all logical, electrical and mechanical issues, which data transmission affect. The second protocol layer, i. the link layer, is for Connection setup, error correction and disconnection responsible. The third protocol layer, i. the network layer, does not look dependent on the network structure data transfer in front. The following layers are the transport layer (fourth layer), Session layer (fifth layer), Presentation layer (sixth layer) and application layer (seventh layer) Layer).
Im OWLAN-System (Operator Wireless Local Area Network) finden Authentifizierung und Zugangssteuerung derzeit auf der dritten Schicht des OSI-Modells statt, d.h. der Vermittlungsschicht oder IP-Schicht, und WLAN-Zuordnung zwischen dem Endgerät und dem Zugangspunkt wird ohne Authentifizierung ausgeführt. Ein Zugangspunkt ist ein physikalisches Gerät, wie etwa eine Basisstation, das ein drahtloses Netz und ein verdrahtetes Netz miteinander verbindet. Bei der Open System Authentication beinhaltet das Zuordnungsereignis keine tatsächliche Authentifizierung, jedoch ist die Open System Authentication, die vor der Zuordnung ausgeführt wurde, nicht vorhandene Authentifizierung. Nach der Zuordnung wird das Endgerät typischerweise nach dem Zuordnungsereignis mithilfe eines IP-basierten DHCP-Verfahrens (Dynamic Host Configuration Protocol) mit einer IP-Adresse versehen. Die Authentifizierung wird dann durch Ausführen eines IP-basierten Authentifizierungsprotokolls durchgeführt. Obgleich das Authentifizierungsprotokoll außerdem Protokollschichten über der IP-Schicht einsetzt, wird die Authentifizierung in diesem Fall als Authentifizierung der dritten Protokollschicht bezeichnet, weil Zugangssteuerung typischerweise auf der dritten Protokollschicht implementiert ist. Die Operator Wireless LAN-Lösung beinhaltet das Network Access Authentication Protocol (NAAP), das ein Protokoll der dritten Protokollschicht zum Authentifizieren des drahtlosen Endgeräts unter Benutzung des GSM Subscriber Identity Module ist. Ein weiteres Beispiel für ein Authentifizierungsprotokoll der dritten Protokollschicht sind Lösungen auf Grundlage des Hypertext Transfer Protocol (http), bei denen die Authentifizierung unter Benutzung einer Seite des World Wide Web (WWW) benutzt wird, auf der der Benutzer die Berechtigungsnachweise eingibt. Wieder ein anderes Beispiel für ein Authentifizierungsprotokoll der dritten Protokollschicht ist das Schlüsselaustausch-Internetprotokoll (IKE; Internet Key Exchange), das beim Aufbauen einer Verbindung mit einem virtuellen, privaten Netz benutzt wird. Bei allen diesen Beispielen muss das drahtlose Endgerät, das Authentifizierungsprotokoll der dritten Protokollschicht ausführen, bevor es Zugang zu den Ressourcen erhalten kann, für die die Zugangssteuerung durchgesetzt ist.in the OWLAN system (Operator Wireless Local Area Network) find authentication and access control currently on the third layer of the OSI model instead of, i. the network layer or IP layer, and WLAN mapping between the terminal and the access point is running without authentication. One Access point is a physical device, such as a base station, which connects a wireless network and a wired network. In Open System Authentication, the allocation event includes no actual Authentication, however, is the Open System Authentication, the was executed before the assignment, nonexistent authentication. After the assignment is the terminal typically after the assignment event using an IP-based DHCP (Dynamic Host Configuration Protocol) with an IP address. The Authentication is then performed by running an IP-based authentication protocol carried out. Although the authentication protocol also uses protocol layers over the IP layer is used, authentication in this case as Authentication of the third protocol layer called because Access control typically on the third protocol layer is implemented. The operator wireless LAN solution includes the network Access Authentication Protocol (NAAP), which is a protocol of the third protocol layer for authenticating the wireless terminal using the GSM Subscriber Identity Module is. Another example of an authentication protocol The third protocol layer is solutions based on hypertext Transfer Protocol (http), where authentication is using a page of the World Wide Web (WWW) is used on which the user enter the credentials. Another example for a The third protocol layer authentication protocol is the Key Exchange Internet Protocol (IKE; Internet Key Exchange) when connecting to a virtual, private network is used. In all these examples the wireless device, run the third protocol layer authentication protocol before it can get access to the resources for which access control is enforced.
Die Standardisierung bietet einen Rahmenwerk für Hardware- und Softwarehersteller, damit ermöglicht ist, Produkte verschiedener Hersteller nebeneinander zu benutzen. Der Titel des WLAN-Standards lautet IEEE 802.11 und wurde nach und nach um eine Anzahl untergeordneter Standards ergänzt. Gemäß dem kommenden IEEE 802.11i-Standard wird die WLAN-Authentifizierung gemäß eines Authentifizierungsverfahrens der zweiten Protokollschicht, wie etwa eines IEEE 802.1x-Protokolls, vor der Übertragung von IP-Paketen zwischen dem Endgerät und dem Netz ausgeführt.The Standardization provides a framework for hardware and software manufacturers made possible with it is to use products from different manufacturers side by side. The title of the WLAN standard is IEEE 802.11 and has been changed to and supplemented by a number of subordinate standards. According to the coming IEEE 802.11i standard the WLAN authentication according to a Authentication method of the second protocol layer, such as an IEEE 802.1x protocol, before transferring IP packets between the terminal and the network.
Der erste Router im OWLAN-System, d. h. der Edge-Router, der sich zwischen dem Kommunikationsnetz und dem drahtlosen Endgerät befindet, welches mit dem drahtlosen lokale Netz verbunden ist, dient im OWLAN als die andere Seite bei der Authentifizierung, die gemäß der dritten Protokollschicht, d.h. Open System Authentication, ausgeführt wird, und unterhält eine Zugangssteuerungsliste (ACL) von authentifizierten Endgeräten. Das IEEE standardisiert gerade ein neues WLAN- Authentifizierungssystem, bei dem Authentifizierung gegen den Zugangspunkt ausgeführt wird. Wenn das Zugangsnetz nur das neue WLAN- Authentifizierungssystem abwickelt, dann kann das derzeitige OWLAN-System, wie etwa Nokia Operator Wireless LAN Release 1.0 nicht benutzt werden, weil es dem Client nicht gestattet ist, das Authentifizierungsprotokoll der dritten Protokollschicht auszuführen, ohne zunächst gemäß IEEE 802.1x zu authentifizieren. Da sich einige Benutzer neue Endgeräte anschaffen werden, während andere alte Endgeräte besitzen, wird es „alte" Endgeräte geben, die unter Benutzung des Authentifizierungsverfahrens der dritten Protokollschicht auf das Netz zugreifen können, und ferner „neue" Endgeräte, die unter Benutzung des Authentifizierungsverfahrens gemäß IEEE 802.1x-Standard auf das Netz zugreifen können. Außerdem wird es Netze geben, die Zugangspunkte umfassen, welche nur gemäß IEEE 802.1x-Standard arbeiten, und andere Zugangspunkte, die nur als Teil eines OWLAN-Systems arbeiten. Ein Problem, das bei der Standardisierung derzeitiger Systeme angegangen wird, ist die Inkompatibilität des gegenwärtigen offenen Systems und der künftigen Authentifizierungsverfahren der zweiten Protokollschicht, d.h. die derzeitigen Endgeräte können nicht auf Netze gemäß dem IEEE 802.1x-Standard zugreifen, und die künftigen Endgeräte gemäß dem IEEE 802.1x-Standard können nicht auf die gegenwärtigen Open-System-Netze zugreifen.The first router in the OWLAN system, ie the edge router located between the communication network and the wireless terminal connected to the wireless local area network, serves as the other side of authentication in the OWLAN according to the third protocol layer , ie Open System Authentication, runs and maintains an access control list (ACL) of authenticated terminals. The IEEE is currently standardizing a new WLAN authentication system that performs authentication against the access point. If the access network handles only the new WLAN authentication system, then the current OWLAN system, such as Nokia Operator Wireless LAN Release 1.0, can not be used because the client is not allowed to execute the third protocol layer authentication protocol without first following IEEE To authenticate 802.1x. Since some Be Users will acquire new terminals while others have old terminals, there will be "old" terminals that can access the network using the third protocol layer authentication method, and "new" terminals using the IEEE 802.1x authentication method Standard access to the network. In addition, there will be networks that include access points that only operate in accordance with the IEEE 802.1x standard, and other access points that only work as part of an OWLAN system. A problem addressed in the standardization of current systems is the incompatibility of the current open system and the future authentication methods of the second protocol layer, ie the current terminals can not access networks according to the IEEE 802.1x standard, and the future terminals according to the IEEE 802.1x standard can not access the current open system networks.
Die Veröffentlichung WO 01/41470 stellt ein Verfahren und eine Vorrichtung zum Ermöglichen vor, dass eine Mobilstation in einem drahtlosen Netz Netzauthentifizierung in Zusammenhang mit mobilen Paketdatendiensten ausführt. Bei dieser Lösung wird stets ein CHAP (Challenge Handshake Authentication Protocol) vor einer möglichen Benutzung von Authentifizierungsprotokollen gemäß Mobile-IP benutzt. Mit anderen Worten besteht das Erfordernis, dass jedes mobile Endgerät, das von dem drahtlosen Netz authentifiziert werden kann, CHAP unterstützen muss.The publication WO 01/41470 presents a method and an apparatus for enabling that a mobile station in a wireless network is network authentication in connection with mobile packet data services. at this solution is always a CHAP (Challenge Handshake Authentication Protocol) before a possible Use of authentication protocols according to Mobile-IP. With others In other words, there is a requirement that every mobile terminal used by can be authenticated to the wireless network, must support CHAP.
Kurzdarstellung der ErfindungSummary the invention
Es wurde nun ein Verfahren und eine Vorrichtung erfunden, um zu ermöglichen, dass ein drahtloses Endgerät entweder durch Benutzung einer Authentifizierung der dritten Protokollschicht, wie etwa Open System Authentication, oder Authentifizierung der zweiten Protokollschicht, wie etwa gemäß dem IEEE 802.1x-Protokoll, auf ein Netz zugreift. Ein Zugangspunkt der Erfindung ermöglicht sowohl Open System Authentication, bei der das Endgerät in einer späteren Phase gemäß der dritten Protokollschicht authentifiziert wird, als auch Authentifizierung der zweiten Protokollschicht, wie etwa IEEE 802.1x-Authentifizierung. Unter Benutzung der Erfindung können bestimmte Netzelemente des WLAN sowohl die neue IEEE 802.1x-Authentifizierung der zweiten Schicht als auch die derzeitige Authentifizierung der dritten Schicht abwärtskompatibel unterstützen.It Now, a method and apparatus has been invented to enable that a wireless terminal either by using authentication of the third protocol layer, such as Open System Authentication, or authentication of the second protocol layer, such as in accordance with the IEEE 802.1x protocol on Network accesses. An access point of the invention allows both Open System Authentication, where the terminal is at a later stage according to the third protocol layer authenticated, as well as authentication of the second protocol layer, such as IEEE 802.1x authentication. Using the invention can certain network elements of the WLAN both the new IEEE 802.1x authentication the second layer as well as the current authentication of the third layer backward compatible support.
Bei der derzeitigen Nokia Operator Wireless LAN-Lösung ist die Zugangssteuerung für das Unterhalten einer Zugangssteuerungsliste und zum Ausführen eines Authentifizierungsprotokolls der dritten Protokollschicht zuständig. In der vorliegenden Erfindung sind diese Funktionen in eine logische Zugangssteuerungsfunktion und eine Authentifizierungsagentenfunktion zum Ausführen eines Authentifizierungsprotokolls der dritten Protokollschicht aufgeteilt. Das Netz ist so organisiert, dass zumindest ein Teil der Pakete von Endgeräten das Netzelement durchlaufen, das die logische Zugangssteuerungsfunktion enthält. Die Authentifizierungsagentenfunktion bezieht sich auf die Authentifizierungsprotokollimplementierung der dritten Schicht, wie die NAAP-Protokoll-, die HTTP- (Hypertext Transfer Protocol) Authentifizierungsprotokoll- oder Schlüsselaustausch- (IKE-) Protokollimplementierung. Die Zugangssteuerungsfunktion und die Authentifizierungsagentenfunktion sind nicht notwendigerweise im selben physikalischen Netzelement implementiert, aber es ist möglich, die Zugangssteuerungsfunktion stattdessen im Zugangspunktgerät oder einem anderen Gerät zu implementieren.at the current Nokia Operator Wireless LAN solution is the access control for maintaining an access control list and performing a Authentication protocol of the third protocol layer responsible. In In the present invention, these functions are logical Access control function and an authentication agent function to run an authentication protocol of the third protocol layer divided up. The network is organized so that at least a part the packets of terminals go through the network element, which is the logical access control function contains. The authentication agent function refers to the authentication protocol implementation the third layer, like the NAAP protocol, the HTTP (Hypertext Transfer Protocol) Authentication Protocol or Key Exchange (IKE) Protocol implementation. The access control function and the Authentication agent function are not necessarily in the same physical network element implemented, but it is possible to use the Access control function instead in the access point device or a other device to implement.
Wenn die Authentifizierung der dritten Protokollschicht benutzt ist, dann arbeitet der Authentifizierungsagent als die Authentikatoreinheit, die das Authentifizierungsprotokoll der dritten Protokollschicht ausführt, wie bei der derzeitigen Nokia Operator Wireless LAN-Lösung. Eine erfolgreiche Authentifizierung hat zum Ergebnis, dass das Endgerät der Zugangssteuerungsliste hinzugefügt wird. Wenn die Zugangssteuerungsfunktion in einem Gerät angeordnet ist, das vom Authentifizierungsagenten getrennt ist, dann sendet der Authentifizierungsagent die Information des Endgeräts an das Netzelement, das die Zugangssteuerungsfunktion enthält. Ein Authentikator ist eine Einheit, die die Netzzugangsauthentifizierung des Endgeräts durch Arbeiten als Partnereinheit in dem Authentifizierungsprotokoll erleichtert, das zwischen dem Endgerät und dem Authentikator benutzt ist. Ein Authentifizierungsserver ist eine Einheit, die einem Authentikator einen Authentifizierungsdienst leistet. Dieser Dienst bestimmt aus den vom Bewerber, d.h. dem Endgerät, bereitgestellten Berechtigungsnachweisen, ob der Bewerber zum Zugriff auf die Dienste berechtigt ist, die vom Authentikator vorgesehen sind. Wenn Authentifizierung der zweiten Protokollschicht ausgeführt wird, dann arbeitet der Zugangspunkt zunächst wie in den IEEE-Standards spezifiziert und als Athentikatoreinheit. Zudem aktualisiert der Zugangspunkt nach erfolgreicher Authentifizierung die Zugangssteuerungsliste derart, dass die Pakete der Clients, die auf der zweiten Protokollschicht authentifiziert wurden, ebenfalls weitergeleitet werden. Wenn die Zugangssteuerungsfunktion in einem Gerät angeordnet ist, das vom Zugangspunkt getrennt ist, dann sendet der Zugangspunkt die Information des Endgeräts an das Netzelement, das die Zugangssteuerungsfunktion enthält.If the authentication of the third protocol layer is used, then the authentication agent acts as the authenticator unit, which executes the authentication protocol of the third protocol layer, such as at the current Nokia Operator Wireless LAN solution. A successful authentication has the result that the terminal of the access control list added becomes. If the access control feature is located in a device, which is disconnected from the authentication agent, then sends the Authentication agent the information of the terminal to the Network element containing the access control function. One Authenticator is a device that provides network access authentication to the device terminal by working as a partner unit in the authentication protocol facilitated between the terminal and the authenticator. An authentication server is a unit that is an authenticator provides an authentication service. This service is determined that of the applicant, i. the terminal, provided credentials, whether the applicant is entitled to access the services, the provided by the authenticator. If authentication of the second protocol layer accomplished then, the access point will first work as specified in the IEEE standards and as an athletic unit. In addition, the access point updates after successful authentication the access control list such that the packets of the clients are on the second protocol layer have been authenticated, also forwarded. If the Access control function is located in a device that is separate from the access point is, then the access point sends the information of the terminal to the Network element containing the access control function.
Die Erfindung stellt eine Lösung bereit, die es einem drahtlosen lokalen Netzsystem, wie etwa dem Nokia Operator Wireless LAN, sowohl einen Authentifizierungsstandard der zweiten Protokollschicht, d.h. Schicht 2, wie etwa einen Authentifizierungsstandard gemäß IEEE 802.1x, als auch den derzeitigen Authentifizierungsstandard auf Grundlage der dritten Protokollschicht, d.h. Schicht 3, zu unterstützen.The invention provides a solution that enables both a wireless local area network system, such as the Nokia Operator Wireless LAN the second protocol layer authentication standard, ie layer 2, such as an IEEE 802.1x authentication standard, as well as the current authentication standard based on the third protocol layer, ie layer 3.
Wenn Open System Authentication benutzt ist, arbeitet das System ähnlich wie das derzeitige Nokia Operator Wireless LAN-System, bei dem das Endgerät und der Authentifizierungsagent die bei der Authentifizierung beteiligten Seiten sind. Der Authentifizierungsagent leitet Information bezüglich der Authentifizierung zwischen dem Endgerät und dem Authentifizierungsserver weiter und ist zum Aktualisieren der Liste authentifizierter Benutzer imstande, ungeachtet dessen, welches Netzelement die Liste unterhält.If Open System Authentication is used, the system works much like the current Nokia Operator Wireless LAN system in which the terminal and the Authentication agent involved in authentication Pages are. The authentication agent forwards information regarding the Authentication between the terminal and the authentication server and is for updating the list of authenticated users regardless of which network element the list maintains.
Wenn Authentifizierung gemäß der zweiten Protokollschicht ausgeführt werden soll, wie etwa die IEEE 802.1x-Authentifizierung, arbeitet der Zugangspunkt gemäß dem IEEE 802.1x-Standard, wobei er als authentifizierende Seite dient und Information bezüglich der Authentifizierung zwischen dem Endgerät und dem Authentifizierungsserver weiterleitet. Zudem wird die Zugangssteuerungsliste nach einer erfolgreichen Authentifizierung aktualisiert, beispielsweise durch den Zugangspunkt oder den Authentifizierungsserver, um es dem Netzelement, das die Zugangssteuerungsfunktion enthält, zu ermöglichen, ebenfalls Pakete von Endgeräten weiterzuleiten, die gemäß der zweiten Protokollschicht authentifiziert sind.If Authentication according to the second protocol layer accomplished which is how the IEEE 802.1x authentication works the access point according to the IEEE 802.1x standard, where it serves as the authenticating site and Information regarding authentication between the terminal and the authentication server forwards. In addition, the access control list will after a successful Authentication updated, for example by the access point or the authentication server to make it the network element that the Contains access control function, to allow, too Packages of terminals forward according to the second Protocol layer are authenticated.
Hinsichtlich Endgeräten, die die Authentifizierung der zweiten Protokollschicht einsetzen, befindet sich bei der Implementierung gemäß der Erfindung die Schnittstelle, die zwischen dem Endgerät und dem Netz vorgesehen ist, in völliger Übereinstimmung mit dem Standard. Die Erfindung stellt auch keinerlei neue Anforderungen an Endgeräte, die die Authentifizierung der dritten Protokollschicht einsetzen.Regarding terminals that use the authentication of the second protocol layer, In the implementation according to the invention, the interface is the between the terminal and the network, in full compliance with the standard. The invention also makes no new demands to terminals, which use the authentication of the third protocol layer.
Zu den Vorteilen der Erfindung gehört die Kompatibilität mit dem derzeitigen offenen System, bei dem Authentifizierung auf der dritten Protokollschicht ausgeführt wird, und mit einem System, bei dem die Authentifizierung auf der zweiten Protokollschicht ausgeführt wird, beispielsweise gemäß dem IEEE 802.1x-Standard. Ungeachtet des Authentifizierungsverfahrens ist das Netzelement, das die Zugangssteuerungsfunktion enthält, imstande, die Buchführungs- und Abrechnungsroutinen auszuführen, die die Übertragung von Datenpaketen betreffen. Ferner sind die Geräte gemäß dem neuen Standard imstande, in einem Netz gemäß dem gegenwärtigen Open-System-Standard zu arbeiten.To belongs to the advantages of the invention the compatibility with the current open system where authentication is on the third protocol layer is executed, and with a system where authentication is performed on the second protocol layer, for example, according to the IEEE 802.1x standard. Regardless of the authentication method, the network element is which contains the access control function, is capable of and execute billing routines, the the transfer of data packets. Furthermore, the devices are able to comply with the new standard, in a network according to the current open system standard to work.
Gemäß einem ersten Aspekt der Erfindung ist ein Verfahren zur Zugangssteuerung eines drahtlosen Endgeräts in einem Kommunikationsnetz bereitgestellt, das Kommunikationsnetz umfassend einen Zugangspunkt zum Aufbauen einer Kommunikationsverbindung mit dem drahtlosen Endgerät, einen Authentifizierungsserver zum Vorsehen eines Authentifizierungsdiensts für das drahtlose Endgerät zur Authentifizierung für das Kommunikationsnetz, einen Authentifizierungsagenten zum Weiterleiten von Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsserver und eine Zugangssteuerung zum Weiterleiten von Datenpaketen von authentifizierten, drahtlosen Endgeräten und Blockieren von Datenpaketen von nicht authentifizierten, drahtlosen Endgräten, wobei eine Zugangssteuerungsfunktion eine Zugangssteuerungsliste umfasst, die eine Liste von authentifizierten, drahtlosen Endgeräten ist, wobei das drahtlose Endgerät dazu konfiguriert ist, jegliche der folgenden Authentifizierungsverfahren zu benutzen, um sich für das Kommunikationsnetz zu authentifizieren: ein erstes Authentifizierungsverfahren, bei dem der Zugangspunkt Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsserver weiterleitet, ein zweites Authentifizierungsverfahren, bei dem der Authentifizierungsagent Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsserver weiterleitet, wobei das Verfahren dadurch gekennzeichnet ist, dass es folgende Schritte umfasst: Identifizieren am Zugangspunkt, ob das drahtlose Endgerät das erste Authentifizierungsverfahren oder das zweite Authentifizierungsverfahren benutzt, folgende Schritte ausführend, wenn sich das drahtlose Endgerät unter Benutzung des ersten Authentifizierungsverfahrens authentifiziert: Weiterleiten von Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsserver durch den Zugangspunkt, Senden von Identifizierungsdaten des drahtlosen Endgeräts in Reaktion auf erfolgreiche Authentifizierung an die Zugangssteuerungsliste durch den Zugangspunkt und Hinzufügen der Identifizierungsdaten des drahtlosen Endgeräts zur Zugangssteuerungsliste und Weiterleiten von Datenpaketen des in die Zugangssteuerungsliste aufgenommenen, drahtlosen Endgeräts durch die Zugangssteuerung, und folgende Schritte ausführend, wenn sich das drahtlose Endgerät unter Benutzung des zweiten Authentifizierungsverfahrens authentifiziert: Weiterleiten von Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsagenten durch den Zugangspunkt, Weiterleiten von Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsserver durch den Authentifizierungsagenten, Senden der Identifizierungsdaten des drahtlosen Endgeräts in Reaktion auf erfolgreiche Authentifizierung an die Zugangssteuerungsliste durch den Authentifizierungsagenten und Hinzufügen der Identifizierungsdaten des drahtlosen Endgeräts zu der Zugangssteuerungsliste und Weiterleiten von Datenpaketen des in die Zugangssteuerungsliste aufgenommenen, drahtlosen Endgeräts durch die Zugangssteuerung.According to a first aspect of the invention, there is provided a method for access control of a wireless terminal in a communication network, the communication network comprising an access point for establishing a communication connection with the wireless terminal, an authentication server for providing an authentication service for the wireless terminal for authentication for the communication network Authentication agents for relaying authentication information between the wireless terminal and the authentication server and an access controller for forwarding data packets from authenticated wireless terminals and blocking data packets from unauthenticated wireless terminals, an access control function comprising an access control list comprising a list of authenticated wireless terminals , wherein the wireless terminal is configured to perform any of the following authentication A first authentication method in which the access point forwards authentication information between the wireless terminal and the authentication server, a second authentication method in which the authentication agent forwards authentication information between the wireless terminal and the authentication server, wherein the A method characterized in that it comprises the steps of: identifying at the access point whether the wireless terminal is using the first authentication method or the second authentication method, performing the following steps when the wireless terminal authenticates using the first authentication method: forwarding authentication information between the wireless Terminal and the authentication server through the access point, sending identification data of the d in response to successful authentication to the access control list by the access point and adding the wireless terminal to the access control list and forwarding data packets of the wireless terminal included in the access control list by the access controller, and performing the following steps when using the wireless terminal the authentication method of the second authentication method: forwarding authentication information between the wireless terminal and the authentication agent by the access point, forwarding authentication information between the wireless terminal and the authentication server by the authentication agent, transmitting the authentication data of the wireless terminal in response to successful authentication to the access control list by the authentication agent and adding the identification data of the wireless terminal to the access control list and forwarding data packets of the recorded in the access control list, wireless terminal through the access control.
Gemäß einem zweiten Aspekt der Erfindung ist ein Zugangspunkt zum Aufbauen zum Aufbauen einer Kommunikationsverbindung mit einem drahtlosen Endgerät in einem Kommunikationsnetz bereitgestellt, das Kommunikationsnetz umfassend: einen Authentifizierungsserver zum Vorsehen eines Authentifizierungsdiensts für das drahtlose Endgerät zur Authentifizierung für das Kommunikationsnetz, einen Authentifizierungsagenten zum Weiterleiten von Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsserver und eine Zugangssteuerung zum Weiterleiten von Datenpaketen von authentifizierten, drahtlosen Endgeräten und Blockieren von Datenpaketen von nicht authentifizierten, drahtlosen Datenpaketen, wobei eine Zugangssteuerungsfunktion eine Zugangssteuerungsliste umfasst, die eine Liste von authentifizierten, drahtlosen Endgeräten ist, wobei der Zugangspunkt dadurch gekennzeichnet ist, dass er dazu konfiguriert ist zu akzeptieren, dass das drahtlose Endgeräte eines der folgenden Authentifizierungsverfahren benutzt, um sich für das Kommunikationsnetz zu authentifizieren: ein erstes Authentifizierungsverfahren, bei dem der Zugangspunkt zum Weiterleiten von Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsserver konfiguriert ist, ein zweites Authentifizierungsverfahren, bei dem der Authentifizierungsagent zum Weiterleiten von Authentifizierungsinformation zwischen dem drahtlosen Endgerät und einem Authentifizierungsagenten konfiguriert ist, wobei der Zugangspunkt folgendes umfasst: Identifizierungsmittel zum Identifizieren, ob das drahtlose Endgerät das erste Authentifizierungsverfahren oder das zweite Authentifizierungsverfahren benutzt, erste Weiterleitungsmittel zum Weiterleiten von Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsserver als Reaktion auf eine Situation, in der identifiziert wurde, dass das drahtlose Endgerät das erste Authentifizierungsverfahren benutzt hat, erste Sendemittel zum Senden von Identifizierungsdaten des drahtlosen Endgeräts als Reaktion auf eine erfolgreiche Authentifizierung des drahtlosen Endgeräts gemäß dem ersten Authentifizierungsverfahren an die Zugangssteuerungsliste, zweite Weiterleitungsmittel zum Weiterleiten von Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsagenten als Reaktion auf eine Situation, in der identifiziert wurde, dass das drahtlose Endgerät das zweite Authentifizierungsverfahren benutzt hat, und zweite Sendemittel zum Senden von Identifizierungsdaten des drahtlosen Endgeräts als Reaktion auf eine erfolgreiche Authentifizierung des drahtlosen Endgeräts gemäß dem zweiten Authentifizierungsverfahren an die Zugangssteuerungsliste.According to one second aspect of the invention is an access point for building the Establishing a communication connection with a wireless terminal in one Communication network provided, the communication network comprising: an authentication server for providing an authentication service for the wireless terminal for Authentication for the communication network, an authentication agent for forwarding Authentication information between the wireless terminal and the Authentication server and access control for forwarding Data packets from authenticated wireless terminals and Block data packets from unauthenticated wireless Data packets, wherein an access control function is an access control list which is a list of authenticated wireless terminals, the access point being characterized by having thereto is configured to accept that the wireless terminal of a The following authentication method is used to sign up for the communication network to authenticate: a first authentication method the access point for forwarding authentication information between the wireless device and the authentication server is configured, a second authentication method, where the authentication agent is to forward authentication information between the wireless terminal and an authentication agent, wherein the Access point comprises: identifying means for identifying, whether the wireless terminal the first authentication method or the second authentication method uses first forwarding means for forwarding authentication information between the wireless device and the authentication server in response to a situation in which it has been identified that the wireless terminal is the first one Authentication method has used first transmission means for sending identification data of the wireless terminal in response to a successful Authentication of the wireless terminal according to the first authentication method to the access control list, second forwarding means for forwarding of authentication information between the wireless terminal and the Authentication agent in response to a situation in which it has been identified that the wireless terminal is the second authentication method and second transmitting means for transmitting identification data of the wireless terminal in response to successful authentication of the wireless terminal according to the second Authentication procedure to the access control list.
Gemäß einem dritten Aspekt der Erfindung ist ein System zur Zugangssteuerung eines drahtlosen Endgeräts in einem Kommunikationsnetz bereitgestellt, das Kommunikationsnetz umfassend: einen Zugangspunkt zum Aufbauen einer Kommunikationsverbindung mit dem drahtlosen Endgerät, einen Authentifizierungsserver zum Vorsehen eines Authentifizierungsdiensts für das drahtlose Endgerät zur Authentifizierung für das Kommunikationsnetz, einen Authentifizierungsagenten zum Weiterleiten von Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsserver und eine Zugangssteuerung zum Weiterleiten von Datenpaketen von authentifizierten, drahtlosen Endgeräten und Blockieren von Datenpaketen von nicht authentifizierten, drahtlosen Datenpaketen, wobei eine Zugangssteuerungsfunktion eine Zugangssteuerungsliste umfasst, die eine Liste von authentifizierten, drahtlosen Endgeräten ist, wobei das drahtlose Endgerät dazu konfiguriert ist, eines der folgenden Authentifizierungsverfahren zu benutzen, um sich für das Kommunikationsnetz zu authentifizieren: ein erstes Authentifizierungsverfahren, bei dem der Zugangspunkt Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsserver weiterleitet, ein zweites Authentifizierungsverfahren, bei dem der Authentifizierungsagent Authentifizierungsinformation zwischen dem drahtlosen Endgerät und dem Authentifizierungsserver weiterleitet, wobei das System dadurch gekennzeichnet ist, dass es folgendes umfasst: Identifizierungsmittel zum Identifizieren am Zugangspunkt, ob das drahtlose Endgerät das erste Authentifizierungsverfahren oder das zweite Authentifizierungsverfahren benutzt, erste Weiterleitungsmittel zum Weiterleiten am Zugangspunkt von Authentifizierungsinformation des ersten Authentifizierungsverfahrens zwischen dem drahtlosen Endgerät und dem Authentifizierungsserver, zweite Weiterleitungsmittel zum Weiterleiten am Zugangspunkt von Authentifizierungsinformation des zweiten Authentifizierungsverfahrens zwischen dem drahtlosen Endgerät und dem Authentifizierungsagenten, dritte Weiterleitungsmittel am Authentifizierungsagenten zum Weiterleiten von Authentifizierungsinformation des zweiten Authentifizierungsverfahrens zwischen dem Zugangspunkt und dem Authentifizierungsserver, erste Sendemittel zum Senden vom Zugangspunkt von Identifizierungsdaten des drahtlosen Endgeräts als Reaktion auf eine erfolgreiche Authentifizierung des drahtlosen Endgeräts gemäß dem ersten Authentifizierungsverfahren an die Zugangssteuerungsliste, zweite Sendemittel zum Senden vom Authentifizierungsagenten der Identifizierungsdaten des drahtlosen Endgeräts als Reaktion auf eine erfolgreiche Authentifizierung des drahtlosen Endgeräts gemäß dem zweiten Authentifizierungsverfahren an die Zugangssteuerungsliste und Weiterleitungsmittel an der Zugangssteuerungsfunktion zum Weiterleiten von Datenpaketen des in die Zugangssteuerungsliste aufgenommenen, drahtlosen Endgeräts.According to a third aspect of the invention, there is provided a system for controlling access of a wireless terminal in a communication network, the communication network comprising: an access point for establishing a communication connection with the wireless terminal, an authentication server for providing an authentication service for the wireless terminal for authentication for the communication network, an authentication agent for relaying authentication information between the wireless terminal and the authentication server and an access controller for forwarding data packets from authenticated wireless terminals and blocking data packets from unauthenticated wireless data packets, wherein an access control function comprises an access control list comprising a list of authenticated wireless ones Terminal devices, wherein the wireless terminal is configured to be one of the following A first authentication method in which the access point forwards authentication information between the wireless terminal and the authentication server, a second authentication method in which the authentication agent forwards authentication information between the wireless terminal and the authentication server, wherein the A system characterized in that it comprises: identification means for identifying at the access point whether the wireless terminal is using the first authentication method or the second authentication method, first forwarding means for forwarding at the access point authentication information of the first authentication method between the wireless terminal and the authentication server, second routing means for forwarding at the access point of authentication information of the second authentication method between the wireless terminal and the authentication agent, third forwarding means at the authentication agent for relaying authentication information of the second authentication method between the access point and the authentication server, first transmission means for transmitting the access point of identification data of the wireless terminal in response to successful authentication of the wireless terminal according to first authentication method to the access control list, second transmission means for sending by the authentication agent the identification data of the wireless terminal in response to a successful authentication of the wireless terminal according to the second authentication method to the access control list and forwarding means to the access control function for forwarding data packets of the wireless terminal included in the access control list.
Im Folgenden wird die Erfindung unter Bezugnahme auf die beiliegenden Zeichnungen detaillierter beschrieben.in the The invention will now be described with reference to the accompanying drawings Drawings described in more detail.
Es zeigen:It demonstrate:
Wenn
das Endgerät
gemäß der zweiten
Protokollschicht authentifiziert wird, wird die IEEE 802.1x-Protokollauthentifizierung
(Schritt
Auch wenn die Zugangssteuerungsfunktion von der Authentikatoreinheit, wie etwa dem Zugangspunkt oder dem Authentifizierungsagenten, getrennt ist, muss die Authentikatoreinheit der Zugangssteuerung nicht notwendigerweise ausdrückliche Information einer erfolgreichen Authentifizierung senden, wenn die Zugangssteuerung imstande ist, sie anderweitig zu folgern, beispielsweise folgendermaßen. In Verbindung mit Authentifizierung kommuniziert die Authentikatoreinheit typischerweise mit dem Authentifizierungsserver, der sich weiter innerhalb des Netzes befindet. Die Kommunikation findet gewöhnlich unter Benutzung eines so genannten AAA-Protokolls (Authentication, Authorization, Accounting) statt, wie etwa dem RADIUS- (Remote Authentication Dial In User Service) oder dem DIAMETER-Protokoll. Wenn die Zugangssteuerungsfunktion als RADIUS-Proxyserver arbeitet und AAA-Protokollnachrichten zwischen der Authentikatoreinheit und dem Authentifizierungsserver überträgt, erhält die Zugangssteuerungsfunktion bereits durch Untersuchen der RADIUS-Nachrichten Information über eine erfolgreiche Authentifizierung. Ein Problem, das hier im Falle von IEEE 802.1x-Authentifizierung entsteht, ist, dass die Zugangssteuerung die IP-Adresse des Endgeräts, die zu dem Zeitpunkt, an dem die Authentifizierung erfolgt, noch nicht bekannt ist, für die Liste, die sie unterhält, benötigt. Wenn die Zugangssteuerungsfunktion jedoch als der DHCP-Server dient, der IP-Adressen nach der 802,1x-Authentifizierung verteilt, kann die Liste damit durch Kombinieren an der Zugangssteuerungsfunktion der Information über die erfolgreiche Authentifizierung, der damit erhaltenen MAC-Adresse des Endgeräts und der erfolgreichen Ausführung des DHCP-Protokolls aktualisiert werden, wodurch eine IP-Adresse erhalten wird, die der MAC-Adresse entspricht.Also if the access control function of the authenticator unit, such as the access point or the authentication agent, is separate, the authenticator unit of the access control does not necessarily have to express Send information for a successful authentication when the Access control is able to reason otherwise, for example follows. In conjunction with authentication, the authenticator unit communicates typically with the authentication server that continues located within the network. The communication usually takes place Use of a so-called AAA protocol (Authentication, Authorization, Accounting), such as the RADIUS (Remote Authentication Dial In User Service) or the DIAMETER protocol. If the access control function as RADIUS proxy server works and AAA log messages between the authenticator unit and the authentication server receives the access control function already by examining the RADIUS news information about one successful authentication. A problem here in the case of IEEE 802.1x authentication arises is that access control the IP address of the terminal, the at the time the authentication is done, not yet is known for the list she maintains needed. However, if the access control function is the DHCP server, IP addresses distributed after 802.1x authentication, the List this by combining at the access control function of information about the successful authentication, the resulting MAC address of the terminal and the successful execution of the DHCP protocol, resulting in an IP address which corresponds to the MAC address.
Ein
Endgerät,
das das Open-System-Authentication-Verfahren
einsetzt, empfängt
eine IP-Adresse
zur Benutzung vom DHCP-Server, der sich am Authentifizierungsagenten
oder alternativ am Zugangspunkt oder anderswo im Netz befinden kann.
Der Zugangspunkt
Wenn
ein Endgerät
das IEEE 802.1x-Protokoll zur Authentifizierung benutzt, arbeitet
der Zugangspunkt als Authentikatoreinheit und authentifiziert das
Endgerät
unter Benutzung des IEEE 802.1x-Protokolls der zweiten Protokollschicht.
Der Authentifizierungsagent benutzt typischerweise den vom Authentifizierungsserver
bereitgestellten Authentifizierungsdienst durch Weiterleiten der
Authentifizierungsinformation zwischen dem Endgerät und dem
Authentifizierungsserver, der die Authentifizierungsinformation
verifiziert. Der Authentifizierungsagent sendet Information über eine
erfolgreiche Authentifizierung und die Identifizierungsdaten des
Endgeräts,
wie etwa die IP-Adresse
oder MAC-Adresse des Endgeräts,
an die Zugangssteuerung, die sie der Zugangssteuerungsliste
Wenn
eine Authentifizierung des drahtlosen Endgeräts gemäß der dritten Protokollschicht
ausgeführt
wird, wie etwa die Open System Authentication, ordnet. sich das
Endgerät
Der
Authentifizierungsserver
Die
Authentifikatoreinheit, wie etwa der Zugangspunkt
Der
Zugangspunkt
Nach
der Entdeckung geeigneter lokaler Zugangspunkte auf Grundlage von
Beacon-Nachrichten oder Probe-Nachrichten wählt das Endgerät
Wenn
eine Authentifizierung des drahtlosen Kommunikationsgeräts gemäß der dritten
Protokollschicht ausgeführt
wird, ordnet sich das Kommunikationsgerät
Bei
der Authentifizierung der zweiten Protokollschicht kommen das Kommunikationsgerät
In
einer alternativen Ausführungsform
dieser Erfindung ist Dienstdifferenzierung für verschiedene Endgeräteklassen
bereitgestellt.
Alternativ zu VLANs kann der Zugangspunkt die Datenpakete auf Grundlage von IP-Teilnetz oder IP-Adressbereich differenzieren. In diesem Beispiel stellt der Zugangspunkt sicher, dass dem drahtlosen Endgerät eine IP-Adresse von dem IP-Teilnetz oder Bereich zugeordnet ist, der der nach dem Kommunikationsaufbau identifizierten Endgeräteklasse entspricht. Vorzugsweise leitet der Zugangspunkt die DHCP-Pakete, die von dem drahtlosen Endgerät nach der IP-Konfigurationsphase gesendet werden, an einen geeigneten DHCP-Server auf Endgeräteklassengrundlage weiter, sodass dem Endgerät eine Adresse von dem korrekten IP-Teilnetz oder IP-Adressbereich zugeordnet wird. Nach dem Empfang eines Datenpaktes von einem drahtlosen Endgerät erkennt der Zugangspunkt die Endgeräteklasse vorzugsweise auf Grundlage des Quell-MAC-Adressfelds in dem Datenpaket und verifiziert dann, dass das Quell-IP-Adressfeld (oder ein anderes Protokollfeld, das eine IP-Adresse umfasst) in dem empfangenen Datenpaket zum korrekten IP-Teilnetz oder IP-Adressbereich gehört, das/der der erkannten Endgeräteklasse zugeordnet ist. Der Zugangspunkt leitet die Datenpakete nur an das verdrahtete Netz weiter, wenn diese Verifizierung erfolgreich verläuft. Wenn die Verifizierung fehlschlägt, verwirft der Zugangspunkt das Datenpaket. Zudem erkennt der Zugangspunkt nach dem Empfang eines Unicast-Datenpakets von dem verdrahteten Netz zunächst die Endgeräteklasse, vorzugsweise auf Grundlage des Ziel-MAC-Adressfelds in dem Datenpaket, und verifiziert dann, dass das Ziel-IP-Adressfeld in dem Datenpaket zu dem korrekten IP-Teilnetz oder IP-Adressbereich gehört, das/der der erkannten Endgeräteklasse zugeordnet ist. Der Zugangspunkt leitet die Datenpakete nur an das drahtlose Zielendgerät weiter, wenn diese Verifizierung erfolgreich verläuft. Wenn die Verifizierung fehlschlägt, verwirft der Zugangspunkt das Datenpaket. Nach dem Empfang eines Multicast- oder Broadcast-Datenpakets von dem verdrahteten Netz ist der Zugangspunkt weiterhin imstande, eine korrekte Endgeräteklasse aufgrund eines Protokollfelds zu erkennen, das ein IP-Feld umfasst. Unterschiedliche Verarbeitung, wie etwa unterschiedliche Verschlüsselung oder Unversehrtheitsschutz, kann auf Multicast- oder Broadcast-Datenpakete angewendet werden, die an Open System Clients oder IEEE 802.1x-Clients gerichtet sind. Der Einfachheit halber wird die Benutzung von separaten VLANs für verschiedene Endgeräteklassen als Beispiel dafür verwendet, wie der Zugangspunkt die Endgeräteklasse beim Weiterleiten von Datenpaketen zwischen den drahtlosen Endgeräten und dem verdrahteten Netz berücksichtigt. Es ist für den Fachmann offensichtlich, dass die Erfindung nicht auf die Benutzung verschiedener VLANs für jede Endgeräteklasse beschränkt ist, und dass es andere Wege gibt, die Endgeräteklasse beim Weiterleiten von Datenpaketen zu berücksichtigen. Alternativ zu VLANs kann der Zugangspunkt die Endgeräteklasse durch jegliches Verfahren zum Differenzieren von Datenpakete in verschiedene logische Kanäle auf Grundlage der Endgeräteklasse beim Weiterleiten von Datenpaketen zwischen dem drahtlosen Netz und dem verdrahteten Netz berücksichtigen. Ein weiteres Beispiel dieses Verfahrens ist Paket-Tunneling zu verschiedenen Zielen auf Grundlage der Endgeräteklasse. Nach dem Empfang eines Datenpakets von dem drahtlosen Endgerät erkennt der Zugangspunkt die Endgeräteklasse vorzugsweise auf Grundlage des Quell-MAC-Adressfelds in dem empfangenen Paket. Der Zugangspunkt verkapselt dann das empfangene Paket in einem neuen Paket ein. Das Ziel des neuen Datenpakets wird auf Grundlage der Endgeräteklasse gewählt, sodass unterschiedliche Endgeräteklassen zu unterschiedlichen Zielen getunnelt werden. Die Einkapselung ist vorzugsweise IP-Einkapselung, wobei der ursprüngliche MAC-Header beseitigt wird und das resultierende IP-Paket in einem neuen IP-Paket eingekapselt wird. Das IP-Paket wird dann gemäß der neuen IP-Zieladresse weitergeleitet. Entsprechend können von dem verdrahteten Netz empfangene Datenpakete ebenfalls getunnelt werden. Nach dem Empfang eines Datenpakets von dem verdrahteten Netz erkennt der Zugangspunkt die Endgeräteklasse vorzugsweise auf Grundlage der Quell-IP-Adresse im äußeren IP-Header, wenn verschiedene Tunnelanfangspunkte für jede Endgeräteklasse benutzt werden. Der Zugangspunkt entkapselt dann das getunnelte Paket und leitet das resultierende Datenpaket an das drahtlose Zielendgerät weiter.As an alternative to VLANs, the access point can differentiate the data packets based on IP subnet or IP address range. In this example, the access point ensures that the wireless terminal is assigned an IP address from the IP subnet or area corresponding to the terminal class identified after the communication setup. Preferably, the access point forwards the DHCP packets sent by the wireless terminal after the IP configuration phase to a suitable terminal-class based DHCP server such that the terminal is assigned an address from the correct IP subnet or IP address range. After receiving a data packet from a wireless terminal, the access point preferably recognizes the terminal class based on the source MAC address field in the data packet and then verifies that the source IP address field (or other protocol field that includes an IP address) belongs in the received data packet to the correct IP subnet or IP address range associated with the recognized terminal class. The access point only forwards the data packets to the wired network if this verification succeeds. If the verification fails, the access point discards the data packet. In addition, after receiving a unicast data packet from the wired network, the access point first recognizes the terminal class, preferably based on the destination MAC address field in the data packet, and then verifies that the destination IP address field in the data packet is the correct IP Subnetwork or IP address range associated with the recognized terminal class. The access point only forwards the data packets to the destination wireless terminal if this verification succeeds. If the verification fails, the access point discards the data packet. After receiving a multicast or broadcast data packet from the wired network, the access point is still able to detect a correct terminal class based on a protocol field that includes an IP field. Different processing, such as differential encryption or integrity protection, may be applied to multicast or broadcast data packets directed to Open System Clients or IEEE 802.1x clients. For the sake of simplicity, the use of separate VLANs for different terminal classes will be used as an example of how the access point considers the terminal class in forwarding data packets between the wireless terminals and the wired network. It will be apparent to those skilled in the art that the invention is not limited to the use of different VLANs for each class of terminal, and that there are other ways to accommodate the terminal class in forwarding data packets. As an alternative to VLANs, the access point may consider the terminal class by any method of differentiating data packets into different logical channels based on the terminal class when forwarding data packets between the wireless network and the wired network. Another example of this method is packet tunneling to various destinations based on the terminal class. After receiving a data packet from the wireless terminal, the access point preferably recognizes the terminal class based on the source MAC address field in the received packet. The access point then encapsulates the received packet in a new packet. The destination of the new data packet is chosen based on the terminal class, so that different terminal classes are tunnelled to different destinations. The encapsulation is preferably IP encapsulation, eliminating the original MAC header and the resulting IP packet is encapsulated in a new IP packet. The IP packet is then forwarded according to the new IP destination address. Accordingly, data packets received by the wired network can also be tunneled. After receiving a data packet from the wired network, the access point preferably recognizes the terminal class based on the source IP address in the outer IP header when using different tunnel origins for each terminal class. The access point then decapsulates the tunneled packet and forwards the resulting data packet to the destination wireless terminal.
Dieses
Beispielsystem ist derart angeordnet, dass Netzzugangssteuerung
für das
Open-System-Endgerät
Wenn
ein Endgerät
Wenn
ein Endgerät
Die
alternative Ausführungsform
der Erfindung gemäß
Eine andere Aufgabe für die alternative Ausführungsform sind geschützte Netze, die derzeit auf Virtual Private Network- (VPN-) Technologie aufgebaut werden, wie etwa korporative Netze. Ein Zugangspunkt, der diese Erfindung implementiert, wäre imstande, Open System Clients zum bestehenden LAN zu routen, das mit einem VPN-Gateway von dem geschützten Netz getrennt ist. Open System Clients müssen daher eine VPN-Verbindung zum Zugreifen auf das geschützte Netz aufbauen. Der Zugangspunkt könnte IEEE 802.11i-Clients zu einem anderen Virtual LAN routen, das direkte Konnektivität zu dem geschützten Netz aufweist. Damit stellt diese Erfindung einen verwalteten Einsatzweg von der derzeitigen korporativen WLAN-Lösung zur neuen IEEE 802.11i-Lösung bereit.A another task for the alternative embodiment are protected Networks currently on Virtual Private Network (VPN) technology be built, such as corporate networks. An access point, implementing this invention would be able to open system clients route to the existing LAN using a VPN gateway from the protected network is disconnected. Open system clients therefore need a VPN connection to access the protected Build network. The access point could be IEEE 802.11i clients too Another Virtual LAN route, the direct connectivity to the protected Net has. Thus, this invention provides a managed deployment path from the current corporate WLAN solution to the new IEEE 802.11i solution.
In einem anderen Beispielsystem, das die alternative Ausführungsform dieser Erfindung einsetzt, kann die Endgeräteklassifizierung im Zugangspunktgerät zum Leiten von Datenpaketen von Endgeräten, die Open System Authentication benutzen, an ein nicht gesteuertes Netz, bei dem keine Zugangssteuerung durchgeführt wird, benutzt sein. Dieses nicht gesteuerte Netz kann ein lokales Intranet oder ein anderes Netz mit begrenzten und freien Ressourcen sein, die jedem zur Verfügung stehen. In diesem Beispiel werden Datenpakete von Endgeräten, die IEEE 802.1x-Authentifizierung benutzen, an ein gesteuertes Netz, wie etwa das globale Internet, geleitet. Das gesteuerte Netz ist derart, dass es nur Endgeräten zur Verfügung steht, die sich unter Benutzung des IEEE 802.1x-Authentifizierungsverfahrens authentifizieren.In another example system, which is the alternative embodiment of this invention, the terminal classification in the access point device can be used for routing of data packets from terminals that Open System Authentication to an uncontrolled network, in which no access control is performed, be used. This non-controlled network can be a local intranet or another Network with limited and free resources available to everyone. In this example, data packets from terminals are IEEE 802.1x authentication to a controlled network, such as the global Internet, directed. The controlled network is such that it only terminals for disposal stands out using the IEEE 802.1x authentication mechanism authenticate.
Vorteile der oben beschriebenen alternativen Ausführungsform sind folgende: ein einzelnes WLAN- Funknetz ist imstande, sowohl überkommene als auch neue WLAN-Clients zu unterstützen, überkommene und neue WLAN-Clients können verschiedene IP-Teilnetze und verschiedene Dienste benutzen, in drahtlosen Stationen ist keine Unterstützung erforderlich.advantages The above-described alternative embodiment is as follows single wireless network is able to both traditional and Also, to support new wireless clients, traditional and new wireless clients can have different Use IP subnets and various services in wireless stations No support is required.
Die Erfindung ist nicht auf Open System Authentication und Authentifizierung gemäß dem IEEE 802.11i-Protokoll oder dem IEEE.8021x-Protokoll beschränkt. Die erste Ausführungsform der Erfindung kann in jeglichem System benutzt sein, in dem ein Endgerät unter Benutzung eines Zugangspunkts oder Authentifizierungsagenten als Authentikator auf ein Netz zugreifen kann. Die zweite Ausführungsform der Erfindung kann in jeglichem System benutzt sein, in dem es vorteilhaft ist, verschiedene Endgeräteklassen mit verschiedenen Diensten zu versehen, wobei die Endgeräteklasse auf Grundlage eines Parameters des Verbindungsaufbaus identifiziert wird.The Invention is not open system authentication and authentication according to the IEEE 802.11i protocol or the IEEE.8021x protocol. The first embodiment The invention can be used in any system in which a terminal under Using an access point or authentication agent as Authenticator can access a network. The second embodiment of the Invention can be used in any system in which it is advantageous is, different terminal classes with different services, the terminal class identified based on a parameter of the connection establishment becomes.
Die vorstehende Offenbarung stellt die Implementierung der Erfindung und ihrer Ausführungsformen mithilfe von Beispielen dar. Es ist für den Fachmann offensichtlich, dass die Erfindung nicht auf die Einzelheiten der oben beschriebenen Ausführungsformen beschränkt ist, und dass es außerdem andere Implementierungsweisen der Erfindung gibt, ohne von den Kennzeichen der Erfindung abzuweichen. Die obigen Ausführungsformen sollten daher als veranschaulichend und nicht einschränkend betrachtet werden. Die Implementierungs- und Nutzungsmöglichkeiten der Erfindung sind deshalb nur durch die beiliegenden Ansprüche beschränkt, und daher gehören die verschiedenen alternativen Implementierungen der Erfindung, einschließlich äquivalenter Implementierungen, die in den Ansprüchen definiert sind, ebenfalls zum Anwendungsbereich der Erfindung.The The above disclosure represents the implementation of the invention and their embodiments by way of examples. It is obvious to a person skilled in the art that the invention is not limited to the details of those described above embodiments limited is, and that there are others as well Implementations of the invention gives without departing from the characteristics to deviate from the invention. The above embodiments should therefore be considered illustrative and not restrictive. The Implementation and usage options Therefore, the invention is limited only by the appended claims, and therefore belong the various alternative implementations of the invention, including equivalent Implementations defined in the claims are also to the scope of the invention.
Claims (18)
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP04018185A EP1523129B1 (en) | 2002-01-18 | 2002-01-18 | Method and apparatus for access control of a wireless terminal device in a communications network |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60215978D1 DE60215978D1 (en) | 2006-12-21 |
DE60215978T2 true DE60215978T2 (en) | 2007-07-05 |
Family
ID=38136097
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60215978T Expired - Lifetime DE60215978T2 (en) | 2002-01-18 | 2002-01-18 | Method and device for access control of a mobile terminal in a communication network |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE60215978T2 (en) |
-
2002
- 2002-01-18 DE DE60215978T patent/DE60215978T2/en not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
DE60215978D1 (en) | 2006-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60209858T2 (en) | Method and device for access control of a mobile terminal in a communication network | |
EP1529374B1 (en) | Method and system for gsm authentication during wlan roaming | |
DE602004007708T2 (en) | A method for common authentication and authorization across different networks | |
DE102006015033B4 (en) | Mobile station as a gateway for mobile terminals to an access network and method for network registration of the mobile station and the mobile terminals | |
DE19983405B4 (en) | System and method for authentication in a mobile communication system | |
DE69935590T2 (en) | AUTHENTICATION PROCESS AND CORRESPONDING SYSTEM TO A TELECOMMUNICATIONS NETWORK | |
DE602004007301T2 (en) | ADDRESSING METHOD AND APPARATUS FOR BUILDING HIP CONNECTIONS BETWEEN CURRENT AND HIP-ABLE NETWORK NODES | |
DE602004010519T2 (en) | REMOTE ACCESS VPN TREATMENT PROCESS AND TREATMENT DEVICE | |
DE60302882T2 (en) | SECURITY TRANSFER PROTOCOL FOR A MOBILITY IP NETWORK | |
DE102006004868B4 (en) | Method and server for providing a mobility key | |
DE60223951T2 (en) | System, apparatus and method for SIM based authentication and encryption when accessing a wireless local area network | |
DE602005001542T2 (en) | Method and apparatus for using a VPN gateway that acts as a mobile IP foreign agent for mobile nodes | |
DE602004011783T2 (en) | Limited Wi-Fi access for an unknown mobile station | |
EP1943808B1 (en) | Method and server for providing a mobile key | |
DE60028229T2 (en) | Produce dynamic sessions for tunnel access in a communication network | |
DE60308620T2 (en) | Roaming service covering multiple providers of mobile data communications | |
DE602005005739T2 (en) | Apparatus and method for wireless printing | |
DE102006038591A1 (en) | Method and device for providing a wireless mesh network | |
EP2052517A1 (en) | Method and system for providing an access specific key | |
DE202006020961U1 (en) | Access point for mobile communication network | |
DE102004045147A1 (en) | A setting information distribution apparatus, method, program and medium, authentication setting transfer apparatus, method, program and medium, and setting information receiving program | |
DE602004001458T2 (en) | A TIGHT-COUPLING WIFI SOLUTION | |
WO2007051793A1 (en) | Subscriber-specific enforcement of proxy-mobile-ip (pmip) instead of client-mobile-ip (cmip) | |
DE102007001831A1 (en) | Encrypted communications links addressing and routing method, involves providing interface in encryption device with unique assignment of addresses of routing layer to addresses of another routing layer | |
DE60219772T2 (en) | NETWORK SYSTEM |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition |