CN101578828B - 一种网络接入处理方法、装置和系统 - Google Patents
一种网络接入处理方法、装置和系统 Download PDFInfo
- Publication number
- CN101578828B CN101578828B CN200880001509.0A CN200880001509A CN101578828B CN 101578828 B CN101578828 B CN 101578828B CN 200880001509 A CN200880001509 A CN 200880001509A CN 101578828 B CN101578828 B CN 101578828B
- Authority
- CN
- China
- Prior art keywords
- aaa
- network
- pair
- edge device
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims abstract description 25
- 238000013475 authorization Methods 0.000 claims abstract description 20
- 238000004891 communication Methods 0.000 claims description 27
- 238000003780 insertion Methods 0.000 claims description 4
- 230000037431 insertion Effects 0.000 claims description 4
- 101100083745 Caenorhabditis elegans pmk-2 gene Proteins 0.000 claims 2
- 101100534109 Schizosaccharomyces pombe (strain 972 / ATCC 24843) spm1 gene Proteins 0.000 claims 2
- 101150028393 pmk-1 gene Proteins 0.000 claims 2
- 230000004044 response Effects 0.000 description 18
- 238000005516 engineering process Methods 0.000 description 15
- 238000007726 management method Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 5
- 230000015654 memory Effects 0.000 description 4
- 230000000712 assembly Effects 0.000 description 3
- 238000000429 assembly Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009499 grossing Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种包括节点的装置,该节点包括接入控制器(AC)以及认证、授权和计费(AAA)代理(AAA-P),其中,该AC用于对用户设备(UE)进行认证管理,并且其中,所述AAA-P用于与AAA服务器交换与所述UE有关的认证信息。包括一种网络组件,该网络组件包括至少一个处理器,所述至少一个处理器用于实现一种方法,该方法包括:与家庭网关(HG)建立第一隧道,其中,所述HG与UE进行无线通信;以及在所述UE与网络接入服务器(NAS)之间建立第二隧道。还包括一种网路组件,该网路组件包括至少一个处理器,所述至少一个处理器用于实现一种方法,该方法包括:从AAA中介(AAA-M)接收成对主会话密钥(PMK);以及使用所述PMK来认证UE。
Description
相关申请的交叉引用
本申请要求John Kaippallimalil于2007年8月24日提交的标题为“Roaming Wi-Fi Access in Fixed Network Architectures”的美国临时专利申请No.60/957,740和John Kaippallimalil于2008年8月15日提交的标题为“Roaming Wi-Fi Access in Fixed Network Architectures”的美国专利申请No.12/192,488的优先权,并以引用方式将它们全部并入本文。
背景技术
在诸如因特网协议(IP)网络等固定通信网络中,可以借助诸如Wi-Fi等无线技术向移动用户提供漫游或无线接入。许多用于向移动用户设备(UE)提供对IP网络的漫游接入的机制正在被研究。其中的一些机制可以经由家庭网关(HG)在UE与本地网络或家庭网络之间建立无线通信,家庭网关(HG)可以是住宅用户单元。同样地,UE最初建立与HG的“委托”,从而HG与IP网络进行通信并且在UE与IP网络之间转发通信。然而,当UE委托HG时,可以在HG或家庭网络截取UE与IP网络的通信。
此外,HG负责对通信进行控制,例如设置策略和服务质量(QoS),并且HG还负责对通信进行计费,例如对连接或时间使用进行计费。然而,在某些情况下,例如,当HG不属于IP网络服务提供商时,由HG负责对通信进行控制和计费可能对IP网络服务提供商而言是不期望的或无益的。
发明内容
在一个实施例中,公开了一种包括节点的装置,该节点包括接入控制器(AC)和认证、授权和计费(AAA)代理(AAA-P),其中,所述AC用于对UE进行认证管理,并且其中,所述AAA-P用于与AAA服务器交换与所述UE有关的认证信息,所述认证、授权和计费(AAA)服务器产生主会话密钥(MSK);
其中,所述主会话密钥(MSK)用于导出第一对主密钥(PMK1)和第二对主密钥(PMK2);所述第一对主密钥用于导出第一对临时密钥以在所述UE与HG之间建立安全无线链路信道;所述第二对主密钥用于导出第二对临时密钥以在所述UE与IP边缘设备之间建立IP隧道进行通信。
在另一个实施例中,公开了一种网络接入处理方法,包括,用户设备UE通过HG从认证、授权和计费(AAA)服务器获取主会话密钥(MSK);
根据所述主会话密钥(MSK)导出第一对主密钥(PMK1)和第二对主密钥(PMK2);
根据所述第一对主密钥导出第一对临时密钥,在所述UE与HG之间建立安全无线链路信道;
根据所述第二对主密钥导出第二对临时密钥,在所述UE与IP边缘设备之间建立IP隧道进行通信。
在另一个实施例中,公开了一种用户设备,所述UE通过HG从认证、授权和计费(AAA)服务器获取主会话密钥(MSK);根据所述主会话密钥(MSK)导出第一对主密钥(PMK1)和第二对主密钥(PMK2);所述第一对主密钥用于导出第一对临时密钥以在所述UE与HG之间建立安全无线链路信道;所述第二对主密钥用于导出第二对临时密钥以在所述UE与IP边缘设备之间建立IP隧道进行通信。
在另一个实施例中,公开了一种家庭网关HG,所述HG从认证、授权和计费(AAA)服务器获取主会话密钥(MSK)后,将所述MSK发送给用户设备UE;所述主会话密钥(MSK)用于导出第一对主密钥(PMK1)和第二对主密钥(PMK2);所述第一对主密钥用于导出第一对临时密钥以在所述UE与HG之间建立安全无线链路信道;所述第二对主密钥用于导出第二对临时密钥以在所述UE与IP边缘设备之间建立IP隧道进行通信。
通过下面给出的具体实施方式以及附图、权利要求书,可以更加清楚地理解本发明的这些和其它特征。
附图说明
为了更好地理解本申请,现在对附图和具体实施方式进行简要说明,在附图中,相同的附图标记表示相同的部件。
图1是固定网络漫游接入系统的实施例的示意图;
图2是固定网络漫游接入系统的另一个实施例的示意图;
图3是漫游接入方法的实施例的协议图;以及
图4是通用计算机系统的实施例的示意图。
具体实施方式
首先应该理解,虽然下文提供了一个或多个实施例的示例性实现方式,但是可以使用任意数量的当前已知技术或现有技术来实现所公开的系统和/或方法。本申请决不限于这些示例性实现方式、附图和下文所述的技术(包括本文举例说明并且描述的示例性设计和实现方式),而是可以在所附权利要求的范围内以及所附权利要求的等价要件的全部范围内对本申请进行修改。
本文公开的系统和方法用于UE漫游接入到诸如IP网络等固定网络。为了提供漫游接入,UE使用无线链路与位于家庭网络中的HG进行通信。HG耦合到包括IP边缘设备的接入提供商网络,IP边缘设备可以与IP网络进行通信。因此,HG可以经由IP边缘设备在UE与IP网络之间转发通信。具体地,HG可以使用无线链路以及与UE共享的第一共享密钥来与UE进行通信,并且HG可以使用第一隧道与IP边缘设备进行通信。此外,UE可以使用第二安全隧道和第二共享密钥来经由HG与IP边缘设备进行通信,而无需委托HG。因此,UE可以使用第二安全隧道来建立对IP网络的漫游接入,而无需将它的通信委托给HG。这种结构还允许IP边缘设备对第二安全隧道的通信进行控制和计费。
图1示出了固定网络漫游接入系统100的实施例。该固定网络漫游接入系统100可以包括至少一个UE 110、HG 120、接入节点(AN)130、IP边缘设备140、AAA-M 150、AAA服务器160和IP网络170。在一个实施例中,HG 120可以是家庭网络或家庭网络的一部分,家庭网络可以耦合到包括AN 130和IP边缘设备140的接入提供商网络。接着,接入提供商网络经由IP边缘设备140耦合到IP网络170。在一些实施例中,接入提供商网络也可以包括AAA-M 150。
在一个实施例中,UE 110可以是使用无线链路180与HG 120通信的任意用户移动设备、组件或装置。例如,UE 110可以是蜂窝电话、个人数字助理(PDA)、便携式计算机或任意其它无线设备。UE 110可以包括红外端口、蓝牙接口、符合IEEE 802.11的无线接口或使UE 110能够与HG 120进行无线通信的任意其它无线通信系统。在一个实施例中,无线链路180可以是IEEE 802.11链路或Wi-Fi链路。在其它实施例中,无线链路180可以是蓝牙链路、微波存取全球互通(WiMAX)链路、近距离通信(NFC)链路、红外数据协会(IrDa)链路或使用无线技术建立的任意其它通信链路。
在一个实施例中,HG 120是用于允许UE 110无线接入到与IP网络170耦合的家庭网络或接入提供商网络的任意设备、组件或网络。具体地,HG120可以包括耦合到路由器或住宅网关(RG)124的无线终端点(WTP)122。WTP 122可以是用于与UE 110建立无线链路以及在UE 110与诸如RG 124等另一组件之间转发通信的任意设备、组件或网络。在一个实施例中,WTP 122可以是经由无线链路180与UE 110进行通信并且经由诸如以太网链路等固定链路与RG 124进行通信的固定设备。WTP 122也可以用于在UE 110与AAA-M 150之间转发认证信息。对于在HG 120上管理UE 110接入到家庭网络而言,需要该认证信息。
RG 124可以是允许UE 110与所述接入提供商网络上的IP边缘设备140进行通信的任意设备、组件或网络。例如,RG 124可以是IP路由器,例如客户端设备(CPE)路由器或位于用户端并且与网络进行通信的任意路由器设备。例如,RG 124可以是DSL调制解调器、线缆调制解调器或机顶盒。在另一个实施例中,RG 124可以是将Ipv4和/或Ipv6分组转发到UE 110并且转发来自UE 110的Ipv4和/或Ipv6分组的节点。
RG 124可以经由WTP 122与RG 124之间的固定链路和WTP 122与UE 110之间的无线链路180与UE 110交换通信。此外,RG 124可以使用隧道190与IP边缘设备140交换通信,该隧道190是经由AN 130在HG 120与IP边缘设备140之间建立的。例如,隧道190可以是在WTP 122、RG 124、AN 130和IP边缘设备140之间建立的Wi-Fi漫游虚拟局域网(VLAN)。隧道190可以用于转发UE 110与IP边缘设备140之间的网络设置信息, 例如IP地址请求和分配。
在一个实施例中,AN 130可以是在HG 120与IP边缘设备140之间传输通信的任意设备。例如,AN 130可以是交换机、路由器或网桥,例如提供商边缘网桥(PEB)或提供商核心网桥(PCB)。AN 130可以位于接入提供商网络上并且AN 130可以经由诸如以太网链路等固定链路耦合到HG120和IP边缘设备140。此外,AN 130可以使用隧道190与HG 120和IP边缘设备140进行通信。
在一个实施例中,IP边缘设备140可以是在HG 120与IP网络170之间转发通信的任意设备。例如,IP边缘设备140是由宽带论坛或线缆调制解调器终端服务器(CMTS)所定义的宽带路由接入服务器(BRAS)。IP边缘设备140可以包括第一网络接入服务器(NAS)142和第二NAS 144。第一NAS 142和第二NAS 144可以包括网桥、交换机、路由器或它们的组合。在一些实施例中,可以将第一NAS 142和第二NAS 144组合成一个组件,例如网桥或路由器。例如,第一NAS 142、第二NAS 144或这两者可以是骨干边缘网桥(BEB)、PEB、PCB或用户网络接口(UNI)。可替换地,第一NAS 142、第二NAS 144或这两者可以是独立的有线节点(Point-oriented Wire-line Node),例如数字用户线(DSL)连接或提供商网络边缘设备。
第一NAS 142可以经由AN 130耦合到RG 124以及经由固定链路耦合到IP网络170。第一NAS 142可以使用固定链路在IP网络170与家庭网络或接入提供商网络之间转发通信。此外,第一NAS 142可以与AAA服务器160交换与家庭网络组件或接入提供商网络组件有关的认证信息。可以使用会话流182来交换认证信息,该会话流182是使用远程认证拨号用户服务(RADIUS)协议建立的。可以使用DIAMETER协议来代替本文所述的任意RADIUS协议实现方式。
第二NAS 144还经由固定链路耦合到IP网络170,并且第二NAS 144使用会话流184与AAA-M 150交换认证信息。类似于会话流182,会话流184也是使用RADIUS或DIAMETER建立的。此外,第二NAS 144可以使用安全隧道192与UE 110进行通信,而不必委托HG 120,可以在认证UE 110以及为UE 110分配IP地址之后建立该安全隧道192。例如,安全 隧道192可以是因特网协议安全(IPsec),该因特网协议安全(IPsec)使用因特网密钥交换(IKE)在UE 110与第二NAS 144之间建立安全会话流。
在一些实施例中,固定网络漫游接入系统100可以包括多个UE 110,所述多个UE 110使用对应于各个UE 110的多个安全隧道192与第二NAS144进行通信。在其它实施例中,IP边缘设备140可以包括多个第二NAS144,所述多个第二NAS 144使用多个安全隧道192一对一地与多个UE 110进行通信。
在一个实施例中,AAA-M 150可以是对UE 110接入到HG 120处的家庭网络和接入提供商网络进行管理并且对UE接入到IP边缘设备140处的IP网络170进行管理的任意设备、组件或服务器。AAA-M 150包括AC 152和AAA-P 154。AC 152可以对UE 110进行认证管理。例如,经由WTP 122,AC 152可以使用无线接入点的控制和配置(CAPWAP)协议来与UE 110交换认证信息。具体地,可以使用CAPWAP,经由无线链路180在UE 110与WTP 122之间以及经由会话流186在WTP 122与AC 152之间交换认证信息。
在其它实施例中,AC 152可以使用任意其它适合的管理协议来交换认证信息。例如,AC 152可以经由DSL链路耦合到WTP 122,并且AC 152可以使用宽带论坛技术报告069(TR-069)协议来管理转发的认证信息。可替换地,AC 152可以经由光链路耦合到WTP 122,并且AC 152可以使用光网络终端管理和控制接口(OMCI)协议或OMCI第二层连接协议(OMCI/L2CP)来管理UE 110的接入。
AAA-P 154是用于将UE 110的一些认证信息转发或者中继到AAA服务器160的AAA代理。例如,AAA-M 150可以使用RADIUS或DIAMETER来与AAA服务器160建立会话流188,以便交换认证信息。此外,AAA-P154可以用于使用会话流184在第二NAS 144与AAA-M 150之间转发认证信息。在一些实施例中,AAA-P 154可以用于管理认证信息流。例如,AAA-P 154可以负责在多个第二NAS 144与AAA服务器160之间复用和转发多个消息。在一些实施例中,AAA-P 154也可以用于实施一些与资源使用和供应有关的策略。
在一个实施例中,AAA服务器160可以是用于实现AAA协议的任意 设备、组件或服务器,AAA协议定义了用于协议认证、授权和计费的各种机制和策略。可以使用RADIUS或DIAMETER(会话流188和184)经由AAA-M 150在AAA服务器160与第二NAS 144之间转发一些与管理UE110接入到IP网络170有关的认证信息。此外,可以使用RADIUS(会话流188)和CAPWAP(会话流186)经由AAA-M 150在AAA服务器160与HG 120之间转发与管理UE 110接入到家庭网络或接入提供商网络有关的其它认证信息。
就认证而言,AAA服务器160可以对UE 110声明的标识进行验证。例如,通过将诸如网络地址等数字标识与客户信息数据库相比对,AAA服务器160可以建立认证。在其它实施例中,AAA服务器160可以将对应于UE 110的证书,例如密码、一次性令牌、数字证书或电话号码与客户信息数据库相比对。
就授权而言,AAA服务器160判断是否可以将特定权利(例如,访问某些资源)给予UE 110。例如,AAA服务器160可以基于UE 110的认证、UE 110请求的特权、当前系统状态或其组合来将具体类型的特权(包括“无特权”)给予UE 110。授权可以是基于限制的,例如,每天定时限制、物理位置限制或对UE 110多次登录的限制。给予特权可以包括:提供使用特定类型的服务,例如IP地址滤波、地址分配、路由分配、QoS服务、带宽控制、流量管理、到特定端点的隧道建立、以及加密。
就计费而言,AAA服务器160可以对UE 110使用的网络资源或者分配给UE 110的网络资源进行跟踪。该使用信息可以用于管理、规划、计费或其它目的。在一些实施例中,AAA服务器160可以跟踪实时计费信息,IP边缘设备140可以在利用或消费资源的同时转发该实时计费信息。在其它实施例中,IP边缘设备140可以批处理、存储这种计费信息,并且在稍后的时刻将这种计费信息传送到AAA服务器160。计费信息可以包括UE110的标识、传送的服务的种类、服务开始时间和服务结束时间。
在一个实施例中,IP网络170可以是与IP边缘设备140、HG 120和UE 110交换IP数据分组的任意类型的网络。例如,IP网络170可以是分组交换网络(PSN)、内联网、因特网或局域网(LAN)。IP网络170可以是以太网传输网络、骨干网络、接入网络、光网络、有线网络、电气电子 工程师协会(IEEE)802标准网络、无线网络或任意其它基于IP的网络。
图2示出了另一个固定网络漫游接入系统200的实施例。固定网络漫游接入系统200可以包括至少一个UE 210、HG 220、AN 230、IP边缘设备240、路由器边缘设备(R边缘设备)250、AAA服务器260和IP网络270。在一个实施例中,HG 220可以是家庭网络或家庭网络的一部分,家庭网络可以耦合到包括AN 230和IP边缘设备240的接入提供商网络。此外,可以将该接入提供商网络上的IP边缘设备240耦合到IP网络270。可以将UE 210、HG 220、AN 230、AAA服务器260和IP网络270配置为类似于固定网络漫游接入系统100的对应组件。此外,在图2中,可以将各种组件之间的会话流280、282、286和288配置为类似于固定网络漫游接入系统100的对应会话流。
此外,IP边缘设备240可以包括被配置为类似于第一NAS 142的单个NAS 242。同样地,可以将IP边缘设备240配置为类似于标准或接入提供商网络中的IP边缘设备。R边缘设备250可以包括被配置为类似于AC 152的AC 252、被配置为类似于AAA-P 154的AAA-P 254、以及被配置为类似于第二NAS 144的NAS 256。同样地,NAS 256与AC 252和AAA-P 254可以一起被放置在另一个提供商网络上,而不是与IP边缘设备240被放置在同一个提供商网络上。例如,将NAS 242放置在与包括IP边缘设备240的接入提供商网络进行通信的第二提供商网络上。
NAS 256可以使用隧道290与HG 220交换通信,该隧道290是经由AN 230在HG 220与R边缘设备250之间建立的。可以使用隧道290来转发UE 210与IP边缘设备140之间的网络设置信息,例如IP地址分配信息。在一个实施例中,隧道290可以是在WTP 222、RG 224、AN 230和NAS 256之间建立的Wi-Fi漫游虚拟局域网(VLAN)。此外,NAS 256可以使用安全隧道292与UE 210交换通信,而不必委托HG 220。在一个实施例中,安全隧道292可以是一个IPsec,IPsec使用IKE经由R边缘设备250在UE 210与IP网络270之间建立安全通信。
为了在固定或IP网络(例如,固定网络漫游接入系统100或200)中建立对移动UE的漫游接入,可以使用CAPWAP协议来将与UE有关的一些认证信息从HG转发到AAA-M。CAPWAP协议是在AAA-M与HG之间 的、独立于具体无线技术的互操作协议。可以设计CAPWAP协议的元素,以满足标准无线技术的具体要求。可以将CAPWAP协议实现为适用于特定的无线技术,其中该特定的无线技术遵从为该技术定义的绑定要求(bindingrequirement)。该绑定可以包括技术特有的消息的定义和技术特有的消息元素的定义。CAPWAP可以支持包括多个HG的局域网,所述多个HG经由基于IP的连接与AAA-M上的AC进行通信。例如,CAPWAP协议可以借助IEEE 802.11绑定来支持包括UE和HG的、基于IEEE 802.11无线LAN(WLAN)的网络。同样地,CAPWAP协议可以使AC能够在HG上对UE接入到网络进行管理。HG可以作为AC控制的接口,例如远程射频(RF)接口,用于将UE连接到IP网络,这需要一组动态的管理和控制功能。一般,在私人企业中使用CAPWAP协议,但是如本文所述,可以在公共领域中实施CAPWAP协议。
在一个实施例中,CAPWAP协议可以支持分离介质接入控制(MAC)操作模式,在该操作模式中,借助CAPWAP协议来封装所有第二层(L2)的无线数据和管理帧,并且在AC与HG之间交换所有第二层(L2)的无线数据和管理帧。在这种模式中,可以由HG直接封装从UE接收的无线帧并且将其转发到AC。可替换地,CAPWAP协议可以支持本地MAC操作模式,在该模式中,HG对L2的无线管理帧进行本地处理,然后将其转发到AC。因此,CAPWAP协议可以集中控制无线网络的认证和策略执行功能。CAPWAP协议可以使高级的协议处理从HG转移到AC,对于无线控制和接入的关键应用而言,这为HG留下了时间。此外,CAPWAP协议可以提供通用封装和传输机制,这使得能够借助具体的无线绑定将CAPWAP协议应用于各种接入点类型的技术。
根据CAPWAP协议,可以传输两种类型的数据或有效负载,包括CAPWAP数据消息和CAPWAP控制消息。CAPWAP数据消息可以封装转发的无线帧。CAPWAP控制消息可以是在HG与AC之间交换的管理消息。可以将CAPWAP数据和控制消息分成可使用单独端口发送的分组。可以使用例如IPsec或数据报传输层安全(DTLS)来加密或者保护传输的CAPWAP控制消息、CAPWAP数据消息或这两者。IPsec包括用于保护IP通信安全的一套协议,这套协议通过对数据流中的每个IP分组进行认证或对数据流 中的每个IP分组进行加密,或者同时对数据流中的每个IP分组进行认证和加密来保护IP通信的安全。IPsec还包括用于建立密钥的协议。例如,基于本地策略,IPsec可以使用IKE协议来处理协议和算法的协商以及生成加密密钥和认证密钥,并由此建立安全的IPsec通信会话。
此外,CAPWAP协议可以允许传输扩展认证协议(EAP)有效负载,以便建立安全的IPsec通信会话。EAP可以是在诸如WLAN和点对点连接等无线网络中使用的通用认证框架。EAP可以为期望的认证机制提供一些公共的功能和协商,又被称为EAP方法,该EAP方法是由IKE协议定义的。例如,当调用EAP时,EAP方法可以提供安全认证机制并且协商在一端的AC与另一端的HG和UE之间的安全PMK。然后,可以使用PMK来建立安全的IPsec通信会话。
CAPWAP协议可以从发现阶段开始,在该发现阶段中,HG经由WTP发送发现请求消息。AC接收该发现请求消息并且用发现响应消息来响应。HG接收该发现响应消息,并且作为响应,HG与AC建立安全的IPsec(或DTLS)通信会话。一旦HG与AC建立了安全的IPsec通信会话,则发生配置交换,在该配置交换中,两个组件对信息达成了一致。在该交换期间,HG可以接收配置设置并且因此能够进行操作。
此外,可以使用RADIUS协议在AAA-M、AAA服务器和IP边缘设备之间交换与UE有关的一些认证信息。RADIUS可以用于传输与UE有关的认证信息,例如用户名称和密码。因此,IP边缘设备可以创建“接入请求”,该“接入请求”包括多个属性,例如UE的用户名称、UE的用户密码、IP边缘设备的标识(ID)、UE正接入的端口ID或其组合。然后,可以经由例如AAA-M将接入请求转发到充当RADIUS服务器的AAA服务器。当在一个时间长度内没有返回响应时,可以多次发送请求。
RADIUS服务器接收该请求并且使用客户信息数据库来查找在请求中识别出的UE。数据库中的UE条目可以包括一个要求列表,必须满足这一要求列表才允许UE经由IP边缘设备接入IP网络。该要求可以包括:密码的验证、UE被允许接入的IP边缘设备或端口,或其它要求。如果没有满足要求或条件,则RADIUS服务器发送用于指示请求无效的接入拒绝响应。如果满足了要求或条件,则将UE的配置值列表放到接入接受响应中。这 些值包括服务类型,例如串行线路因特网协议(SLIP)、点对点协议(PPP)或登录用户、以及传送服务所需要的其它值。对于SLIP和PPP而言,这包括诸如IP地址/子网掩码、以太网MAC ID、最大传输单元(MTU)、期望的压缩、期望的分组滤波标识符、期望的协议和期望的主机之类的值。
图3示出了漫游接入方法300的实施例,该漫游接入方法300允许移动UE经由家庭网络上的HG以及接入提供商网络上的IP边缘设备(或R边缘设备)无线接入到IP网络。具体地,该方法300可以通过建立与HG的无线链路来使UE漫游接入到IP网络,而不必将它与IP网络的通信委托给HG。
在该方法300中,HG首先与IP边缘设备(或R边缘设备)交换认证数据,并由此与IP边缘设备建立IP会话302。同样地,HG可以与诸如Wi-Fi漫游VLAN等IP边缘设备建立隧道304。在一个实施例中,除了HG和IP边缘设备之外,隧道304还可以包括与HG和IP边缘设备进行通信的AN。
当移动UE在HG附近漫游时,UE和HG可以建立无线关联或链路306,该无线关联或链路306可以是802.11关联。具体地,UE可以与HG上的WTP建立无线关联306。在一个实施例中,在建立了无线关联306之后,可以不授权UE与HG进行通信。例如,可以封锁HG上的到UE的端口。HG可以使用无线关联306向UE请求认证信息。例如,HG可以使用无线关联306将EAP请求308转发到UE。接着,UE利用所请求的认证信息来响应HG。例如,UE可以使用无线关联306将EAP响应310转发到HG。
当HG接收了包括认证信息的EAP响应310时,HG将认证信息转发到AAA-M。例如,HG可以使用CAPWAP与AAA-M交换EAP参数312。EAP参数312可以包括UE的认证信息。接着,AAA-M将认证信息转发到AAA服务器。例如,AAA-M可以使用RADIUS来与AAA服务器交换EAP参数314,EAP参数314包括认证信息。
AAA服务器接收EAP参数314,并且AAA服务器使用EAP序列316对UE进行认证。作为EAP序列316的认证阶段的结果,可以使用例如基于密钥的认证推导来导出主会话密钥(MSK)。例如,在AAA服务器和UE中,在例如用户初始化期间,首先提供密钥。因此,在认证阶段期间,UE可以通过利用认证信息(EAP响应310)进行响应来向AAA服务器证实它知道或拥有该密钥。该认证信息包括额外的密钥资料,AAA服务器和UE两者都使用该密钥资料,以便利用特定的算法导出MSK。一旦认证成功,AAA服务器使用RADIUS将成功的认证应答318转发到AAA-M,该认证应答318包括授权信息或参数和MSK。AAA-M可以使用MSK导出第一对主密钥(PMK1)和第二对主密钥(PMK2)。
然后,AAA-M使用CAPWAP将成功的认证应答320转发到HG。除了PMK1以外,成功的认证应答320还包括来自AAA服务器的授权参数。接着,HG使用无线关联306将成功的认证应答322转发到UE。当UE在成功地完成EAP序列316之后而导出MSK时,UE使用MSK,例如通过执行算法324而导出与AAA-M上的PMK1和PMK2相同的PMK1和PMK2。这样,UE可以与HG共享PMK1。然后,UE和HG使用共享的PMK1和IEEE 802.11i协议来实现四次(4次)握手或交换,以便与HG建立安全的无线链路信道326,例如安全的802.11信道。在一个实施例中,UE和HG均可以使用PMK1来导出第一对临时密钥(PTK1),该第一对临时密钥可用于使用802.11i 4次交换来建立安全无线链路信道。
接着,UE将IP地址请求328,例如动态主机配置协议(DHCP)请求,转发到IP边缘设备以便获得用于接入IP网络的IP地址。可以经由HG和隧道304(Wi-Fi漫游VLAN隧道)将IP地址请求328转发到IP边缘设备。然后,为了获得对UE的授权,IP边缘设备使用RADIUS将授权请求330转发到AAA-M。在一个实施例中,IP边缘设备将经由隧道304接收的任意授权请求直接转发到AAA-M,而无需处理该授权请求。授权请求330包括UE连接识别信息,例如UE的介质接入控制(MAC)地址、线路ID、VLAN ID或其组合。
AAA-M可以使用连接识别信息来验证UE的标识,并且AAA-M可以授权UE的连接。在一个实施例中,AAA-M可以与AAA服务器进行通信以识别UE。因此,AAA-M使用RADIUS将授权应答332转发到IP边缘设备。除了PMK2以外,授权应答332还包括与UE有关的连接授权信息。这样,IP边缘设备与UE共享PMK2。然后,IP边缘设备与DHCP服务器交换DHCP请求和响应334,并且获得分配给UE的IP地址。此外,IP边缘设备可以将从AAA-M接收的授权与分配的IP地址绑定。接着,IP边缘设备将包括分配的IP地址的DHCP响应336转发到UE。
然后,IP边缘设备使用RADIUS将计费开始消息338转发到AAA-M。计费开始消息338用于以信号向AAA-M通知:通信会话将要在UE与IP网络之间开始。此外,IP边缘设备可以利用计费开始消息338将分配的IP地址转发给AAA-M。接着,AAA-M将计费开始消息340转发到AAA服务器,该计费开始消息340包括分配的IP。同样地,AAA服务器开始对UE的漫游接入连接使用进行计费。在一个实施例中,IP边缘设备可以使用RADIUS经由AAA-M从AAA服务器接收与UE有关的计费策略信息,或者IP边缘设备可以使用RADIUS从AAA-M接收与UE有关的计费策略信息。例如,IP边缘设备可以接收除了授权应答332中的连接授权信息之外的计费策略信息。同样地,IP边缘设备可以对UE的漫游接入连接使用进行监管,而AAA服务器独立地处理连接使用的计费。IP边缘设备可以使用分配的IP地址来识别以及监管UE连接使用,该分配的IP地址与计费策略信息绑定。类似地,AAA服务器可以使用分配的IP地址对UE连接使用进行识别和计费。
当UE接收了包括分配的IP的DHCP响应336时,UE和IP边缘设备可以使用IKE建立安全的IP隧道342,例如IPsec。在一个实施例中,UE和IP边缘设备均使用共享的PMK2来导出第二对临时密钥(PTK2),该第二对临时密钥用于建立安全的IP隧道342,而不必委托HG。
当漫游的UE离开HG的附近时,断开UE与HG之间的安全无线链路信道326。相应地,终止了对UE的漫游接入连接使用的计费以及监管。例如,HG将安全无线链路信道326的断开通知给IP边缘设备,然后IP边缘设备删除或者丢弃UE的授权和策略信息,包括PMK2和PTK2。此外,例如,IP边缘设备或者AAA-M将安全无线链路信道326的断开通知给AAA服务器,并且AAA服务器停止对连接使用的计费。在一个实施例中,停止在AAA服务器上对连接使用进行计费可以将CAPWAP序列触发到HG,例如,通过AAA-M,这促使HG删除PMK1和PTK1以及与UE有关的其它认证信息。
上述的网络组件可以用任意的通用网络组件来实现,例如具有能够处 理施加在其上的必要工作负荷的足够处理功率、存储器资源以及网络吞吐量的计算机或网络组件。图4示出了适用于实现本文所公开的组件的一个或多个实施例的典型通用网络组件400。网络组件400包括处理器402(可以将处理器402称为中央处理器单元或CPU),该处理器402与包括辅助存储器404、只读存储器(ROM)406、随机存取存储器(RAM)408的存储器设备进行通信,并且该处理器402还与输入/输出(I/O)设备410和网络连接设备412进行通信。可以将处理器402实现为一个或多个CUP芯片,或者将处理器402实现为一个或多个专用集成电路(ASIC)的一部分。
辅助存储器404一般由一个或多个磁盘驱动器或磁带机组成,并且辅助存储器404用于数据的非易失性存储,并且如果RAM 408不足以容纳全部工作数据,则将辅助存储器404用作溢出数据存储设备。当选择执行加载到RAM 408中的程序时,辅助存储器404可以用于存储这种程序。ROM406用于存储指令并且还可能存储在程序执行期间读取的数据。ROM 406是非易失性存储设备,与辅助存储器404的大存储容量相比,ROM 406一般具有小的存储容量。RAM 408用于存储易失性数据并且还可能存储指令。访问ROM 406和RAM 408一般比访问辅助存储器404快。
尽管本申请已经提供了几个实施例,但是应该理解:在不脱离本申请的精神或范围的前提下,可以以许多其它具体的形式来实现公开的系统和方法。应该将本发明的实例看作是示例性的而非限制性的,并且不限于本文所给出的细节。例如,可以将各种元件或组件组合或集成在另一个系统中,或者可以省略或者不实现某些特征。
此外,在不脱离本申请的范围的前提下,可以将各种实施例中描述并且示出的离散或独立的技术、系统、子系统和方法与其它系统、模块、技术或方法进行组合或集成。本文示出或论述的彼此耦合或直接耦合或通信的其它部件可以通过一些接口、设备或中间组件以电子方式、机械方式或其它方式间接地耦合或通信。本领域技术人员可以发现其它的示例性变化、替换和修改并且可以在不脱离本文公开的精神和范围的前提下对它们进行改变、替换和修改。
Claims (10)
1.一种用于网络接入处理的装置,包括:
节点,包括接入控制器AC以及认证、授权和计费AAA代理AAA-P
其中,所述AC用于对用户设备UE进行认证管理;并且
其中,所述AAA-P用于与AAA服务器交换与所述用户设备UE有关的认证信息;
所述认证、授权和计费AAA服务器产生主会话密钥MSK;
其中,所述主会话密钥MSK用于导出第一对主密钥PMK1和第二对主密钥PMK2;所述第一对主密钥用于导出第一对临时密钥以在所述用户设备UE与家庭网关HG之间建立安全无线链路信道;所述第二对主密钥用于导出第二对临时密钥以在所述用户设备UE与IP边缘设备之间建立IP隧道进行通信。
2.如权利要求1所述的装置,进一步包括与所述节点进行通信的因特网协议IP边缘设备、以及与所述IP边缘设备进行通信的接入节点AN。
3.如权利要求2所述的装置,所述IP边缘设备进行与所述AAA服务器和所述IP网络的通信,所述节点与所述AAA服务器进行通信。
4.如权利要求2所述的装置,所述节点和所述AN进行与家庭网关HG的通信,所述家庭网关HG与所述用户设备UE进行无线通信。
5.如权利要求1所述的装置,所述节点是AAA中介AAA-M并且与包括第一网络接入服务器NAS和第二NAS的因特网协议IP边缘设备进行通信。
6.一种用于网络接入处理的方法,包括:
用户设备UE通过家庭网关HG从认证、授权和计费AAA服务器获取主会话密钥MSK;
根据所述主会话密钥MSK导出第一对主密钥PMK1和第二对主密钥PMK2;
根据所述第一对主密钥导出第一对临时密钥,在所述用户设备UE与家庭网关HG之间建立安全无线链路信道;
根据所述第二对主密钥导出第二对临时密钥,在所述用户设备UE与IP边缘设备之间建立IP隧道进行通信。
7.如权利要求6所述的方法,所述安全无线链路信道是Wi-Fi漫游虚拟局域网VLAN,所述IP隧道是因特网协议安全IPsec隧道。
8.如权利要求6所述的方法,所述方法进一步包括:
与因特网协议IP网络建立通信;以及
控制所述用户设备UE与所述IP网络之间的会话。
9.如权利要求8所述的方法,所述方法进一步包括对所述会话进行计费。
10.如权利要求6所述的方法,获取所述第一对主密钥和第二对主密钥包括:接收携带在远程认证拨号用户服务RADIUS或直径DIAMETER会话中的所述第一对主密钥和第二对主密钥。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US95774007P | 2007-08-24 | 2007-08-24 | |
| US60/957,740 | 2007-08-24 | ||
| US12/192,488 | 2008-08-15 | ||
| US12/192,488 US8335490B2 (en) | 2007-08-24 | 2008-08-15 | Roaming Wi-Fi access in fixed network architectures |
| PCT/CN2008/072126 WO2009026848A1 (en) | 2007-08-24 | 2008-08-25 | Roaming wi-fi access in fixed network architectures |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101578828A CN101578828A (zh) | 2009-11-11 |
| CN101578828B true CN101578828B (zh) | 2013-03-27 |
Family
ID=40382648
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200880001509.0A Expired - Fee Related CN101578828B (zh) | 2007-08-24 | 2008-08-25 | 一种网络接入处理方法、装置和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8335490B2 (zh) |
| CN (1) | CN101578828B (zh) |
| WO (1) | WO2009026848A1 (zh) |
Families Citing this family (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007081727A2 (en) * | 2006-01-04 | 2007-07-19 | Starent Networks Corporation | Selecting application session services to process packet data streams based on profile information |
| US8929360B2 (en) | 2006-12-07 | 2015-01-06 | Cisco Technology, Inc. | Systems, methods, media, and means for hiding network topology |
| US7855982B2 (en) * | 2007-11-19 | 2010-12-21 | Rajesh Ramankutty | Providing services to packet flows in a network |
| US8949434B2 (en) * | 2007-12-17 | 2015-02-03 | Microsoft Corporation | Automatically provisioning a WWAN device |
| US8045570B2 (en) * | 2008-09-30 | 2011-10-25 | Nortel Networks Limited | Extended private LAN |
| CN102217243B (zh) | 2008-11-17 | 2015-05-20 | 高通股份有限公司 | 远程接入本地网络的方法和装置 |
| EP2448184A1 (en) * | 2008-11-17 | 2012-05-02 | Qualcomm Incorporated | Remote access to local network via security gateway |
| CN101577904B (zh) | 2009-02-27 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 以分离mac模式实现会聚式wapi网络架构的方法 |
| CN101577978B (zh) | 2009-02-27 | 2011-02-16 | 西安西电捷通无线网络通信股份有限公司 | 一种以本地mac模式实现会聚式wapi网络架构的方法 |
| CN101577905B (zh) * | 2009-02-27 | 2011-06-01 | 西安西电捷通无线网络通信股份有限公司 | 一种以分离mac模式实现会聚式wapi网络架构的方法 |
| AU2010256311B2 (en) * | 2009-06-04 | 2014-07-10 | Blackberry Limited | Methods and apparatus for use in facilitating the communication of neighboring network information to a mobile terminal with use of a radius compatible protocol |
| CN101771612B (zh) * | 2010-01-13 | 2012-07-04 | 华为技术有限公司 | 隧道建立方法、设备及网络系统 |
| CN102143491B (zh) * | 2010-01-29 | 2013-10-09 | 华为技术有限公司 | 对mtc设备的认证方法、mtc网关及相关设备 |
| CN101778425A (zh) * | 2010-03-10 | 2010-07-14 | 北京傲天动联技术有限公司 | 无线局域网中的宽带接入服务器负载动态均衡方法 |
| CN102215474B (zh) | 2010-04-12 | 2014-11-05 | 华为技术有限公司 | 对通信设备进行认证的方法和装置 |
| US8638717B2 (en) | 2010-08-20 | 2014-01-28 | Time Warner Cable Enterprises Llc | System and method for maintaining a communication session |
| US8553662B2 (en) * | 2010-08-20 | 2013-10-08 | Time Warner Cable Inc. | System and method for Wi-Fi roaming |
| CN102404416B (zh) * | 2010-09-16 | 2016-06-15 | 中兴通讯股份有限公司 | 一种获取dns的方法和隧道网关设备 |
| CN102404720B (zh) * | 2010-09-19 | 2014-10-08 | 华为技术有限公司 | 无线局域网中密钥的发送方法及装置 |
| US9641525B2 (en) * | 2011-01-14 | 2017-05-02 | Nokia Solutions And Networks Oy | External authentication support over an untrusted network |
| CN102695236B (zh) * | 2011-03-22 | 2016-06-29 | 中兴通讯股份有限公司 | 一种数据路由方法及系统 |
| US8555364B2 (en) | 2011-09-30 | 2013-10-08 | Time Warner Cable Enterprises Llc | System and method for cloning a wi-fi access point |
| EP2781071A1 (en) * | 2011-11-14 | 2014-09-24 | Fon Wireless Limited | Secure tunneling platform system and method |
| CN102572830B (zh) * | 2012-01-19 | 2015-07-08 | 华为技术有限公司 | 终端接入认证的方法及用户端设备 |
| CN103428697B (zh) * | 2012-05-22 | 2016-12-07 | 华为技术有限公司 | 基于capwap协议的网络接入方法、装置和系统 |
| US8811363B2 (en) | 2012-09-11 | 2014-08-19 | Wavemax Corp. | Next generation network services for 3G/4G mobile data offload in a network of shared protected/locked Wi-Fi access points |
| US9231820B2 (en) * | 2012-09-28 | 2016-01-05 | Juniper Networks, Inc. | Methods and apparatus for controlling wireless access points |
| CN103974230B (zh) * | 2013-02-05 | 2019-12-06 | 中兴通讯股份有限公司 | 一种位置信息的获取方法及相应装置 |
| US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
| US20160065575A1 (en) * | 2013-04-28 | 2016-03-03 | Zte Corporation | Communication Managing Method and Communication System |
| US20140334336A1 (en) * | 2013-05-10 | 2014-11-13 | Relay2, Inc. | Multi-Tenant Virtual Access Point- Network Resources Virtualization |
| CN107196834B (zh) * | 2013-07-12 | 2021-08-13 | 华为技术有限公司 | 报文处理方法及设备 |
| CN104869564A (zh) * | 2014-02-21 | 2015-08-26 | 中国电信股份有限公司 | 一种以bras作为peap认证点的实现方法和系统 |
| ES2703555T3 (es) * | 2014-05-05 | 2019-03-11 | Ericsson Telefon Ab L M | Protección de intercambio de mensajes WLCP entre TWAG y UE |
| US10505891B2 (en) | 2015-04-02 | 2019-12-10 | Nicira, Inc. | Security policy selection for machines with dynamic addresses |
| US10205507B2 (en) * | 2015-08-28 | 2019-02-12 | Tejas Networks, Ltd. | Relay architecture, relay node, and relay method thereof |
| US9979730B2 (en) * | 2015-10-30 | 2018-05-22 | Futurewei Technologies, Inc. | System and method for secure provisioning of out-of-network user equipment |
| US10623951B2 (en) * | 2016-03-09 | 2020-04-14 | Qualcomm Incorporated | WWAN-WLAN aggregation security |
| CN107733764B (zh) * | 2016-08-11 | 2020-10-09 | 中国电信股份有限公司 | 虚拟可扩展局域网隧道的建立方法、系统以及相关设备 |
| CN106412902A (zh) * | 2016-11-16 | 2017-02-15 | 深圳前海壹互联科技投资有限公司 | 一种支持高速代理认证的wifi认证系统及方法 |
| CN108055201A (zh) * | 2017-10-25 | 2018-05-18 | 合肥润东通信科技股份有限公司 | 一种基于有线无线融合技术的智能网关系统 |
| US10694560B2 (en) * | 2018-09-09 | 2020-06-23 | Cisco Technology, Inc. | Integrating private LTE radio service with WiFi access architectures |
| CN109474577A (zh) * | 2018-10-17 | 2019-03-15 | 太原市高远时代科技有限公司 | 一种具有安全准入功能的物联网边缘运维设备 |
| US11696137B2 (en) | 2020-07-31 | 2023-07-04 | T-Mobile Usa, Inc. | Detecting malicious small cells based on a connectivity schedule |
| US11202255B1 (en) | 2020-07-31 | 2021-12-14 | T-Mobile Usa, Inc. | Cached entity profiles at network access nodes to re-authenticate network entities |
| CN112383456B (zh) * | 2020-11-16 | 2022-09-02 | 中国联合网络通信集团有限公司 | 智能设备自动关联方法及自动关联服务器 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1365621A1 (en) * | 2002-05-24 | 2003-11-26 | TeliaSonera Finland Oyj | Authentication method and arrangement |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6728536B1 (en) * | 2000-05-02 | 2004-04-27 | Telefonaktiebolaget Lm Ericsson | Method and system for combined transmission of access specific access independent and application specific information over public IP networks between visiting and home networks |
| CN1653459B (zh) * | 2001-06-12 | 2010-12-15 | 捷讯研究有限公司 | 处理与移动数据通信设备交换的编码消息的系统和方法 |
| US7263357B2 (en) * | 2003-01-14 | 2007-08-28 | Samsung Electronics Co., Ltd. | Method for fast roaming in a wireless network |
| EP1469633A1 (en) * | 2003-04-18 | 2004-10-20 | Alcatel | Method, devices, and computer program for negotiating QoS and cost of a network connection during setup |
| GB0324878D0 (en) * | 2003-10-24 | 2003-11-26 | Nokia Corp | Communication system |
| US7738871B2 (en) * | 2004-11-05 | 2010-06-15 | Interdigital Technology Corporation | Wireless communication method and system for implementing media independent handover between technologically diversified access networks |
| KR100770928B1 (ko) * | 2005-07-02 | 2007-10-26 | 삼성전자주식회사 | 통신 시스템에서 인증 시스템 및 방법 |
| KR20070051233A (ko) * | 2005-11-14 | 2007-05-17 | 삼성전자주식회사 | 이중 확장 가능 인증 프로토콜 방식을 사용하는 광대역무선 접속 통신 시스템에서 재인증 시스템 및 방법 |
| US8274985B2 (en) * | 2005-12-30 | 2012-09-25 | United States Cellular Corporation | Control of cellular data access |
| ITTO20060149A1 (it) * | 2006-03-01 | 2007-09-02 | Cisco Tech Inc | Tecnica per l'instradamento ottimizzato di flussi di dati su una dorsale ip in una rete di computer. |
-
2008
- 2008-08-15 US US12/192,488 patent/US8335490B2/en active Active
- 2008-08-25 CN CN200880001509.0A patent/CN101578828B/zh not_active Expired - Fee Related
- 2008-08-25 WO PCT/CN2008/072126 patent/WO2009026848A1/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1365621A1 (en) * | 2002-05-24 | 2003-11-26 | TeliaSonera Finland Oyj | Authentication method and arrangement |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009026848A1 (en) | 2009-03-05 |
| CN101578828A (zh) | 2009-11-11 |
| US20090054037A1 (en) | 2009-02-26 |
| US8335490B2 (en) | 2012-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101578828B (zh) | 一种网络接入处理方法、装置和系统 | |
| CN101682569B (zh) | 用于在固定网络架构中漫游Wi-Fi接入的PANA | |
| US20230070104A1 (en) | Secure connections establishment | |
| US9112909B2 (en) | User and device authentication in broadband networks | |
| JP5042834B2 (ja) | 無線携帯インターネットシステムでeapを利用する保安関係交渉方法 | |
| US7685295B2 (en) | Wireless local area communication network system and method | |
| US7945777B2 (en) | Identification information protection method in WLAN inter-working | |
| CN1910877B (zh) | 移动无线终端装置、虚拟专用网中继装置、无线局域网接入点、连接认证服务器、本地代理 | |
| KR101002799B1 (ko) | 이동통신 네트워크 및 상기 이동통신 네트워크에서 이동 노드의 인증을 수행하는 방법 및 장치 | |
| CN103597779A (zh) | 用于为用户实体提供网络接入的方法及装置 | |
| JP4687788B2 (ja) | 無線アクセスシステムおよび無線アクセス方法 | |
| US20090150665A1 (en) | Interworking 802.1 AF Devices with 802.1X Authenticator | |
| KR20090061663A (ko) | 어드레스 관리방법, 어드레스 관리시스템, 이동 단말 및 홈 도메인 서버 | |
| WO2006024969A1 (en) | Wireless local area network authentication method | |
| WO2014101449A1 (zh) | 一种无线局域网中接入节点的控制方法及通信系统 | |
| KR100707805B1 (ko) | 사용자 및 인증자별로 제어할 수 있는 인증 시스템 | |
| JP2008160709A (ja) | 計算機システム | |
| CN103685201A (zh) | 一种wlan用户固网接入的方法和系统 | |
| TWI428031B (zh) | 區域網協存取網路元件與終端設備的認證方法與裝置 | |
| CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| WO2010124569A1 (zh) | 用户接入控制方法和系统 | |
| JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
| CN1503518A (zh) | 基于802.1x协议的网络接入设备管理方法 | |
| WO2013067911A1 (zh) | 一种接入认证方法、系统及设备 | |
| CN100486244C (zh) | 一种桥接设备转发802.1x认证报文的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130327 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |