CN102215487A - 通过公共无线网络安全地接入专用网络的方法和系统 - Google Patents
通过公共无线网络安全地接入专用网络的方法和系统 Download PDFInfo
- Publication number
- CN102215487A CN102215487A CN2011100786631A CN201110078663A CN102215487A CN 102215487 A CN102215487 A CN 102215487A CN 2011100786631 A CN2011100786631 A CN 2011100786631A CN 201110078663 A CN201110078663 A CN 201110078663A CN 102215487 A CN102215487 A CN 102215487A
- Authority
- CN
- China
- Prior art keywords
- network
- client devices
- authentication
- gateway
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000004044 response Effects 0.000 claims description 18
- 230000008859 change Effects 0.000 claims description 5
- 230000008878 coupling Effects 0.000 claims 3
- 238000010168 coupling process Methods 0.000 claims 3
- 238000005859 coupling reaction Methods 0.000 claims 3
- 238000004590 computer program Methods 0.000 abstract description 12
- 230000008569 process Effects 0.000 description 21
- 238000013475 authorization Methods 0.000 description 14
- 230000005540 biological transmission Effects 0.000 description 12
- 230000006870 function Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 6
- 238000005538 encapsulation Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- TVZRAEYQIKYCPH-UHFFFAOYSA-N 3-(trimethylsilyl)propane-1-sulfonic acid Chemical compound C[Si](C)(C)CCCS(O)(=O)=O TVZRAEYQIKYCPH-UHFFFAOYSA-N 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000005611 electricity Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/14—Multichannel or multilink protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/12—Setup of transport tunnels
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种通过公共无线网络安全地接入专用网络的方法和系统。所述系统在所述客户机设备和所述公共无线网络的网关之间建立第一隧道,然后使用所述第一隧道通过所述专用网络的认证服务器对所述客户机设备进行认证。由所述公共网络的认证服务器代理所述认证。一旦认证成功,就在所述客户机设备和所述专用网络的网关之间建立第二隧道,以便由所述客户机设备安全地接入所述专用网络。
Description
技术领域
本发明一般地涉及计算机网络,更具体地说,涉及一种通过公共或第三方无线网络安全地接入企业专用网络的方法和系统。
背景技术
通信网络可以是专用网络或公共网络。在专用网络中,多个计算机之间的通信在安全环境中进行,此环境可以阻止网络外部在未经适当认证的情况下接入网络。这些网络被认为是“受信”网络,因为通信信号可以在专用网络中从一个计算机安全地传输到另一个计算机而不会暴露给外部环境。
另一方面,诸如因特网之类的公共网络并不安全,因为这些网络上的通信不是秘密的并且容易被其他计算机截获。此外,公共网络无法保证发送的数据分组传递成功。公共网络允许分组任意地进入和离开网络,并在传输分组时对其进行分析。为了使在公共网络上发送的数据是私密的,当两个计算机使用公共网络相互通信时,通常在公共网络之上建立虚拟专用网络(VPN)。在虚拟专用网络中,从一个计算机发送到另一个计算机的数据由安全网关进行加密并以加密的形式通过公共网络传输到与接收计算机相连的第二安全网关。所述第二网关在将数据转发到接收计算机之前对数据进行解密。这种在另一网络上建立的专用通道称为网络隧道。
为了建立虚拟专用网络,用户首先建立到VPN服务器的路径并经历AAA过程(认证、授权和计费)以便进行认证和授权以创建到服务器的安全隧道。一旦用户被授权,便可使用诸如IPsec之类的VPN协议在公共网络上建立用户和VPN服务器之间的安全网络隧道。此过程要求VPN客户机在用户侧,VPN服务器和其他VPN硬件在隧道的另一侧,以及需要适当的用户配置。
如今的专用网络通常包括诸如WiMAX之类的无线网络以提供移动接入。此外,为了在较大的地理区域内提供移动接入,除了自有的无线网络外,私有企业还经常依赖于第三方无线基础设施。在这种情况下,用户的设备需要同时经过第三方网关和企业认证服务器的认证才能接入企业网络。第三方网关一般将请求用户证书并将这些证书安全地返回第三方网关。一旦用户被认证和授权,用户便可与第三方无线网关进行通信。
但是,用户仍需要用户设备和企业VPN服务器之间的安全连接,以便通过公共网络接入企业的专用网络。因此,在包括第三方无线运营商网络的环境中,用户必须同时经过公共网关和企业认证服务器的认证和授权才能接入企业专用网络。
因此,仍需要一种改进的系统和方法以便在没有上述缺点的情况下通过公共或第三方无线网络与专用网络安全地通信。
发明内容
本发明涉及一种用于通过公共或第三方运营商无线网络安全地接入企业专用网络的计算机网络系统、方法和计算机程序产品。所述网络系统包括公共网关,所述公共网关用于在客户机设备经过所述公共网络的认证服务器的认证时建立所述客户机设备和所述网关之间的第一网络隧道。此认证服务器然后充当使用所述第一隧道向所述专用网络的认证服务器认证所述客户机设备的代理。一旦向所述专用网络的认证服务器成功认证所述客户机,便在所述客户机设备和所述专用网络之间建立第二网络隧道以允许安全的客户机接入。
在本发明的示例性实施例中,使用诸如可扩展认证协议-传输层安全(EAP-TLS)之类的质询-响应认证协议建立所述网络隧道。所述认证包括在客户机和服务器之间交换客户机用户的安全证书和公共-私有加密密钥对。所述公共网关加密与通过专用认证服务器认证所述客户机设备关联的数据分组并将其不加改变地转发到所述专用认证服务器。本发明的示例性实施例中的公共无线网络是WiMAX无线网络。
在本发明的另一个实施例中,描述了一种用于使客户机设备通过公共无线网络安全地接入专用网络的方法。所述方法包括:建立到与所述专用网络耦合的所述公共无线网络的网关的第一隧道;使用所述第一隧道通过所述专用网络的认证服务器对所述客户机设备进行认证,其中所述认证服务器与所述专用网络的网关相连;一旦认证成功,便在所述客户机和所述专用网关之间建立第二隧道以允许安全地接入所述专用网络。
在本发明的又一实施例中,描述了一种用于使客户机设备通过公共无线网络安全地接入专用网络的计算机程序产品。所述产品包括计算机可用存储介质,所述存储介质中具有可读程序代码。所述程序代码建立到与所述专用网络耦合的所述公共无线网络的网关的第一隧道,使用所述第一隧道通过所述专用网络的认证服务器对所述客户机设备进行认证,以及在所述客户机设备和所述专用网络的网关之间建立第二隧道以允许所述客户机安全地接入所述专用网络。
下面在具体实施方式部分中参考附图描述了本发明优选实施例的结构和操作的细节,在所述附图中,相同的标号表示相同的部件。发明内容旨在确定所要求保护的主题的关键特征,但是并非旨在用于限制所要求保护的主题的范围。
附图说明
图1是示出在两个网络之间通过因特网建立的典型安全网络隧道的方块图;
图2是示出通过安全网络隧道传输的封装后的数据分组的一个实例的方块图;
图3是示出允许客户机设备使用VPN服务器和安全防火墙通过公共无线网络接入专用网络的网络配置的方块图;
图4是示出根据本发明的各方面的允许客户机设备通过公共无线网络接入专用网络的示例性网络布置的方块图,其中由公共认证服务器代理客户机认证;
图5示出根据本发明的示例性实施例的在客户机设备、无线公共网络的网关和认证服务器、以及专用网络的网关和认证服务器之间的交互,以便提供到专用网络的安全客户机接入;
图6是根据本发明的各方面的对客户机设备进行认证以及通过公共无线网络建立到专用网络的安全网络隧道的示例性过程的流程图;
图7是根据本发明的各方面的由公共无线网络的网关和认证服务器对客户机设备进行认证以建立第一安全网络隧道的示例性过程的流程图;
图8是根据本发明的各方面的由专用网络的网关和认证服务器对客户机设备进行认证以建立第二安全网络隧道的示例性过程的流程图。
具体实施方式
如本领域的技术人员将理解的,本发明的各方面可以体现为方法、系统或计算机程序产品。相应地,本发明的各方面可以采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)或组合了在此全部统称为“电路”、“模块”或“系统”的硬件和软件方面的实施例的形式。此外,本发明的各方面可以采取体现在一个或多个计算机可读介质(其中包含计算机可读程序代码)中的计算机程序产品的形式。
可以使用一个或多个计算机可读介质的任意组合。所述计算机可读介质可以是计算机可读信号介质或计算机可读存储介质。计算机可读存储介质可以例如是(但不限于)电、磁、光、电磁、红外线或半导体系统、装置或设备,或是它们的任何适当组合。计算机可读存储介质的更具体的实例(非穷举列表)将包括以下项:具有一条或多条线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦写可编程只读存储器(EPROM或闪存)、光纤、便携式光盘-只读存储器(CD-ROM)、光存储设备、磁存储设备或它们的任何适当组合。在本文的上下文中,计算机可读存储介质可以是任何能够包含或存储由指令执行系统、装置或设备使用或与所述指令执行系统、装置或设备结合的程序的有形介质。
计算机可读信号介质可以包括例如在基带中或作为载波的一部分传播的带有计算机可读程序代码的数据信号。这样一种传播信号可以采取任何适当的形式,包括(但不限于)电磁、光或其任何适当的组合。计算机可读信号介质可以是不同于计算机可读存储介质的、可以传送、传播或传输供指令执行系统、装置或设备使用的或与指令执行系统、装置或设备相联系的程序的任何一种计算机可读介质。
包含在计算机可读介质中的程序代码可以采用任何适当的介质传输,包括(但不限于)无线、有线、光缆、射频等、或它们的任何适当组合。
用于执行本发明的各方面的操作的计算机程序代码可以以一种或多种程序设计语言的任何组合来编写,所述程序设计语言包括面向对象的程序设计语言,如Java、Smalltalk、C++之类,还包括常规的过程式程序设计语言,如”C”程序设计语言或类似的程序设计语言。程序代码可以完全地在用户的计算上执行、部分地在用户的计算机上执行、作为一个独立的软件包执行、部分在用户的计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在后一种情形中,远程计算机可以通过任何种类的网络-包括局域网(LAN)或广域网(WAN)-连接到用户的计算机,或者,可以(例如利用因特网服务提供商来通过因特网)连接到外部计算机。
下面参考根据本发明的实施例的方法、装置(系统)和计算机程序产品的流程图和/或方块图对本发明的各方面进行了描述。将理解,所述流程图和/或方块图的每个方块以及所述流程图和/或方块图中的方块的组合可以由计算机程序指令实现。这些计算机程序指令可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,以便通过所述计算机或其他可编程数据处理装置的处理器执行的指令产生用于实现一个或多个流程图和/或方块图方块中指定的功能/操作的装置。
这些计算机程序指令也可以被存储在可引导计算机或其他可编程数据处理装置或其他设备以特定方式工作的计算机可读介质中,以便存储在所述计算机可读介质中的指令产生一件包括实现在所述一个或多个流程图和/或方块图方块中指定的功能/操作的指令的制品。
所述计算机程序指令还可被加载到计算机、其他可编程数据处理装置或其他设备上,以导致在所述计算机、其他可编程装置或其他设备上执行一系列操作步骤以产生计算机实现的过程,从而在所述计算机或其他可编程装置上执行的指令提供用于实现在一个或多个流程图和/或方块图方块中指定的功能/操作的过程。
下面描述的附图中的流程图和方块图示出了根据本发明的各实施例的系统、方法和计算机程序产品的可能实施方式的架构、功能和操作。在此方面,所述流程图或方块图中的每个方块都可以表示模块、段或代码部分,它们包括用于实现指定的逻辑功能(多个)的一个或多个可执行指令。还应指出,在某些备选实施方式中,在方块中说明的功能可以不按图中说明的顺序发生。例如,示为连续的两个方块可以实际上基本同时地执行,或者某些时候,取决于所涉及的功能,可以以相反的顺序执行所述方块。还将指出,所述方块图和/或流程图的每个方块以及所述方块图和/或流程图中的方块的组合可以由执行指定功能或操作的基于专用硬件的系统或专用硬件和计算机指令的组合来实现。
本发明涉及对企业专用网络的安全和远程客户机接入,其中由公共或第三方无线网络代理专用网络的客户机认证。更具体地说,由公共认证服务器通过在所述公共或第三方无线网络上建立的安全网络隧道执行专用网络的客户机认证。尽管本发明的示例性实施例并不限于公共或第三无线网络,但是它们利用许多无线网络(具体而言,为WiMAX网络)中使用的架构对客户机进行认证。认证、授权和计费(AAA)过程以及到企业专用网关的安全隧道的管理都由公共网络中的公共认证服务器和网关代理。
在不需要VPN服务器、VPN客户机或VPN硬件的情况下完成安全远程无线接入。这节省了企业的设备和支持费用并为用户提供了无缝连通性。企业无线网络与公共网络之间的漫游自动发生而无需任何用户介入(例如启动VPN客户机)。除了减少基础设施之外,企业还节省了维护和管理VPN服务器的相关费用。
现在参考图1,其中示出了在公共因特网114上建立的典型虚拟专用网络100。虚拟专用网络100包括受信网络110和119之间的安全网络隧道115。受信网络110包括多个通过网络112相互连接的计算机111。受信网络119包括多个通过网络118相互连接的计算机117。网络112和118通常是诸如以太网网络之类的局域网(LAN)并分别通过安全网关113和116与公共因特网相连。
两个网络110和119之间的网络隧道115建立在基础因特网114之上。隧道115上传输的数据对于因特网114而言是不可见的并且经过封装与因特网114的业务隔离。隧道115内的业务对于因特网114而言似乎只是要经过的另一业务流。此外,两个网络110和119之间承载有效负载的数据分组与附加分组标识和安全信息一起封装在因特网协议的分组内。
图2示出了在诸如隧道115之类的基于IPsec的VPN通道上发送的数据分组的一个实例。数据分组210可源自主机111或117并去往网络中的其他计算机。数据分组210包括IP标头211和数据字段212。IP标头211一般包含数据类型、分组号、传输的分组总数以及发送方和接收方的IP地址。为了使IP标头211和数据字段212的内容对发送方和接收方而言是保密的,当在因特网上发送时,这些字段包括在更大的数据分组213内。
数据分组213包括新的IP标头214和封装安全有效负载(ESP)标头215。新的IP标头214和ESP标头215被称为外部IP标头(216)。原始IP标头217和数据字段218被称为数据分组213的内部IP标头(219)。为了额外的安全保护,内部IP标头219和原始数据字段212一般在传输之前被发送节点进行加密,然后被接收节点进行解密。
图3示出了用于允许移动用户和客户机设备使用VPN服务器通过运营商无线网络和因特网接入专用网络的网络配置的一个实例。诸如运营商网络314之类的无线网络通过空中传输数据。所传输的数据可以由处于射频(RF)信号范围内的任何人接收。客户机设备310可以是带有集成802.1x无线电设备并支持数据加密和客户机认证的便携计算机或通信设备。客户机设备310通过无线电天线311与运营商或公共无线网络314的网关312通信。运营商或公共无线网络314可以为WiMAX无线网络。当客户机设备310首次连接到网关312时,通常需要公共网络314的认证(AAA)服务器313对客户机设备310进行认证和授权。
为了防止未经授权的用户访问通过公共或运营商网络314传输的数据,多数无线技术(包括WiMAX)都对用户进行认证并采用安全隧道在最终用户设备与专用网络之间交换数据。隧道的终点为无线网络的接入点或与所有接入点通信的诸如网关312之类的通用网关。WiMAX和其他无线网络一般使用诸如可扩展认证协议(EAP)之类的质询-响应协议认证用户。无线网关312请求最终用户证书并将这些证书安全地返回到无线网关312,无线网关312检验用户是否有权使用公共无线网络314。一种认证用户的方法是将客户机证书转发给认证服务器313,例如,RADIUS服务器或DIAMETER服务器。一旦用户经过认证并获得授权,便建立从用户设备310到无线网络314或网关312的安全隧道以允许在公共无线网络314上安全地交换数据。
如果无线网络314位于企业内部,则客户机设备310可以开始接入企业的专用网络316。但是通常并非如此,因为无线网络314通常由第三方运营商运营以提供对因特网315的接入。企业的专用网络316也与因特网315相连以允许更广泛的远程接入覆盖。因此,企业一般具有可从因特网315接入的VPN服务器317,并且用户的客户机设备310需要经过VPN服务器317的认证和授权才能接入企业网络316。如果客户机设备310经过认证和授权,则建立另一安全隧道,这次的隧道是从最终用户的客户机设备310到企业的VPN服务器317。
图3中还示出了位于企业场所内通过园区(on-campus)无线网络接入企业专用网络316的用户客户机设备320。所述园区无线网络包括无线电天线319,客户机设备320通过此天线与无线网关321相连。无线网关321与企业认证服务器322和企业专用网络316相连。企业认证服务器322在客户机设备320首次接入企业的园区无线网络时处理客户机设备320的认证和授权。图3中的网络配置展示了WiMAX的功能之一,即通过宏观网络(例如,网络314)提供运营商无线服务和通过微微蜂窝网络提供专用园区/室内连通性。
图4示出了根据本发明的示例性实施例的允许客户机通过诸如WiMAX之类的运营商或公共无线网络接入企业专用网络的网络配置。客户机设备410通过无线电天线411与运营商或公共无线网络414的网关412通信。当客户机设备410首次连接到公共网关412时,公共网络414的认证服务器413将对客户机设备410进行认证和授权。
一旦在客户机设备410和公共网关412之间建立了网络隧道,公共认证服务器413便充当允许对客户机设备410进行认证和授权以便接入企业专用网络416的代理。下面将参考图5-8详细描述代理的客户机认证。作为一个实例,示出了可通过因特网415和专用内部网416的网关417从公共或运营商无线网络414接入企业专用内部网416。通过因特网415接入专用网络416时进一步借助防火墙423和424防止未经授权的客户机。
图4还示出了位于企业场所内通过园区无线网络接入企业专用网络416的最终用户客户机设备420。所述园区无线网络包括无线电天线419,客户机设备420通过此天线与无线网关421相连。无线网关421又与企业认证(AAA)服务器422和企业专用网络416相连。企业认证服务器422处理客户机设备420的认证和授权,如下面参考图5-7所述。
现在参考图5,其中示出了根据本发明的示例性实施例的客户机接入专用网络的过程,其中由公共无线网络的认证服务器和网关代理客户机认证。客户机设备510通过公共网络514的无线网关512接入公共无线网络514。客户机510经过公共网络认证(AAA)服务器513的认证之后通过无线电链路511与网关512相连。通常,无线网关512会从客户机设备510请求最终用户证书。网关512然后通过返回的证书检验用户是否有权使用公共无线网络514。一种检验用户的方法是将客户机证书转发到认证(AAA)服务器513。一旦用户经过认证服务器513的认证和授权,便会建立从用户设备510到无线网关512的第一网络隧道525。
图5还示出了通过因特网515和专用网络网关517与公共网络514相连的企业专用网络516。备选地,专用网络516可以通过诸如租用电话线路或光纤链路之类的其他类型的通信信道与公共网络514相连。
一旦建立了第一网络隧道525,认证服务器513便会代理请求与企业专用网络516关联的认证服务器522就接入专用网络516对客户机设备510进行认证。在本发明的示例性实施例中,使用诸如下面所述的可扩展认证协议(EAP)之类的质询-响应协议对客户机设备510进行认证。客户机设备510经过认证服务器522的认证和授权之后,将在客户机设备510和专用网络网关517之间建立第二网络隧道526以允许客户机510安全地接入专用网络516。将参考图6-7详细地描述认证服务器522对客户机设备510的认证和第二网络隧道526的建立。
EAP认证
在本发明的示例性实施例中,到无线网络的客户机认证基于可扩展认证协议(EAP)的实现。EAP是经常用于无线网络和点对点连接的认证框架。尽管EAP框架不限于无线网络并可用于有线局域网认证,但是它在无线环境中更加常用。EAP框架提供基于端口的认证,其涉及请求方(客户机)、认证方和认证服务器之间的通信。请求方通常为诸如膝上型计算机之类的客户机设备上的软件;认证方是有线或无线接入点;认证服务器通常是运行支持EAP实现的软件的主机。
认证方用作受保护网络的安全卫士。请求方(客户机设备)只有在其身份经过验证并获得授权之后才能通过认证方接入网络的受保护侧。在认证中,请求方向认证方提供诸如用户名/密码或数字证书之类的证书,并且认证方将所述证书转发到认证服务器进行检验。如果所述证书在认证服务器的数据库中被检验为有效,则允许请求方(客户机设备)访问位于网络受保护侧的资源。
典型的认证过程包括以下阶段。
-初始化:检测到新的客户机(请求方)时,启用认证方的端口并将该端口设为“未授权”状态。
-启动:为了启动认证,认证方定期将EAP请求身份帧发送到指定地址。请求方侦听此地址并在接收到EAP请求身份帧时使用包含请求方标识符的EAP响应身份帧进行响应。认证方然后封装该身份响应并将其转发到认证服务器。请求方还可以通过将EAPOL-启动帧发送到认证方来启动或重新开始认证。
-协商:认证服务器将回复发送到认证方,所述回复包含指定它希望请求方执行的EAP方法的EAP请求。认证方将EAP请求封装在EAPOL帧中并将其发送到请求方。请求方可以使用它希望执行的其他EAP方法做出响应,也可以开始所请求的EAP方法。
-认证:如果认证服务器和请求方就EAP方法达成一致,则在请求方和认证服务器之间发送EAP请求和响应(通过认证方转换),直到认证服务器响应以EAP成功消息或EAP失败消息。如果认证成功,认证方将端口设为“已授权”状态并允许正常的业务。
在本发明的示例性实施例中,使用EAP-传输层安全(EAP-TLS)协议认证无线客户机设备。EAP-TLS为与认证服务器的安全通信提供了强安全性,在认证中使用客户机侧证书,并且多数客户机操作系统均支持EAP-TLS。
在EAP-TLS认证期间,网络客户机初始地通过验证服务器的TLS签名来检验认证服务器的身份。客户机和服务器然后导出对称密钥以保护下一阶段的EAP认证,在下一阶段的EAP认证中,由服务器验证客户机的身份。认证服务器将EAP-Request/Identity分组发送到客户机,并且客户机使用包含客户机用户ID的EAP-Response/Identity分组响应认证方。一旦接收到客户机的身份,EAP服务器就响应以EAP-TLS/start分组。
然后以客户机发送EAP-Response分组开始EAP-TLS会话。EAP服务器然后响应以包括handshake、TLS certificate、server_key_exchange和certificate_request消息的EAP-Request分组。此信息封装在EAP-Request分组中。证书消息包含用于密钥交换公钥(例如RSA或Diffie-Hellman密钥交换公钥)或签名公钥(例如RSA或数字签名标准签名公钥)的公钥证书链。
当服务器希望对等方通过公钥对自身进行认证时,将包括certificate_request消息。如果对等方支持EAP-TLS并被配置为使用该协议,则会使用EAP-Type=EAP-TLS的EAP-Response分组对EAP-Request做出响应。对等方响应包含对等方签名公钥的证书和对等方对EAP服务器的签名后的认证响应。接收到此分组后,EAP服务器将检验对等方的证书和数字签名(如果接收到请求)。
如果对等方的认证不成功,则EAP服务器将发送具有EAP-Type=EAP-TLS的EAP-Request分组,其封装了包含适当TLS警告消息的TLS记录。如果对等方认证成功,则EAP服务器响应以具有EAP-Type=EAP-TLS的EAP-Request分组,其包括完成的握手消息。对等方然后通过发送具有EAP-Type=EAP-TLS的EAP-Response分组(不包含任何数据)来检验完成的消息。EAP服务器响应以EAP-Success消息以结束认证过程。
表1
表1是当EAP-TLS相互认证成功时,对等方(客户机设备)和认证方之间的认证消息交换的概述。
身份检验
作为TLS协商的一部分,服务器向对等方提供证书,如果要求相互认证,则对等方也向服务器提供证书。EAP-TLS对等方名称(对等方ID)表示将用于接入控制和计费目的的身份。服务器ID表示EAP服务器的身份。对等方ID和服务器ID一起标识了导出公钥/私钥对中涉及的实体。在EAP-TLS协议中,从对等方和服务器证书确定对等方ID和服务器ID。
证书验证
EAP-TLS服务器通常连接到因特网并支持验证对等方证书。当EAP-TLS服务器无法检索中间证书时,需要使用必要的中间证书对其进行预配置以完成路径验证,或者它将依赖于EAP-TLS对等方提供此信息作为TLS握手的一部分。一旦建立了TLS会话,EAP-TLS对等方和服务器实现便验证证书中表示的身份是否正确以及是否有权用于EAP-TLS。授权过程利用证书内容以及其他上下文信息。授权基于EAP-TLS对等方ID和服务器ID。
图6是根据本发明的各方面的在客户机设备接入专用网络之前对其进行认证的示例性过程的流程图。在方块611,在客户机设备和公共或第三方运营商无线网络之间建立第一网络隧道。然后在方块612,使用所述第一隧道通过企业专用网络的认证服务器对客户机设备进行认证。一旦客户机设备经过与专用网络关联的认证服务器的认证,在方块613,在客户机设备和专用网络的网关之间建立第二网络隧道以允许客户机安全地接入专用网络。
图7是通过公共网络认证服务器对客户机设备进行认证和建立第一网络隧道的示例性过程的流程图(方块611)。在方块711,客户机设备将“EAP-Start”发送到公共或运营商无线网络的网关。然后在方块712,公共网关请求客户机的身份信息。在方块713,客户机设备以包括客户机身份数据的“realm”消息响应公共网关。一旦公共网络网关检验了客户机的身份,所述网关就联系与公共网关相连的认证服务器并请求认证服务器对客户机设备进行认证和授权,如方块714所示。在方块715,公共网络的认证服务器执行诸如上述EAP认证之类的客户机认证过程。如果认证成功,则在方块716,在客户机设备和公共无线网络的网关之间建立第一安全网络隧道。
图8示出了使用第一隧道通过专用网络对客户机设备进行认证(方块612)以及在客户机和专用网络网关之间建立第二隧道(方块613)的示例性过程的流程图。一旦在客户机设备和公共网关之间建立了第一网络隧道,在方块811,公共网络的认证服务器就向专用网络的认证服务器发送请求以启动通过第一隧道向专用网络进行客户机认证。在方块812,企业认证服务器优选地使用EAP过程开始客户机设备的认证。
如上所述,EAP认证包括从客户机设备请求客户机安全证书(方块813)以及在客户机设备和专用认证服务器之间交换公钥/私钥(方块814)。由公共网络的认证服务器和网关通过第一网络隧道代理有关证书和公钥/私钥的请求和响应。在方块815,一旦专用认证服务器成功认证并授权客户机设备,就在方块816,在客户机设备和专用网关之间建立第二网络隧道。客户机设备现在可以通过第二隧道安全地接入专用网络。
仅通过示例方式提供了上述主题并且其不应被认为是进行限制。本领域的技术人员可以在不偏离以下权利要求限定的本发明的精神和范围的情况下,对所述的组件和操作做出各种修改和替代,本发明的范围应被理解为具有最广泛的解释以包含此类修改和等价结构。本领域的技术人员将理解,此处所述的系统、方法和过程可以体现在可编程计算机、计算机可执行软件或数字电路中。所述软件可以存储在计算机可读介质上。例如,计算机可读介质可以包括软盘、RAM、ROM、硬盘、可移动介质、闪存、“记忆棒”、光介质、磁光介质、CD-ROM等。
Claims (22)
1.一种用于使客户机设备通过公共无线网络安全地接入专用网络的网络系统,包括:
公共网关,其与所述公共网络耦合并具有到所述客户机设备的第一网络隧道;
专用认证服务器,其与所述专用网络耦合以便对所述客户机设备进行认证,由所述公共网络的认证服务器通过所述第一隧道代理客户机认证;以及
专用网关,其与所述专用网络和所述专用认证服务器耦合并具有到所述客户机设备的第二网络隧道。
2.如权利要求1中所述的系统,其中使用质询-响应认证协议建立所述第一和第二隧道。
3.如权利要求1中所述的系统,其中使用可扩展认证协议EAP建立所述第一和第二隧道。
4.如权利要求3中所述的系统,其中所述可扩展认证协议是可扩展认证协议-传输层安全EAP-TLS协议。
5.如权利要求1中所述的系统,其中根据与所述客户机设备关联的用户安全证书建立所述第一和第二隧道。
6.如权利要求1中所述的系统,其中加密与通过所述专用认证服务器认证所述客户机设备所关联的数据分组。
7.如权利要求6中所述的系统,其中所述公共网关将加密后的数据分组不加改变地转发到所述专用认证服务器。
8.如权利要求1中所述的系统,其中通过所述专用认证服务器认证所述客户机设备包括交换公钥-私钥对。
9.如权利要求1中所述的系统,其中所述公共网络是WiMAX无线网络。
10.如权利要求1中所述的系统,其中所述第一和第二隧道是IPsec隧道。
11.如权利要求1中所述的系统,其中所述第一和第二隧道允许在所述客户机设备和所述专用网络之间安全地交换数据。
12.一种用于使客户机设备通过公共无线网络安全地接入专用网络的计算机实现的方法,包括:
建立到与所述专用网络耦合的所述公共无线网络的网关的第一隧道;
使用所述第一隧道通过所述专用网络的认证服务器对所述客户机设备进行认证,所述认证服务器与所述专用网络的网关相连;以及
在所述客户机设备和所述专用网络的网关之间建立第二隧道。
13.如权利要求12中所述的方法,其中使用质询-响应认证协议建立所述第一和第二隧道。
14.如权利要求12中所述的方法,其中使用可扩展认证协议EAP建立所述第一和第二隧道。
15.如权利要求14中所述的方法,其中所述可扩展认证协议是可扩展认证协议-传输层安全EAP-TLS协议。
16.如权利要求12中所述的方法,其中根据与所述客户机设备关联的用户安全证书建立所述第一和第二隧道。
17.如权利要求12中所述的方法,其中加密与通过所述专用认证服务器认证所述客户机设备所关联的数据分组。
18.如权利要求17中所述的方法,其中所述公共网络网关将加密后的数据分组不加改变地转发到所述专用认证服务器。
19.如权利要求12中所述的方法,其中通过所述专用认证服务器认证所述客户机设备包括交换公钥-私钥对。
20.如权利要求12中所述的方法,其中所述公共网络是WiMAX无线网络。
21.如权利要求12中所述的方法,其中所述第一和第二隧道是IPsec隧道。
22.如权利要求12中所述的方法,其中所述第一和第二隧道允许在所述客户机设备和所述专用网络之间安全地交换数据。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/757,199 US8601569B2 (en) | 2010-04-09 | 2010-04-09 | Secure access to a private network through a public wireless network |
| US12/757,199 | 2010-04-09 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102215487A true CN102215487A (zh) | 2011-10-12 |
| CN102215487B CN102215487B (zh) | 2014-10-15 |
Family
ID=44746564
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110078663.1A Expired - Fee Related CN102215487B (zh) | 2010-04-09 | 2011-03-30 | 通过公共无线网络安全地接入专用网络的方法和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8601569B2 (zh) |
| KR (1) | KR20110113565A (zh) |
| CN (1) | CN102215487B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104160656A (zh) * | 2012-03-01 | 2014-11-19 | 塞尔蒂卡姆公司 | 用于将客户端设备与网络相连的系统和方法 |
| CN106875515A (zh) * | 2015-12-11 | 2017-06-20 | 中国移动通信集团辽宁有限公司 | 门禁验证系统及其门禁验证方法 |
| CN107005534A (zh) * | 2014-12-04 | 2017-08-01 | 瑞典爱立信有限公司 | 安全连接建立 |
| CN108886530A (zh) * | 2016-04-11 | 2018-11-23 | 华为技术有限公司 | 企业移动管理中移动设备的激活 |
| WO2021185347A1 (zh) * | 2020-03-20 | 2021-09-23 | 维沃移动通信有限公司 | 接入控制方法及通信设备 |
Families Citing this family (51)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8509440B2 (en) * | 2007-08-24 | 2013-08-13 | Futurwei Technologies, Inc. | PANA for roaming Wi-Fi access in fixed network architectures |
| US8452957B2 (en) * | 2010-04-27 | 2013-05-28 | Telefonaktiebolaget L M Ericsson (Publ) | Method and nodes for providing secure access to cloud computing for mobile users |
| US9270653B2 (en) * | 2011-05-11 | 2016-02-23 | At&T Mobility Ii Llc | Carrier network security interface for fielded devices |
| US10277630B2 (en) * | 2011-06-03 | 2019-04-30 | The Boeing Company | MobileNet |
| US9529996B2 (en) * | 2011-10-11 | 2016-12-27 | Citrix Systems, Inc. | Controlling mobile device access to enterprise resources |
| ES2959510T3 (es) | 2011-10-21 | 2024-02-26 | Icu Medical Inc | Sistema de actualización de dispositivos médicos |
| CN102497354A (zh) * | 2011-11-08 | 2012-06-13 | 陈嘉贤 | 用于对用户身份进行认证的方法、系统及其使用的设备 |
| US20130283050A1 (en) * | 2012-04-23 | 2013-10-24 | Anil Gupta | Wireless client authentication and assignment |
| US8978093B1 (en) * | 2012-05-03 | 2015-03-10 | Google Inc. | Policy based trust of proxies |
| US10560343B1 (en) | 2012-07-06 | 2020-02-11 | Cradlepoint, Inc. | People centric management of cloud networks via GUI |
| US10110417B1 (en) | 2012-07-06 | 2018-10-23 | Cradlepoint, Inc. | Private networks overlaid on cloud infrastructure |
| US10177957B1 (en) | 2012-07-06 | 2019-01-08 | Cradlepoint, Inc. | Connecting a cloud network to the internet |
| US10880162B1 (en) | 2012-07-06 | 2020-12-29 | Cradlepoint, Inc. | Linking logical broadcast domains |
| US10135677B1 (en) | 2012-07-06 | 2018-11-20 | Cradlepoint, Inc. | Deployment of network-related features over cloud network |
| US10601653B2 (en) * | 2012-07-06 | 2020-03-24 | Cradlepoint, Inc. | Implicit traffic engineering |
| US9992062B1 (en) * | 2012-07-06 | 2018-06-05 | Cradlepoint, Inc. | Implicit traffic engineering |
| WO2014030199A1 (ja) * | 2012-08-20 | 2014-02-27 | 富士通株式会社 | シームレスアプリプッシュシステム及びその方法 |
| JP5854148B2 (ja) * | 2012-08-20 | 2016-02-09 | 富士通株式会社 | シームレスプッシュシステム及びその方法 |
| TW201417535A (zh) * | 2012-10-31 | 2014-05-01 | Ibm | 根據風險係數的網路存取控制 |
| US9641432B2 (en) | 2013-03-06 | 2017-05-02 | Icu Medical, Inc. | Medical device communication method |
| DE102013206661A1 (de) * | 2013-04-15 | 2014-10-16 | Robert Bosch Gmbh | Kommunikationsverfahren zum Übertragen von Nutzdaten sowie entsprechendes Kommunikationssystem |
| US9411978B2 (en) | 2013-07-11 | 2016-08-09 | Open Text S.A. | System and method for access control using network verification |
| US9226153B2 (en) * | 2013-08-23 | 2015-12-29 | Cisco Technology, Inc. | Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP |
| US9662436B2 (en) | 2013-09-20 | 2017-05-30 | Icu Medical, Inc. | Fail-safe drug infusion therapy system |
| ES2984732T3 (es) | 2014-04-30 | 2024-10-30 | Icu Medical Inc | Sistema de asistencia al paciente con reenvío de alarma condicional |
| US9724470B2 (en) | 2014-06-16 | 2017-08-08 | Icu Medical, Inc. | System for monitoring and delivering medication to a patient and method of using the same to minimize the risks associated with automated therapy |
| US9539383B2 (en) | 2014-09-15 | 2017-01-10 | Hospira, Inc. | System and method that matches delayed infusion auto-programs with manually entered infusion programs and analyzes differences therein |
| US9148408B1 (en) | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
| US9906497B2 (en) | 2014-10-06 | 2018-02-27 | Cryptzone North America, Inc. | Multi-tunneling virtual network adapter |
| US20160366124A1 (en) * | 2015-06-15 | 2016-12-15 | Qualcomm Incorporated | Configuration and authentication of wireless devices |
| US9866519B2 (en) | 2015-10-16 | 2018-01-09 | Cryptzone North America, Inc. | Name resolving in segmented networks |
| US10178512B2 (en) | 2015-12-18 | 2019-01-08 | At&T Intellectual Property I, L.P. | Information broadcast |
| US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US9560015B1 (en) | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
| CN110235423B (zh) | 2017-01-27 | 2022-10-21 | 瑞典爱立信有限公司 | 对用户设备的辅认证 |
| CN107231426A (zh) * | 2017-06-15 | 2017-10-03 | 郑州云海信息技术有限公司 | 一种多数据中心访问方法、代理服务器及系统 |
| EP3824386B1 (en) | 2018-07-17 | 2024-02-21 | ICU Medical, Inc. | Updating infusion pump drug libraries and operational software in a networked environment |
| WO2020018389A1 (en) | 2018-07-17 | 2020-01-23 | Icu Medical, Inc. | Systems and methods for facilitating clinical messaging in a network environment |
| CA3115600A1 (en) * | 2018-09-24 | 2020-04-02 | Andrew Robinson | Content server for providing application unification for public network applications |
| JP7273523B2 (ja) * | 2019-01-25 | 2023-05-15 | 株式会社東芝 | 通信制御装置および通信制御システム |
| TWI706281B (zh) * | 2019-02-19 | 2020-10-01 | 華東科技股份有限公司 | 裝置驗證方法 |
| SG11202001944UA (en) * | 2019-03-27 | 2020-04-29 | Alibaba Group Holding Ltd | Improving integrity of communications between blockchain networks and external data sources |
| JP6811339B2 (ja) | 2019-03-27 | 2021-01-13 | アドバンスド ニュー テクノロジーズ カンパニー リミテッド | 高可用な高信頼実行環境を使用したブロックチェーンネットワークのためのパブリックデータの読み出し |
| KR102274294B1 (ko) | 2019-03-29 | 2021-07-08 | 어드밴스드 뉴 테크놀로지스 씨오., 엘티디. | 고 가용성의 신뢰 실행 환경을 사용하여 블록체인 네트워크에 대한 액세스 데이터를 리트리빙하는 방법 |
| US11751049B2 (en) | 2019-05-01 | 2023-09-05 | John A. Nix | Distributed EAP-TLS authentication for wireless networks with concealed user identities |
| AU2020267477A1 (en) | 2019-05-08 | 2022-01-06 | Icu Medical, Inc. | Threshold signature based medical device management |
| US12022287B2 (en) | 2019-07-08 | 2024-06-25 | John A. Nix | EAP-TLS authentication with concealed user identities and wireless networks |
| CN114631398B (zh) * | 2019-11-06 | 2024-08-23 | 华为技术有限公司 | 一种通信方法,通信装置及通信系统 |
| US11882110B2 (en) * | 2020-04-29 | 2024-01-23 | Hewlett Packard Enterprise Development Lp | Renewal of security certificates of supplicants |
| US20220330022A1 (en) * | 2021-01-08 | 2022-10-13 | Abhijeet Ashok Kolekar | Ue onboarding and provisioning using one way authentication |
| US20240080666A1 (en) * | 2022-09-01 | 2024-03-07 | T-Mobile Innovations Llc | Wireless communication network authentication for a wireless user device that has a circuitry identifier |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040081173A1 (en) * | 2002-10-15 | 2004-04-29 | Cisco Technology, Inc. | Configuration of enterprise gateways |
| US20060288406A1 (en) * | 2005-06-16 | 2006-12-21 | Mci, Inc. | Extensible authentication protocol (EAP) state server |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6571289B1 (en) | 1998-08-03 | 2003-05-27 | Sun Microsystems, Inc. | Chained registrations for mobile IP |
| US6081900A (en) * | 1999-03-16 | 2000-06-27 | Novell, Inc. | Secure intranet access |
| US7117526B1 (en) | 1999-10-22 | 2006-10-03 | Nomadix, Inc. | Method and apparatus for establishing dynamic tunnel access sessions in a communication network |
| US7181542B2 (en) * | 2000-04-12 | 2007-02-20 | Corente, Inc. | Method and system for managing and configuring virtual private networks |
| US7159242B2 (en) | 2002-05-09 | 2007-01-02 | International Business Machines Corporation | Secure IPsec tunnels with a background system accessible via a gateway implementing NAT |
| JP4056849B2 (ja) * | 2002-08-09 | 2008-03-05 | 富士通株式会社 | 仮想閉域網システム |
| US7779152B2 (en) | 2003-01-24 | 2010-08-17 | Nokia Corporation | Establishing communication tunnels |
| US7774828B2 (en) * | 2003-03-31 | 2010-08-10 | Alcatel-Lucent Usa Inc. | Methods for common authentication and authorization across independent networks |
| US7478427B2 (en) | 2003-05-05 | 2009-01-13 | Alcatel-Lucent Usa Inc. | Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs) |
| JP4107213B2 (ja) * | 2003-10-06 | 2008-06-25 | 松下電工株式会社 | パケット判定装置 |
| US20080022392A1 (en) | 2006-07-05 | 2008-01-24 | Cisco Technology, Inc. | Resolution of attribute overlap on authentication, authorization, and accounting servers |
| US7707623B2 (en) * | 2006-10-24 | 2010-04-27 | Avatier Corporation | Self-service resource provisioning having collaborative compliance enforcement |
-
2010
- 2010-04-09 US US12/757,199 patent/US8601569B2/en not_active Expired - Fee Related
-
2011
- 2011-03-30 CN CN201110078663.1A patent/CN102215487B/zh not_active Expired - Fee Related
- 2011-03-31 KR KR1020110029302A patent/KR20110113565A/ko not_active Application Discontinuation
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040081173A1 (en) * | 2002-10-15 | 2004-04-29 | Cisco Technology, Inc. | Configuration of enterprise gateways |
| US20060288406A1 (en) * | 2005-06-16 | 2006-12-21 | Mci, Inc. | Extensible authentication protocol (EAP) state server |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104160656A (zh) * | 2012-03-01 | 2014-11-19 | 塞尔蒂卡姆公司 | 用于将客户端设备与网络相连的系统和方法 |
| CN104160656B (zh) * | 2012-03-01 | 2017-08-29 | 塞尔蒂卡姆公司 | 用于将客户端设备与网络相连的系统和方法 |
| CN107005534A (zh) * | 2014-12-04 | 2017-08-01 | 瑞典爱立信有限公司 | 安全连接建立 |
| CN107005534B (zh) * | 2014-12-04 | 2020-07-14 | 瑞典爱立信有限公司 | 一种安全连接建立的方法和装置 |
| CN106875515A (zh) * | 2015-12-11 | 2017-06-20 | 中国移动通信集团辽宁有限公司 | 门禁验证系统及其门禁验证方法 |
| CN106875515B (zh) * | 2015-12-11 | 2019-10-29 | 中国移动通信集团辽宁有限公司 | 门禁验证系统及其门禁验证方法 |
| CN108886530A (zh) * | 2016-04-11 | 2018-11-23 | 华为技术有限公司 | 企业移动管理中移动设备的激活 |
| CN108886530B (zh) * | 2016-04-11 | 2021-02-12 | 华为技术有限公司 | 企业移动管理中移动设备的激活方法和移动设备 |
| WO2021185347A1 (zh) * | 2020-03-20 | 2021-09-23 | 维沃移动通信有限公司 | 接入控制方法及通信设备 |
| CN113498055A (zh) * | 2020-03-20 | 2021-10-12 | 维沃移动通信有限公司 | 接入控制方法及通信设备 |
| CN113498055B (zh) * | 2020-03-20 | 2022-08-26 | 维沃移动通信有限公司 | 接入控制方法及通信设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102215487B (zh) | 2014-10-15 |
| KR20110113565A (ko) | 2011-10-17 |
| US8601569B2 (en) | 2013-12-03 |
| US20110252230A1 (en) | 2011-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102215487B (zh) | 通过公共无线网络安全地接入专用网络的方法和系统 | |
| US10638321B2 (en) | Wireless network connection method and apparatus, and storage medium | |
| US8738898B2 (en) | Provision of secure communications connection using third party authentication | |
| EP1997292B1 (en) | Establishing communications | |
| US11902781B2 (en) | Methods and systems of wireless sensor authentication | |
| US8094821B2 (en) | Key generation in a communication system | |
| US20110035592A1 (en) | Authentication method selection using a home enhanced node b profile | |
| CN102843687A (zh) | 智能手机便携式热点安全接入的方法及系统 | |
| EP1900170A1 (en) | Short authentication procedure in wireless data communications networks | |
| CA2792490A1 (en) | Key generation in a communication system | |
| EP1540878A1 (en) | Linked authentication protocols | |
| Matos et al. | Secure hotspot authentication through a near field communication side-channel | |
| CN103096317A (zh) | 一种基于共享加密数据的双向鉴权方法及系统 | |
| Sithirasenan et al. | EAP-CRA for WiMAX, WLAN and 4G LTE Interoperability | |
| Tsitaitse et al. | Secure roaming authentication mechanism for WI-FI based networks | |
| RU2779029C1 (ru) | Доступ не отвечающего спецификациям 3gpp устройства к базовой сети | |
| Faraj | Security technologies for wireless access to local area networks | |
| Mortágua | Authentication in VPNs and 802.1 x Networks With Identity Providers | |
| Santos | Secure Wifi Portals in WIFI4EU Environment | |
| Ntantogian et al. | A security protocol for mutual authentication and mobile VPN deployment in B3G networks | |
| CN115278660A (zh) | 接入认证方法、装置及系统 | |
| Marques | Integração do Paradigma de Captive Portals com a Arquitetura 802.1 X | |
| Nagesha et al. | A Survey on Wireless Security Standards and Future Scope. | |
| Saay | Toward authentication mechanisms for Wi-Fi mesh networks | |
| Lee et al. | Performance of an efficient performing authentication to obtain access to public wireless LAN with a cache table |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141015 |