BR102016027676B1 - Método para fornecer acesso a uma rede de telecomunicação de uma estação de usuário sem fio através de pontos de acesso sem fio de rede, ponto de acesso sem fio de rede e estação de usuário sem fio - Google Patents
Método para fornecer acesso a uma rede de telecomunicação de uma estação de usuário sem fio através de pontos de acesso sem fio de rede, ponto de acesso sem fio de rede e estação de usuário sem fio Download PDFInfo
- Publication number
- BR102016027676B1 BR102016027676B1 BR102016027676-4A BR102016027676A BR102016027676B1 BR 102016027676 B1 BR102016027676 B1 BR 102016027676B1 BR 102016027676 A BR102016027676 A BR 102016027676A BR 102016027676 B1 BR102016027676 B1 BR 102016027676B1
- Authority
- BR
- Brazil
- Prior art keywords
- access point
- wireless
- network
- user station
- key
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 230000006870 function Effects 0.000 claims description 25
- 230000001052 transient effect Effects 0.000 claims description 10
- 238000007726 management method Methods 0.000 claims description 6
- 230000003068 static effect Effects 0.000 claims description 6
- 238000009434 installation Methods 0.000 claims description 2
- 238000013523 data management Methods 0.000 claims 1
- 239000000523 sample Substances 0.000 description 7
- 238000012384 transportation and delivery Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 6
- 230000011664 signaling Effects 0.000 description 4
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0433—Key management protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
método para fornecer uma estação de usuário sem fio para acesso a uma rede de telecomunicação através de um ponto de acesso sem fio de rede, ponto de acesso sem fio de rede associado e estação de usuário sem fio método para fornecer acesso a uma rede de telecomunicação (3) de uma estação de usuário sem fio (6) através de um ponto de acesso sem fio de rede (2), que inclui: - derivar, através de cada um dentre a estação de usuário sem fio e o ponto de acesso de rede sem fio, uma segunda chave (opsk) a partir de pelo menos uma primeira chave compartilhada (psk); - realizar uma etapa de autenticação entre a estação de usuário sem fio e o ponto de acesso sem fio de rede como uma função das segundas chaves derivadas (opsk); - obter e transmitir de modo sem fio através do ponto de acesso de rede um valor atualizado de um parâmetro; - receber de modo sem fio através da estação de usuário sem fio o valor atualizado transmitido do parâmetro; a segunda chave (opsk) sendo derivada pela estação de usuário sem fio a partir da primeira chave compartilhada e, adicionalmente, a partir do valor atualizado recebido do parâmetro, e a segunda chave sendo derivada pelo ponto de acesso sem fio de rede a partir da primeira chave compartilhada e, adicionalmente, a partir do valor atualizado transmitido do parâmetro. figura 1.
Description
[0001] A presente invenção geralmente refere-se a uma rede de telecomunicação que inclui pontos de acesso sem fio e implanta um esquema de autenticação entre pontos de acesso sem fio e estações de usuário sem fio antes de fornecer serviços de telecomunicação às estações de usuário sem fio através dos pontos de acesso sem fio.
[0002] A invenção se refere, mais particularmente, a um método para fornecer uma estação de usuário sem fio para acesso a uma rede de telecomunicação através de um ponto de acesso sem fio de rede, incluindo as etapas de: - derivar, através de cada um dentre a estação de usuário sem fio e o ponto de acesso sem fio de rede, uma segunda chave de pelo menos uma primeira chave compartilhada pela estação de usuário sem fio e o ponto de acesso de rede; - realizar, através de comunicação sem fio, uma etapa de autenticação entre a estação de usuário sem fio e o ponto de acesso sem fio de rede como uma função das respectivas segundas chaves derivadas pela estação de usuário sem fio e o ponto de acesso sem fio de rede; - fornecer acesso da estação de usuário sem fio à rede de telecomunicação através do ponto de acesso sem fio de rede como uma função do resultado da etapa de autenticação.
[0003] O documento US 2007/280481 A1 divulga uma alteração do conhecido mecanismo de handshake de quatro vias compreendendo a adição de uma etapa em que um ponto de acesso tenta utilizar uma chave PSK de uma lista de PSKs para validar um Código de Integridade de Mensagem fornecido por uma estação tentando se conectar à rede até que um dos PSKs valide a mensagem.
[0004] O documento WO 213/040042 A1 divulga um mecanismo de autenticação de três partes seguido por um mecanismo de handshake de quatro vias alterado.
[0005] Por exemplo, o padrão IEEE 802.11 define dois tipos de métodos de acesso para uma rede: - método de acesso com base em protocolo de Autenticação Extensível, - método de acesso em chaves Pré-Compartilhadas (PSK).
[0006] Cada método de acesso inclui uma autenticação e um estabelecimento de chaves de grupo em pares. Esses métodos de acesso diferem pelo protocolo de autenticação.
[0007] O método de acesso com base no protocolo de Autenticação Extensível precisa da troca de informações entre três entidades: a estação de usuário de rádio IEEE802.11 (o suplicante), o ponto de acesso (o autenticador) e um servidor de autenticação. O servidor de autenticação é usado para certificar ao ponto de acesso que é permitido que a estação de usuário se associe e para certificar à estação de usuário que o ponto de acesso selecionado é parte da rede. Essa abordagem fornece uma autenticação mútua. O servidor de autenticação também é usado para gerenciamento de chave.
[0008] O método de acesso com base em Chaves Pré-Compartilhadas precisa da troca de informações entre duas entidades, apenas: a estação de usuário de rádio IEEE802.11 (o suplicante) e o ponto de acesso (o autenticador). A fase de autenticação é simplificada e realizada através do ponto de acesso. A autenticação e o estabelecimento de chave de grupo em pares são misturados e dependem do conhecimento de ambas as entidades de uma chave pré-compartilhada. A segurança de autenticação e de comunicação depende da confidencialidade da chave pré- compartilhada.
[0009] Se o método de acesso com base no protocolo de Autenticação Extensível fornece o nível mais alto de segurança devido à autenticação mútua de estação de usuário e ponto de acesso e também o gerenciamento de chave realizado pelo servidor de Autenticação, um método de acesso com base em Chave Pré- Compartilhada é muito mais rápido devido ao fato de que necessita de uma troca limitada de informações entre apenas duas entidades e também é simples de implantar devido ao fato de que não necessita de um servidor de autenticação. A duração total de uma operação de acesso entre a questão de uma solicitação de associação e o sucesso de operação está acima de 1 segundo para o método de acesso com base no protocolo de Autenticação Extensível e alguns poucos milissegundos (ms) para o método de acesso com base em Chave Pré- Compartilhada.
[0010] Há um equilíbrio a ser considerado entre o nível de segurança e a complexidade e desempenho de um Sistema de rádio, especialmente em casos em que entregas frequentes ocorrem tal como considerando-se uma estação de usuário dentro de um trem em percurso e comunicando-se com uma rede que inclui pontos de acesso fixos.
[0011] A invenção propõe um método para fornecer acesso a uma rede de telecomunicação de uma estação de usuário transceptora sem fio através de um ponto de acesso sem fio de rede, um ponto de acesso sem fio de rede e uma estação de usuário sem fio de acordo com as reivindicações em anexo.
[0012] A invenção permite, desse modo, que o nível de segurança de métodos de acesso com base em Chaves Pré-Compartilhadas seja melhorado.
[0013] A presente invenção é ilustrada a título de exemplo e não com propósitos limitadores nas Figuras dos desenhos anexos e em que os números de referência similares se referem aos elementos similares e em que: - A Figura 1 mostra diagramaticamente uma rede de telecomunicação que implanta uma modalidade da invenção; - A Figura 2 é um fluxograma que ilustra etapas de um método de acordo com uma modalidade da invenção; - A Figura 3 é um fluxograma que representa as etapas de um método de acordo com uma modalidade da invenção.
[0014] A Figura 1 mostra diagramaticamente um sistema de telecomunicação 1 que implanta uma modalidade da invenção.
[0015] O sistema de telecomunicação 1 inclui: - uma rede de suporte principal 3 cujos serviços de telecomunicação podem ser fornecidos, tais como serviços de Internet; - uma ou diversas estações de usuário sem fio 6; - diversos pontos de acesso sem fio 2 incluindo os pontos de acesso sem fio 2 chamados AP1, AP2, AP3, conectados, cada um, à rede de suporte principal 3.
[0016] Um servidor gerenciador de rede (NMS) 4 também é conectado à rede de suporte principal 3.
[0017] Na modalidade considerada, uma estação de usuário 6 é uma estação de usuário de rádio 6, que inclui uma interface de rádio, uma antena de radiofrequência, um microcomputador e uma memória (não mostrada nas figuras).
[0018] A memória de uma estação de usuário 6 inclui instruções de software que, uma vez executadas no microcomputador da estação de usuário 6, implantam as etapas descritas a seguir, incluindo as etapas referentes às Figuras 2 e 3 e realizadas pela estação de usuário 6.
[0019] Na modalidade considerada, cada um dos pontos de acesso AP1, AP2, AP3 inclui uma interface de rádio, a uma antena de radiofrequência, um microcomputador e uma memória (não mostrada nas Figuras). Cada um dos pontos de acesso AP1, AP2, AP3 corresponde a uma respectiva área de cobertura de rádio e é adaptado para entregar os serviços de telecomunicação fornecidos pela rede de segundo plano 3 para as estações de usuário de rádio localizadas dentro da área de cobertura de rádio do dito ponto de acesso.
[0020] A memória de cada um dos pontos de acesso AP1, AP2, AP3 inclui instruções de software que, uma vez executadas no microcomputador do ponto de acesso, implantam as etapas descritas a seguir, incluindo as etapas referentes às Figuras 2 e 3 e realizadas através do ponto de acesso.
[0021] A interface de rádio de uma estação de usuário 6 é adaptada para se comunicar com a interface de rádio do ponto de acesso 2. Na modalidade considerada da invenção, as respectivas interfaces de rádio são adaptadas para se comunicar de acordo com o padrão IEEE 802.11 (emenda 802.11i) completado conforme revelado a seguir em relação à geração da Chave Transiente Em Pares (PTK) que é gerada a partir da Chave Pré-Compartilhada (PSK) como se sabe e também é gerada de acordo com a invenção, adicionalmente de acordo com um parâmetro modificado regularmente.
[0022] Na modalidade específica considerada em referência à Figura 1, uma estação de usuário de rádio 6, considerada a seguir é, por exemplo, uma estação de usuário de um sistema de rádio de controle de trem com base em comunicação e está dentro de um trem 5. Enquanto o trem 5 percorre ao longo de sua linha de ferrovia, a estação de usuário 6 atravessa sucessivamente a área de cobertura de rádio do ponto de acesso AP3, então, através da área de cobertura de rádio do ponto de acesso AP2 e, finalmente, através da área de cobertura de rádio do ponto de acesso AP1. Diversas entregas da estação de usuário 6 com esses pontos de acesso 2 sucessivos, portanto, ocorrem.
[0023] O uso de IEEE 802.11i fornece proteção contra interceptação intencional ou não intencional por um mecanismo de autenticação e criptografia de todos os pacotes com dados de conteúdo. O mecanismo de autenticação evita que um usuário não autorizado configure uma conexão de rádio e a criptografia de pacotes com dados de conteúdo evita que estes sejam interceptados por qualquer usuário não autorizado.
[0024] De acordo com IEEE 802.11i, as estações de usuário 6 do sistema de telecomunicação 1 e os pontos de acesso 2 do sistema de telecomunicação 1 têm na memória uma chave pré-compartilhada PSK igual armazenada.
[0025] A chave pré-compartilhada PSK é usada, conforme mostrado a seguir com referência às Figuras 2 e 3, para gerar uma chave transiente em pares PTK comum em uma estação de usuário 6 e paralela no ponto de acesso que implanta a etapa de autenticação, sendo que tal PTK é usada em autenticação e usada também em criptografia/decriptografia de todos os pacotes incluindo dados de conteúdo.
[0026] Uma nova PTK é gerada em uma estação de usuário 6 durante uma etapa de autenticação com um ponto de acesso, após cada entrega e após cada estágio de ligação e inicialização da estação de usuário 6.
[0027] De acordo com a invenção, em relação ao conjunto 100 de etapas representado pelo fluxograma na Figura 2, em uma etapa 101, um valor modificado de um parâmetro, chamado a seguir de número de semente, por exemplo, um valor aleatório, é gerado pelo NMS 4 e é transmitido para os pontos de acesso 2 pelo NMS 4 através da rede de suporte principal 3, por exemplo, de acordo com o Protocolo de Gerenciamento de Rede Simples (SNMP).
[0028] A etapa 101 é repetida de acordo com um modelo de realização de número de semente determinado, por exemplo, um valor novo é dado aleatoriamente ao número de semente em uma base cíclica (um número de semente renovado por semana, por dia ou por hora, por exemplo).
[0029] Em uma etapa 102, o último valor novo do número de semente é transmitido regularmente pela interface de rádio de qualquer ponto de acesso 2.
[0030] Em uma modalidade dessa etapa 102, cada vez que um valor novo do número de semente é recebido do NMS 4 por um ponto de acesso 2, o ponto de acesso 2 substitui, em um dado campo de sua mensagem sinalizadora, o valor de número de semente recebido anteriormente pelo valor número de semente recebido recentemente. Como se sabe, mensagem sinalizadora inclui, ainda, dados de identificação do ponto de acesso 2 que são usados pelas estações de usuário 6, além da medição de nível de recebimento de sinalizador quando tenta-se conectar ao sistema de telecomunicação 1 através do ponto de acesso para usar serviços de telecomunicação fornecidos pelo sistema de telecomunicação. A mensagem sinalizadora de um ponto de acesso 2 é transmitida repetidamente pela interface de rádio do ponto de acesso, por exemplo, a cada 30 ms.
[0031] As mensagens sinalizadoras transmitidas estão na modalidade considerada em conformidade com as mensagens sinalizadoras de padrão IEEE 802.11, o valor de número de semente é inserido no campo da mensagem sinalizadora dedicada a informações proprietárias.
[0032] Além disso, em uma modalidade dessa etapa 102, cada vez que um valor novo do número de semente é recebido por um ponto de acesso 2 do NMS 4, o ponto de acesso 2 substitui, em um dado campo de seus quadros de resposta de sonda, o valor de número de semente recebido anteriormente pelo valor de número de semente recebido recentemente.
[0033] Como se sabe, os quadros de resposta de sonda de IEEE 802.11, incluindo dados de identificação de um ponto de acesso, são transferidos pela interface de rádio do ponto de acesso 2 em resposta a qualquer solicitação de sonda enviada por uma estação de usuário 6 e recebida através do ponto de acesso.
[0034] Os quadros de resposta de sonda transmitidos de acordo com a modalidade considerada da invenção estão em conformidade com o padrão IEEE 802.11, o valor de número de semente é inserido no campo dedicado a informações proprietárias.
[0035] Em uma etapa 103, o valor novo do número de semente transmitido por um ponto de acesso 2 na etapa 102 é recebido pela interface de rádio de uma estação de usuário 6 localizada dentro da área de cobertura de rádio do ponto de acesso 2 e é armazenado em sua memória. A estação de usuário 6 gera a chave PTK como uma função da chave de PSK armazenada na memória de estação de usuário e desse valor armazenado por último do número de semente.
[0036] A dita chave PTK é gerada cada vez que a estação de usuário integrada 6 realiza uma entrega ou é ligada, durante uma etapa de autenticação entre a estação de usuário e o ponto de acesso e também é usada para criptografia/decriptografia subsequente.
[0037] A invenção permite que a segurança do sistema de telecomunicação 1 seja aumentada com um impacto bastante limitado nos desempenhos de sistema de telecomunicação (por exemplo, em duração de entrega) e complexidade.
[0038] Tais vantagens são valiosas, por exemplo, em trens que percorrem em velocidade até 100 km/h, em que estações de usuário integradas realizam entregas frequentes entre pontos de acesso e a duração de entrega deve ser o mais curta possível com um valor inferior a 100 ms em 90 por cento das entregas.
[0039] Em uma modalidade da etapa 103, cada vez que a estação de usuário 6 integrada realiza uma entrega ou é ligada, a estação de usuário 6 busca um novo ponto de acesso adequado 2 detectando-se sinalizadores transmitidos por pontos de acesso 2 circundantes, de acordo com o IEEE 802.11. Para acelerar a pesquisa de ponto de acesso adequada, opcionalmente, a estação de usuário 6 envia uma solicitação de sonda, de acordo com IEEE 802.11.
[0040] Então, a estação de usuário 6 analisa sinalizadores detectados e/ou quadros de resposta de sonda, seleciona um ponto de acesso 2 adequado de acordo com IEEE 802.11, por exemplo, o ponto de acesso AP3 (como se sabe, o ponto de acesso AP3 é selecionado com base pelo menos no nível de recepção, através da estação de usuário 6, do sinal de rádio transmitido através do ponto de acesso AP3). A estação de usuário 6 armazena, em sua memória, informações contidas dentro da resposta de sinalizador e/ou sonda transmitida através do ponto de acesso selecionado AP3 incluindo parâmetros de segurança tais como o tipo de autenticação de acordo com IEEE 802.11 e o novo número de semente. Então, a estação de usuário 6 transmite, por meio de sua interface de rádio, para o ponto de acesso AP3, selecionado, uma solicitação de associação de acordo com IEEE 802.11 que precisa de associação com o ponto de acesso selecionado AP3. Uma vez que as trocas de etapa de associação entre a estação de usuário 6 são completadas com sucesso e o ponto de acesso selecionado AP3 é associado à estação de usuário 6, a etapa de autenticação, então, começa. Nenhuma telecomunicação de dados de conteúdo é possível até o término da etapa de autenticação entre o ponto de acesso AP3 e a estação de usuário 6.
[0041] A Figura 3 representa um fluxograma que representa etapas do estágio de autenticação 200 entre uma estação de usuário 6 e o ponto de acesso associado do ponto de acesso selecionado AP3, tal como o realizado em uma modalidade da etapa 103.
[0042] Na etapa 201, a estação de usuário 6 gera uma chave compartilhada operacional OPSK, como resultado de uma função (função F1) da chave pré- compartilhada PSK armazenada em sua memória e do novo número de semente que foi armazenado por último em sua memória: OPSK = F1(PSK, número de semente).
[0043] Em uma modalidade, a função F1 é baseada na função de PBKDF2 definida no IETF RFC2898.
[0044] Na etapa 202, a estação de usuário 6 gera um valor de SNONCE, que pode ser um número aleatório gerado na base de PBKDF2 definida no RFC2898 sendo que as entradas principais são OPSK e um número aleatório ou um Aleatório gerado diretamente de acordo com IETF RFC 4086.
[0045] Paralelamente às etapas 201 e 202, na etapa 301, o ponto de acesso AP3 gera também uma chave compartilhada operacional OPSK, como resultado de uma função (função F1) da chave pré-compartilhada PSK armazenada em sua memória e do número de semente que foi armazenado por último em sua memória (OPSK = F1(PSK, número de semente) e na etapa 302, o ponto de acesso AP3 gera um ANONCE que pode ser um número Aleatório gerado na base de PBKDF2 definida no RFC2898 sendo que as entradas principais são OPSK e um número aleatório ou um Aleatório gerado de acordo com IETF RFC 4086
[0046] Em uma etapa 303, o ponto de acesso AP3 transmite para a estação de usuário 6, através das respectivas interfaces de rádio, uma primeira mensagem de autenticação que inclui o valor de ANONCE gerado.
[0047] Em uma etapa 304, a estação de usuário 6 recebe a primeira mensagem de autenticação transmitida através do ponto de acesso AP3 e deriva uma chave transiente em pares PTK do valor de ANONCE incluso na primeira mensagem de autenticação recebida e do SNONCE e a chave compartilhada operacional OPSK gerada na etapa 201: PTK = F3(ANONCE, SNONCE, OPSK), em que F3 é uma função do valor de ANONCE e do valor de OPSK e também do valor de SNONCE.
[0048] Em uma modalidade, a função F3 é a função PRF-n definida pelo padrão IEEE802.11.
[0049] Em uma etapa 305, a estação de usuário 6 transmite para o ponto de acesso AP3, através das respectivas interfaces de rádio, uma segunda mensagem de autenticação que inclui o valor de SNONCE gerado e um Código de Integridade de Mensagem (MIC) com base em CBTC-MAC conforme definido no mecanismo de handshake de quatro vias especificado pelo padrão IEEE802.11. Em uma etapa 306, o ponto de acesso AP3 recebe a segunda mensagem de autenticação transmitida pela estação de usuário 6. O ponto de acesso AP3 verifica que o MIC na segunda mensagem de autenticação recebida é válido (por exemplo, é considerado como válido se e apenas se o MIC calculado por conta própria através do ponto de acesso for igual ao MIC que está na segunda mensagem de autenticação recebida e foi calculado pela estação de usuário com base em SNONCE e o cabeçalho na mensagem) e apenas no caso de o MIC ser verificado como válido (caso contrário a autenticação falha), o ponto de acesso AP3 deriva uma chave transiente em pares PTK a partir do valor de SNONCE incluso na segunda mensagem de autenticação recebida e a partir da chave compartilhada operacional OPSK gerada na etapa 201 e também o ANONCE: PTK = F4(ANONCE,SNONCE, OPSK), em que F4 é uma função do valor de ANONCE, do valor de SNONCE e do valor de OPSK. A função F4 é a função F3 que é a função PRF-n definida pelo padrão IEEE802.11.
[0050] Em uma etapa 307, o ponto de acesso AP3 transmite para a estação de usuário 6, através das respectivas interfaces de rádio, uma terceira mensagem de autenticação que inclui uma notificação de instalação de PTK certificada com um MIC calculado a partir do cabeçalho da terceira mensagem de autenticação e de ANONCE.
[0051] Em uma etapa 308, a estação de usuário 6 recebe a terceira mensagem de autenticação transmitida através do ponto de acesso AP3 conforme definido no mecanismo de handshake de quatro vias de IEEE802.11. A estação de usuário 6 verifica se o MIC na terceira mensagem de autenticação recebida é válido (similar à etapa 306, a estação de usuário computa o MIC no conteúdo da terceira mensagem de autenticação e compara com o MIC dentro da mensagem; se e apenas se forem iguais, a mensagem é considerada válida) e apenas no caso do MIC ser verificado como válido (do contrário a autenticação falha), a estação de usuário 6 transmite uma quarta mensagem de autenticação para o ponto de acesso AP3 incluindo um MIC calculado do cabeçalho da quarta mensagem de autenticação e de SNONCE.
[0052] Então, em uma etapa 309, a estação de usuário 6 instala em sua memória a chave PTK gerada na etapa 304.
[0053] Em uma etapa 310, o ponto de acesso AP3 recebe a quarta mensagem de autenticação transmitida pela estação de usuário 6 e, então, o ponto de acesso AP3 instala em sua memória a chave PTK gerada na etapa 306.
[0054] A autenticação é, então, completada e a comunicação de dados de conteúdo pode ocorrer (etapa 311), sendo que esses dados de conteúdo são criptografados/decriptografados pela estação de usuário 6 com o uso de chave (ou chaves) de criptografia/decriptografia com base na chave PTK armazenada em sua memória (e, similarmente, os dados de conteúdo são criptografados/decriptografados através do ponto de acesso AP3 com o uso da chave PTK armazenada em sua memória).
[0055] No padrão IEEE 802.11 da técnica anterior, considerando a Figura 3, as etapas 201 e 301 não existiram e nas etapas 202, 302 a 311, a chave pré- compartilhada PSK foi usada em vez de a chave OPSK, para gerar a chave transiente em pares PTK. A invenção permite que uma chave estática (a chave PSK) seja transformada em uma dinâmica (a chave OPSK).
[0056] Mencionadas acima, as etapas 202, 302, 303, 304, 305, 306, 307, 308, 309, 310 são as etapas definidas em IEEE 802.11 para estágio de autenticação quando a OPSK dinâmica é considerada em vez de a PSK estática.
[0057] A invenção permite que o nível de segurança aumente sem aumentar significativamente a complexidade da arquitetura de sistema ou a duração de entrega. [0058] Uma modalidade da invenção foi descrita acima com referência às Figuras no caso de comunicações de rádio de IEEE 802.11 entre as estações de usuário e a rede pontos de acesso. Naturalmente, o uso de uma chave estática compartilhada pelos pontos de acesso e as estações de usuário e de um número aleatório modificado regularmente de acordo com a invenção na etapa de autenticação e/ou etapa de criptografia/decriptografia pode ser implantado com o uso de protocolos de rádio para comunicação que são diferentes IEEE 802.11 e mais geralmente em modalidades da invenção, outras interfaces sem fio para comunicação podem ser usadas em vez de interfaces de rádio.
Claims (13)
1. Método para fornecer acesso a uma rede de telecomunicação (3) de uma estação de usuário sem fio (6) através de pontos de acesso sem fio de rede (2), os pontos de acesso sem fio de rede sendo conectados a um servidor gerenciador de rede (4) através de uma rede de telecomunicação (3) caracterizado pelo fato de que o método inclui consecutivamente a etapas de: gerar, pelo servidor gerenciador de rede, um valor atualizado de um parâmetro, dito valor atualizado do parâmetro sendo transmitido para os pontos de acesso sem fio de rede; transmitir de modo sem fio através do ponto de acesso sem fio de rede o valor atualizado do parâmetro; receber de modo sem fio pela estação de usuário sem fio o valor atualizado do parâmetro transmitido através do ponto de acesso sem fio de rede; derivar, por cada um dentre a estação de usuário sem fio e o ponto de acesso sem fio de rede, uma segunda chave a partir de pelo menos uma primeira chave e, adicionalmente, a partir do valor atualizado recebido do parâmetro, sendo que a primeira chave é uma chave pré-compartilhada estática, que é compartilhada pela estação de usuário sem fio e o ponto de acesso de rede e armazenado na memória da estação de usuário sem fio e o ponto de acesso de rede, respectivamente; realizar, através de comunicação sem fio, uma etapa de autenticação entre a estação de usuário sem fio e uns pontos de acessos dados do ponto de acesso sem fio de rede com base nas segundas chaves derivadas pela estação de usuário sem fio e o ponto de acesso sem fio de rede; fornecer acesso da estação de usuário sem fio à rede de telecomunicação através do ponto de acesso sem fio de rede como um resultado da etapa de autenticação, a etapa de autenticação sendo um mecanismo de handshake de quatro vias entre a estação de usuário sem fio e o ponto de acesso dado como especificado pelo padrão IEEE 802.11.
2. Método para fornecer acesso a uma rede de telecomunicação (3) de uma estação de usuário sem fio (6) através de ponto de acesso sem fio de rede (2), de acordo com a reivindicação 1, caracterizado pelo fato de que a etapa de autenticação compreende: a estação do usuário gera um primeiro número aleatório (SNONCE); o ponto de acesso dado gera um segundo número aleatório (ANONCE); o ponto de acesso dado transmite a estação do usuário uma primeira mensagem de autenticação incluindo o segundo número aleatório; a estação do usuário deriva uma chave transiente em pares (PTK) a partir dos primeiro e segundo números aleatórios e da segunda chave (OPSK); a estação do usuário transmite para o ponto de acesso uma segunda mensagem de autenticação incluindo o primeiro número aleatório e um código de integridade de mensagem (MIC) baseado em CBTC-MAC; o ponto de acesso checa se o código de integridade de mensagem recebido é válido e, apenas no caso de o código de integridade de mensagem ser válido, o ponto de acesso deriva a chave transiente em pares (PTK) a partir dos primeiro e segundo números aleatórios e da segunda chave (OPSK); o ponto de acesso transmite para a estação do usuário uma terceira mensagem de autenticação incluindo uma notificação de instalação da chave transiente em pares, certificada com um código de integridade de mensagem calculado a partir do cabeçalho da terceira mensagem de autenticação e a partir do segundo número aleatório; a estação do usuário checa se o código de integridade de mensagem é válido e, apenas no caso de o código de integridade de mensagem ser válido, a estação do usuário transmite uma quarta mensagem de autenticação para o ponto de acesso incluindo um código de integridade de mensagem calculado a partir do cabeçalho da quarta mensagem de autenticação e a partir do primeiro número aleatório; a estação do usuário instala em sua memória a chave transiente em pares gerada e o ponto de acesso, na recepção da quarta mensagem de autenticação, instala em sua memória a chave transiente em pares gerada.
3. Método para fornecer acesso a uma rede de telecomunicação (3) de uma estação de usuário sem fio (6) através de ponto de acesso sem fio de rede (2), de acordo com a reivindicação 1 ou 2, caracterizado pelo fato de que a etapa de autenticação começa com a estação do usuário gerando um primeiro número aleatório (SNONCE) e o ponto de acesso dado gerando um segundo número aleatório (ANONCE), o primeiro e segundo número aleatório sendo números aleatórios gerados com base da função PBKDF2 com as entradas principais sendo a segunda chave e um número aleatório.
4. Método, de acordo com qualquer uma das reivindicações 1 a 3, caracterizado pelo fato de que, em cada tempo de atualização de um padrão de atualização que inclui vários tempos de atualização, o ponto de acesso sem fio de rede obtém um valor atualizado do parâmetro e transmite de modo sem fio o valor atualizado do parâmetro assim obtido; e em que qualquer etapa de autenticação futura em relação à estação de usuário sem fio que recebeu o valor atualizado do parâmetro é realizada como uma função da segunda chave derivada pela estação de usuário sem fio a partir de pelo menos a primeira chave e, adicionalmente, a partir do valor atualizado transmitido do parâmetro.
5. Método, de acordo com qualquer uma das reivindicações 1 a 4, caracterizado pelo fato de que o valor atualizado do parâmetro é transmitido de modo sem fio através do ponto de acesso sem fio como incluído nas mensagens de sinalizador do ponto de acesso sem fio que inclui adicionalmente as informações de identificação de ponto de acesso e difundido ciclicamente.
6. Ponto de acesso sem fio de rede (2), configurado para fornecer uma estação de usuário sem fio (2) com acesso a uma rede de telecomunicação (3), o ponto de acesso sem fio de rede sendo conectado a um servidor gerenciador de rede (4) através de uma rede de telecomunicação (3), sendo que o dito ponto de acesso sem fio de rede é caracterizado pelo fato de que a rede compreende: meios para obter um valor atualizado de um parâmetro gerado pelo servidor gerenciador de rede meios para transmitir de modo sem fio através do ponto de acesso sem fio de rede o valor atualizado do parâmetro, meios para derivar uma segunda chave a partir de pelo menos uma primeira chave e, adicionalmente, a partir do valor atualizado transmitido do parâmetro, sendo que a primeira chave é uma chave pré-compartilhada estática, compartilhada pela estação de usuário sem fio e o ponto de acesso de rede e armazenada na memória da estação de usuário sem fio e do ponto de acesso de rede, respectivamente; meios para realizar, através da comunicação sem fio, uma etapa de autenticação com a estação de usuário sem fio como uma função da segunda chave derivada, e meios para fornecer acesso da estação de usuário sem fio à rede de telecomunicação como uma função do resultado da etapa de autenticação, a etapa de autenticação sendo um mecanismo de handshake de quatro vias entre a estação de usuário sem fio e o ponto de acesso dado como especificado pelo padrão IEEE 802.11.
7. Ponto de acesso sem fio de rede (2), de acordo com a reivindicação 6, caracterizado pelo fato de que a etapa de autenticação começa com a estação do usuário gerando um primeiro número aleatório (SNONCE) e o ponto de acesso gera um segundo número aleatório (ANONCE), o primeiro e segundo número aleatório sendo números aleatórios gerados com base da função PBKDF2 com as entradas principais sendo a segunda chave e um número aleatório.
8. Ponto de acesso sem fio de rede (2), de acordo com a reivindicação 6 ou 7, caracterizado pelo fato de que é adaptado para, em cada tempo de atualização de um padrão de atualização que inclui vários tempos de atualização, obter um valor atualizado do parâmetro e transmitir de modo sem fio o valor atualizado do parâmetro assim obtido.
9. Ponto de acesso sem fio de rede (2), de acordo com qualquer uma das reivindicações 6 a 8, caracterizado pelo fato de que é adaptado para transmitir de modo sem fio o valor atualizado do parâmetro como incluído nas mensagens de sinalizador do ponto de acesso sem fio que incluem adicionalmente informações de identificação de ponto de acesso e difundido ciclicamente.
10. Estação de usuário sem fio (6) configurada para obter acesso a uma rede de telecomunicação através de um ponto de acesso sem fio de rede (2), o ponto de acesso sem fio de rede sendo conectado a um servidor gerenciador de rede (4) através de uma rede de telecomunicação (3) caracterizada pelo fato de que a estação do usuário sem fio compreende: meios para receber de modo sem fio um valor atualizado de um parâmetro transmitido pelo ponto de acesso sem fio de rede, o valor atualizado do parâmetro sendo gerado pelo servidor de gerenciamento de rede; e meios para derivar a segunda chave (OPSK) a partir de pelo menos a primeira chave compartilhada e, adicionalmente, a partir do valor atualizado recebido do parâmetro; sendo a primeira chave uma chave pré-compartilhada estática, compartilhada pela estação de usuário sem fio e o ponto de acesso de rede e armazenada na memória da estação de usuário sem fio e do ponto de acesso de rede, respectivamente; meios para realizar, através da comunicação sem fio, uma etapa de autenticação com o ponto de acesso sem fio de rede como uma função da segunda chave derivada, e meios para acessar a rede de telecomunicação através de um ponto de acesso sem fio de rede como uma função do resultado da etapa de autenticação, a etapa de autenticação sendo um mecanismo de handshake de quatro vias entre a estação de usuário sem fio e o ponto de acesso dado como especificado pelo padrão IEEE 802.11.
11. Estação de usuário sem fio (6), de acordo com a reivindicação 10, caracterizada pelo fato de que é adaptada para realizar qualquer etapa de autenticação futura como uma função da segunda chave (OPSK) derivada pela estação de usuário sem fio a partir de pelo menos a primeira chave e, adicionalmente, a partir do valor atualizado do parâmetro recebido no último tempo de atualização ocorrido de um padrão de atualização que inclui vários tempos de atualização.
12. Estação de usuário sem fio (6), de acordo com a reivindicação 10 ou 11, caracterizada pelo fato de que a etapa de autenticação começa com a estação do usuário gerando um primeiro número aleatório (SNONCE) e o ponto de acesso gera um segundo número aleatório (ANONCE), o primeiro e segundo número aleatório sendo números aleatórios gerados com base da função PBKDF2 com as entradas principais sendo a segunda chave e um número aleatório.
13. Estação de usuário sem fio (6), de acordo com qualquer uma das reivindicações 10 a 12, caracterizada pelo fato de que é adaptada para receber o valor atualizado do parâmetro como incluído nas mensagens de sinalizador difundidas ciclicamente pelo ponto de acesso sem fio e que incluem adicionalmente informações de identificação de ponto de acesso.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP15306879.6 | 2015-11-26 | ||
| EP15306879.6A EP3174326B1 (en) | 2015-11-26 | 2015-11-26 | Method for providing a wireless user station for access to a telecommunication network through a network wireless access point, associated network wireless access point and wireless user station |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| BR102016027676A2 BR102016027676A2 (pt) | 2017-08-22 |
| BR102016027676B1 true BR102016027676B1 (pt) | 2023-12-19 |
Family
ID=54780237
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BR102016027676-4A BR102016027676B1 (pt) | 2015-11-26 | 2016-11-25 | Método para fornecer acesso a uma rede de telecomunicação de uma estação de usuário sem fio através de pontos de acesso sem fio de rede, ponto de acesso sem fio de rede e estação de usuário sem fio |
Country Status (7)
| Country | Link |
|---|---|
| EP (1) | EP3174326B1 (pt) |
| CN (1) | CN106817695B (pt) |
| BR (1) | BR102016027676B1 (pt) |
| CA (1) | CA2949549A1 (pt) |
| DK (1) | DK3174326T3 (pt) |
| ES (1) | ES2768679T3 (pt) |
| SG (1) | SG10201609934UA (pt) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112349003B (zh) * | 2020-11-17 | 2024-07-12 | 深圳Tcl新技术有限公司 | 门锁密码的传输方法、锁体、服务器及可读存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4000933B2 (ja) * | 2002-07-19 | 2007-10-31 | ソニー株式会社 | 無線情報伝送システム及び無線通信方法、無線端末装置 |
| US20070280481A1 (en) * | 2006-06-06 | 2007-12-06 | Eastlake Donald E | Method and apparatus for multiple pre-shared key authorization |
| US8270414B2 (en) * | 2008-08-20 | 2012-09-18 | Intel Corporation | Apparatus and method to dynamically handover master functionality to another peer in a wireless network |
| CN102883316B (zh) * | 2011-07-15 | 2015-07-08 | 华为终端有限公司 | 建立连接的方法、终端和接入点 |
| US9439067B2 (en) * | 2011-09-12 | 2016-09-06 | George Cherian | Systems and methods of performing link setup and authentication |
| CN104486759B (zh) * | 2014-12-15 | 2018-11-23 | 北京极科极客科技有限公司 | 一种无障碍接入无线网络的方法 |
| CN104602231B (zh) * | 2015-02-10 | 2018-04-20 | 新华三技术有限公司 | 一种更新预共享密钥的方法和装置 |
-
2015
- 2015-11-26 EP EP15306879.6A patent/EP3174326B1/en active Active
- 2015-11-26 DK DK15306879.6T patent/DK3174326T3/da active
- 2015-11-26 ES ES15306879T patent/ES2768679T3/es active Active
-
2016
- 2016-11-23 CA CA2949549A patent/CA2949549A1/en active Pending
- 2016-11-25 BR BR102016027676-4A patent/BR102016027676B1/pt active IP Right Grant
- 2016-11-25 SG SG10201609934UA patent/SG10201609934UA/en unknown
- 2016-11-28 CN CN201611071535.3A patent/CN106817695B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN106817695B (zh) | 2022-06-07 |
| EP3174326B1 (en) | 2019-11-06 |
| SG10201609934UA (en) | 2017-06-29 |
| CN106817695A (zh) | 2017-06-09 |
| ES2768679T3 (es) | 2020-06-23 |
| CA2949549A1 (en) | 2017-05-26 |
| EP3174326A1 (en) | 2017-05-31 |
| DK3174326T3 (da) | 2020-02-03 |
| BR102016027676A2 (pt) | 2017-08-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3338473B1 (en) | Method and apparatus for authentication of wireless devices | |
| US9735957B2 (en) | Group key management and authentication schemes for mesh networks | |
| CN110049492B (zh) | 通信方法、核心网网元、终端设备及存储介质 | |
| CN101513092B (zh) | 在基于基础结构的无线多跳网络中的安全认证和密钥管理 | |
| US8189608B2 (en) | Wireless extender secure discovery and provisioning | |
| EP2421292B1 (en) | Method and device for establishing security mechanism of air interface link | |
| US8036183B2 (en) | Method and system for transporting configuration protocol messages across a distribution system (DS) in a wireless local area network (WLAN) | |
| US9769653B1 (en) | Efficient key establishment for wireless networks | |
| CN101742496A (zh) | 在分层无线网络中提供安全无线网络通信的方法和装置 | |
| EP3175639B1 (en) | Authentication during handover between two different wireless communications networks | |
| US8666078B2 (en) | Method and system for generating cipher key during switching | |
| JP2010503330A (ja) | アドホック無線ネットワークのノード間においてセキュリティ・アソシエーションを確立するための方法及び装置 | |
| BR112012031924B1 (pt) | Método e equipamento para vincular autenticação de assinante e autenticação de dispositivo em sistemas de comunicação | |
| US20110002465A1 (en) | Integrated handover authenticating method for next generation network (ngn) with wireless access technologies and mobile ip based mobility control | |
| BR112020002515A2 (pt) | método de acionamento de autenticação de rede e dispositivo relacionado | |
| CN110943835A (zh) | 一种发送无线局域网信息的配网加密方法及系统 | |
| JP6123035B1 (ja) | Twagとueとの間でのwlcpメッセージ交換の保護 | |
| US20220210635A1 (en) | Providing privacy for non-public networks | |
| BR102016027676B1 (pt) | Método para fornecer acesso a uma rede de telecomunicação de uma estação de usuário sem fio através de pontos de acesso sem fio de rede, ponto de acesso sem fio de rede e estação de usuário sem fio | |
| Nakhjiri | Use of EAP-AKA, IETF HOKEY and AAA mechanisms to provide access and handover security and 3G-802.16 m interworking | |
| KR20070040042A (ko) | 무선랜 자동 설정 방법 | |
| US20220159457A1 (en) | Providing ue capability information to an authentication server | |
| van Oorschot et al. | Wireless lan security: 802.11 and wi-fi | |
| Paltasingh | Commissioning In Ad-Hoc Wi-Fi MESH Networks | |
| CN105323760B (zh) | 一种无线接入点与终端的关联方法、无线接入点及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B03A | Publication of a patent application or of a certificate of addition of invention [chapter 3.1 patent gazette] | ||
| B06U | Preliminary requirement: requests with searches performed by other patent offices: procedure suspended [chapter 6.21 patent gazette] | ||
| B09A | Decision: intention to grant [chapter 9.1 patent gazette] | ||
| B16A | Patent or certificate of addition of invention granted [chapter 16.1 patent gazette] |
Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 25/11/2016, OBSERVADAS AS CONDICOES LEGAIS |