CN102461230B - 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统 - Google Patents
用于在基于uam的wlan网络中对网络节点进行认证的方法和系统 Download PDFInfo
- Publication number
- CN102461230B CN102461230B CN200980159730.3A CN200980159730A CN102461230B CN 102461230 B CN102461230 B CN 102461230B CN 200980159730 A CN200980159730 A CN 200980159730A CN 102461230 B CN102461230 B CN 102461230B
- Authority
- CN
- China
- Prior art keywords
- network node
- eap
- mobile network
- message
- layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access, e.g. scheduled or random access
- H04W74/002—Transmission of channel access control information
- H04W74/004—Transmission of channel access control information in the uplink, i.e. towards network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/04—Network layer protocols, e.g. mobile IP [Internet Protocol]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及用于在无线局域网WLAN(31)中对移动网络节点(10)进行认证的方法和系统,其中,移动网络节点(10)在接入点(20)处请求对WLAN(31)的接入。在封闭的第一网络区域围墙花园(32)内,在认证之前,建立高达层3协议层L3的所有网络协议层。在作为强制网络门户的网络服务器(23)上生成基于可扩展认证协议EAP的认证器(42),并借助于被定义的位序列来双向地扩展认证器(42)与包括EAP对端(41)的移动网络节点(10)之间的层3协议层。在接入请求的情况下,网络服务器(23)通过将EAP消息请求编码并借助于被定义的位序列在层3协议层中将其发送来向移动网络节点(10)传送认证刺激。移动节点(10)将EAP消息请求解码并借助于被定义的位序列在层3协议层中向认证器(42)传送已编码EAP响应消息,该EAP响应消息包括移动网络节点(10)的认证数据。网络服务器(23)从位序列将EAP响应消息解码,并借助于认证查询将其传送到包括EAP服务器(43)的AAA服务器(22)。基于AAA服务器(22)的认证响应,借助于网络接入服务器(24)使得能够实现对第二网络区域(30)的接入以供移动网络节点(10)使用。
Description
技术领域
这里提出的发明涉及用于在无线局域网(WLAN)或其它分组数据网络中对移动网络节点进行认证的方法和系统。经由无线网络接口(NIC),移动网络节点在接入点(AP)处请求对WLAN的接入,其中,在封闭的第一网络区域(围墙花园(Walled Garden))内,在借助于移动网络节点的认证之前,建立高达层3协议层(L3)的所有网络协议层。在作为强制网络门户的网络服务器与移动网络节点之间,使用通用接入方法(UAM)在层3协议层中传送包含移动网络节点的认证数据的消息。如果授权是成功的,则网络接入服务器(NAS)使得移动网络节点能够接入第二网络区域。最特别地,本发明涉及用于包括具有授权和授权数据的SIM卡(订户身份模块)作为例如基于授权的IMSI(国际移动订户身份)和软件证书(例如SSL证书)的移动网络节点的方法。
背景技术
现在,无线因特网服务提供商(WISP)在向客户提供固定或移动无线服务中扮演重要角色。使用Wi-Fi或其它无线方法,WISP在诸如机场、旅店、饭馆、购物中心等公共场所中提供因特网接入。Wi-Fi是用于基于IEEE(电气和电子工程师协会)802.11标准的产品的Wi-Fi联盟的证明商标。为了实现公共无线因特网服务,WISP可以使用例如基于EAP认证(IETF RFC 3748)的移动WiMAX(微波接入全球互通)、基于IEEE 802.1x标准的WLAN或基于WISPr和用IEEE 802.11标准的UAM(通用接入方法)的WLAN来向全世界的客户传送因特网接入。UAM是一种允许订户接入WLAN网络(作为例如Wi-Fi网络)的方法,由此,仅使用因特网浏览器。因特网浏览器用登录页面打开,在登录页面中,用户必须在被许可接入网络之前填写其证书(通常是用户名和口令)。除客户的认证和授权之外,WISP还提供例如用于数字内容的网络支付服务。此类网络支付服务能够向因特网服务提供商(ISP)、电话公司或信用卡帐户开帐单。WISP还常常支持微支付以在月末对帐户充值。
在现有技术中,对公共WLAN的接入认证和授权主要是基于所述UAM和WISPr,两者都是基于HTTP的并因此要求移动设备获得对基础设施的IP接入(参见图2)。UAM和WISPr仅仅被提供用于用户名/口令认证,而不用于基于SIM或证书的认证。因此,当实现基于当今的UAM和WISPr的实际漫游时存在严重的障碍,例如,如果运营商想要漫游的话,其不得不使用用户名/口令,这对于用来用智能卡工作的某种类型的运营商(例如GSM)而言是非常不方便的。另一方面,移动WiMAX是基于EAP认证、一般支持用户名/口令的IETF(因特网工程任务组)限定标准、SIM(订户身份模块)或智能卡和基于证书的认证的(参见图1)。现在,通过使用IEEE 802.1x标准,在WLAN上可以实现基于EAP的认证。然而,802.1x与UAM和WISPr接入是不兼容的。想要以对其网络的较少接入(即用由信用卡进行支付的即时接入)出售订阅的运营商需要UAM方法。想要支持EAP和UAM两者的运营商因此必须具有双基础设施,其广播例如两个SSID(服务集标识符),并且是相当成本密集的投资。如所述,可以将IEEE 802.1x用于无线LAN内的用户的认证。802.1x是来自电气和电子工程师标准协会机构的开放源IEEE协议。IEEE 802.1x认证允许对诸如例如以太网、令牌环和/或802.11无线LAN的IEEE 802的认证接入。802.11协议为无线LAN、即为无线局域网生成2.4 GHz波段中的1 Mbps、2 Mbps或11 Mbps传输,由此,使用FHSS(跳频扩展频谱)或者DSSS(直接序列扩展频谱)。对于认证而言,802.1x支持认证EAP(可扩展认证协议)和EAP-TLS(无线传输层安全,RFC 2716(PPP EAP TLS认证协议))。作为一般认证方案,EAP向被访问网络隐藏归属网络运营商正在使用的证书类型。EAP的实施方式包括EAP-SIM(用于全球移动通信系统(GSM)订户身份模块(SIM),RFC 4186的EAP)、EAP-AKA(用于UMTS认证和密钥协议、RFC 4187的可扩展认证协议方法)、EAP-TLS、EAP-TTLS(EAP隧道传输层安全)。802.11还支持RADIUS。虽然RADIUS支持在802.1x中是可选的,但可以预期大多数802.1x认证器将支持RADIUS。IEEE 802.1x协议是所谓的基于端口的认证协议。其可以在其中能够指定端口(即单元的接口)的每个环境中使用。用基于802.1x的认证,可以区别三个单元:用户(请求者/客户端)的单元、认证器和认证服务器。对请求者进行认证是认证器的作用。认证器和请求者例如经由点到点LAN段或802.11无线LAN相连。认证器和请求者具有限定端口,即所谓的端口接入入口(PAE),其定义物理或虚拟802.1x端口。认证服务器生成认证器所需的认证服务。这样,其检验由请求者提供的关于采取的身份的权限数据。
对接入无线网络的UAM认证是基于“围墙花园”的概念,如图2所示。围墙花园是“颠倒的”内部网,其防止在围墙花园内连接的设备在被认证之前接入因特网。不同于802.1x,这种技术允许设备在被认证之前到达所有联网层,包括层3(即IP层)并针对会话被收费。这种技术的利害关系是围墙花园中的网络服务器能够用来执行不同类型的认证,包括经由浏览器的认证和用信用卡进行的支付(用802.1x是不可能的)。UAM认证由于在不需要订阅的情况下直接在热点处支付的此可能性而非常受欢迎。
WISPr(无线因特网服务提供商漫游)是用于客户端软件的基于网络的登录标准(UAM)。WISPr 1.0是在2003年2月由Wi-Fi联盟发行的。WLAN推荐的附件D描述了个人计算机(PC)或移动电话上的客户端软件之间的通过HTTP协议的XML,以允许朝向Wi-Fi热点的用户名/口令认证。协议由XML元件(类似于简单对象接入协议(SOAP))的交换构成,其中,客户端(即移动设备上的软件)与网络服务器(WLAN热点)交换信息以打开WLAN会话并稍后终止WLAN会话。XML(可扩展标记语言)是由W3C联盟指定的对数据进行结构化的格式和语法。SOAP是通过XML工作的远程程序调用协议,也是由W3C联盟(万维网联盟)指定的。图2和5示出根据WISPr规范附件D的现有技术。图5中的客户端包括客户端软件。网关是被访问WLAN网络上的WISPr服务器23(图2)。AAA是归属网络运营商处的认证服务器22。WISPr定义客户端10与网关23之间的支腿(leg)(参见图5)。网关23与AAA 22之间的支腿是Radius或Diameter。在现有技术中,认证服务器通常是基于IETF(因特网工程任务组)的RADIUS(远程认证拨号用户服务)。RADIUS认证协议和计费系统的使用在诸如例如路由器、调制解调器服务器、交换机的网络单元中是普遍的,并且被大多数因特网服务提供商(ISP)使用。如果用户拨入ISP中,则他/她必须正常地输入用户名和口令。Radius服务器检验此信息并授权用户接入ISP系统。特别地,RADIUS的广泛使用的原因在于网络单元通常不能应付每个具有不同认证数据的大量网络用户,因为这将超过例如单独网络单元的存储容量。RADIUS允许许多网络用户的中央行政(用户的添加、删除等)。因此,这是ISP(因特网服务提供商)对其服务的必需前提,因为其用户数目常常总计达几千至几万个。RADIUS还生成针对黑客的某种永久性保护。由RADIUS基于TACACS+(终端访问控制器访问控制系统+)和LDAP(轻量级目录访问协议)进行的远程认证针对黑客是相对安全的。相比之下,许多其它远程认证协议仅具有针对黑客攻击的临时或不充分的保护或根本没有保护。另一优点是RADIUS目前是用于远程认证的事实标准,RADIUS还受到几乎所有系统的支持,对于其它协议而言情况不是如此。
在现有技术中,WISPr规范定义了用来提交用户证书、对认证结果的轮询等的XML方案。应注意的是由通过无线技术中的新需求,由缺点引发的是,无线宽带联盟正在着眼于进一步开发WISPr标准。目前,WISPr附件D是WLAN电信行业中的事实标准。据估计,超过90%的商业热点网络将WISPr附件D实现为接入方法。与WISPr相结合,必须提到IPASS。IPASS是将远程和移动设备的管理和连接统一的商业公司。IPASS已经是WISPr规范的关键贡献者。IPASS很长时间以来具有被称为GIS(通用接口规范)的其自己的专有方案。WISPr或多或少地是GIS的模仿者。
可扩展认证协议(EAP)(RFC 3748)是由IETF(因特网工程任务组)开发的,以产生支持不同类型的证书(用户名/口令、证书、SIM卡等)的通用认证协议。发明EAP是为了在不必担心并每当使用新的认证时更新基础设施的情况下允许被访问网络上的认证的一般支持。可扩展认证协议(EAP)实际上是PPP(点到点协议)的扩展,并且是由IETF的请求注解(RFC)2284 PPP可扩展认证协议(EAP)定义的。经由PPP,可以将计算机连接到例如ISP的服务器。PPP在OSI模型的数据链路层中工作,并将计算机的IP分组载送到形成到因特网的接口的ISP的服务器。与较旧的SLIP协议(串行线网际协议)相比,PPP更稳定地运行且具有纠错机构。如所述,可扩展认证协议EAP是非常一般的水平上的协议,其支持多样化的认证方法,诸如,例如令牌卡、麻省理工学院(MIT)的Kerberos、取消口令、证书、公钥认证和智能卡或所谓的集成电路卡(ICC)。IEEE 802.1x定义必须集成到LAN帧中的诸如EAP的规范。用无线网络中的经由EAP的通信,经由无线通信、即用于远程访问客户端或请求者的连接集线器到WLAN的用户请求接入无线LAN。AP然后从请求者请求用户的标识,并将该标识传送到基于例如RADIUS的上述认证服务器。认证服务器允许接入点重新检查用户的标识。AP从请求者收集此认证数据并将其传送到认证服务器,认证服务器终止该认证方法。EAP是用于WiMAX认证的所选方法。第三代合作伙伴计划(3GPP)也采用此标准进行GSM(全球移动通信系统)到IP(网际协议)技术的会聚。EAP被封装在所述“传输”协议中:PPP(点到点协议、IETF RFC)、Radius(RFC 2869)和Diameter,其为用于AAA(认证、授权和计费)的计算机联网协议。IEEE 802.11标准(WLAN)的安全型式(称为802.1x)使用EAP作为认证机制。然而,非常少的WLAN热点网络已部署了802.1x,因为这种方法固有地防止用户经由信用卡来购买因特网接入(即,不可能通过802.1x来提供UAM接入)。诸如Swisscom的现有技术中的几个运营商已经部署了双基础设施,其提供通过802.11的UAM和通过802.1x的EAP两者。这是通过广播两个信号并具有双基础设施实现的。然而,此选择是昂贵的,并且目前具有通过802.11的UAM的许多运营商由于成本而不愿意升级到双基础设施。
EAP最初被设计为在具有设备与NAS之间的IP单跳的限制的情况下通过PPP(点到点协议)运行。为了克服此限制,指定了L2TP(RFC 2661、RFC 3931)。L2TP通过IP网络来模拟链路段,通过IP多跳提供PPP层。L2TP(层二(2)隧道协议)是使得因特网服务提供商(ISP)能够操作虚拟专用网络(VPN)的PPP协议的扩展。L2TP将以下两个其它隧道协议的特征合并:来自微软公司的PPTP (点到点隧道协议)和来自Cisco系统的L2F(层二转送)。类似于PPTP,L2TP要求ISP的路由器支持该协议。L2TP能够用作WISPr上的EAP的替换。然而,这将要求设备实现L2TP且NAS(网络接入服务器)实现L2TP。然后将用隧道传输设备与NAS之间的所有业务,增加开销。客户端软件和NAS中的软件变化对于所提出的发明而言将是非常显著的。NAS是外部通信网络与内部网络之间的接入网关,也称为“围墙花园”。在用户请求对网络的接入时,因特网服务提供商(ISP)使用NAS来在用户已被接入服务器授权之后提供对因特网的接入。
诸如Comfone AG和Service Factory AB的其它公司已经在2004年开发了允许通过WISPr使能热点的两阶段EAP型的认证的解决方案(参见图6)。在图6中举例说明此技术解决方案的两阶段方案,第一阶段包括EAP认证过程。从此阶段出来,生成一次性用户名/口令,并且客户端软件然后继续进行正常的WISPr登录以打开WLAN会话。图6举例说明此类WISPr EAP认证。这种方法具有不同的缺点:首先,需要WISP网络处的特殊配置以允许在标准阶段2认证之前的阶段1认证。其次,需要客户端软件实现特有阶段1协议。第三,该两阶段方法在认证中引入附加延迟。
随着移动WiMAX的到来,需要技术间漫游,使得WiMAX订户可以用相同的证书在WLAN热点上漫游。虽然如果证书是用户名和口令,这在目前是可能的,但如果证书是SIM或证件,则不存在容易的会聚。开发的WISPr EAP-SIM方法(通过EAP协议的SIM认证。IETF RFC 4186)遭受上述复杂性和缺点。
发明内容
本发明的目的是提出一种用于在WLAN中漫游的移动节点的新方法。特别地,应使得对于WiMAX订户或者说使用EAP进行认证的订户而言可以用相同的证书在WLAN热点上漫游。如果证书是SIM或证件,这也应是可能的。应使得对于用户而言可以在没有任何困难的情况下在不同的热点和标准之间移动(漫游),而不必为各种WLAN服务提供商处的注册、开帐单、服务授权等烦恼。并且,在Wi-Fi热点中,本发明应向WLAN中的用户和服务提供商保证用于开帐单、服务授权和安全的所需部件。
根据本发明,通过独立权利要求的元素来实现这些目的。而且,另外的优选实施例是从从属权利要求和该说明书得出的。
通过本发明来实现这些目的,特别地在于,为了在无线局域网(WLAN)中对移动网络节点进行认证,移动网络节点经由无线网络接口在接入点处请求对WLAN的接入,其中,在封闭的第一网络区域(围墙花园)内,在认证之前,借助于移动网络节点,建立高达层3协议层(L3)的所有网络协议层,其中,在作为强制网络门户的网络服务器与移动网络节点之间,使用通用接入方法(UAM)在层3协议层中传送包含移动网络节点的认证数据的消息,并且如果认证是成功的,则网络接入服务器(NAS)使得能够实现移动网络节点对第二网络区域的接入,其中,在网络服务器和/或网络接入服务器(NAS)上生成基于可扩展认证协议(EAP)的认证器,认证器与包括EPA对端的移动网络节点之间的层3协议层借助于包含编码的EAP消息的被定义的位序列双向地延伸,其中,在由移动网络节点进行的接入请求的情况下,网络服务器通过将用于层3协议层的EAP消息请求编码并在层3协议层中借助于被定义的位序列来传送编码消息请求而向移动网络节点传送认证刺激(authentication stimulus),其中,移动网络节点将来自被定义的位序列的EAP消息请求解码并借助于被定义的位序列在层3协议层中向认证器传送编码的EAP响应消息,EAP响应消息包括用于移动网络节点的认证数据,并且其中,网络服务器将来自位序列的EAP响应消息解码,借助于认证查询将其传送到AAA服务器,并且基于AAA服务器进行的认证响应,借助于网络接入服务器(NAS)使得第二网络区域能够供移动网络节点使用。包括EAP认证器的网络服务器与包括EAP服务器的AAA服务器之间的认证查询可以例如由RADIUS或DIAMETER协议层来实现。认证数据可以例如包括SIM卡的身份(ID)参考和/或口令和/或散列值和/或IMSI。可以例如在层2协议层(L2)中产生媒体接入,而例如可以基于802.11 WLAN网络来产生对物理层1(L1)的接入。可以基于WISPr结构来实现层3协议层。所述变型除了其它的以外还具有以下优点:可以将WISPr协议层扩展至允许特别地在不要求网络运营商的基础设施的主要升级的情况下传送EAP认证。其提出用于移动WiMAX订户漫游到WLAN网络上的一种技术解决方案,因为可以在Wi-Fi上使用相同的EAP认证。本发明还具有的优点是,不需要WISP网络的特殊配置以允许标准阶段2认证之前的阶段1认证,并且不需要客户端软件实现专有阶段1协议,并且没有如从现有技术的具有首先的EAP认证和然后的正常WISPr登录的两阶段方案已知的由两阶段方法引入的认证中的附加延迟。另外,用通过802.11的UAM和通过802.1x的EAP,不需要到双基础设施的昂贵升级。此外,本发明具有以下优点:随着越来越多的移动WiMAX的使用,能够提供技术间漫游,使得WiMAX订户可以用相同的证书在Wi-Fi热点上漫游。现今,这只有在证书是用户名和口令的情况下是可能的,并且如果证书是SIM或证件,则不存在容易的会聚。开发的WISPr EAP-SIM方法遭受上述复杂性和缺点。可以预见在今后几年中,过去几年的WLAN使能热点和热点运营商的数目的激增将持续。智能客户端提供将使得用户容易在这些热点处接入因特网的一般用户体验。在下一代认证方法和诸如802.1x的协议上存在要封闭的巨大缺口以在热点处提供改善的认证。需要一种允许作为智能客户端的移动网络节点向部署在热点处的许多不同接入网关可靠地认证的方法和协议。这种方法必须能够与现今在热点处使用的现有基于浏览器的认证方法相结合地工作。本发明提供一种容易由ISP来实现的可行解决方案。提出的解决方案满足对当前客户端接入网关整合的所有这些需要。
在实施例变型中,由无线因特网服务提供商漫游激活(WISPr)来实现基于UAM的WLAN,并且基于网络服务器与移动网络节点之间的WISPr消息在层3协议层中传送包含移动网络节点的认证数据的消息。所述变型除了别的以外还具有不遭受所述WISPr EAP-SIM方法的复杂性和缺点的优点。此外,本发明具有以下优点:随着越来越多的移动WiMAX的使用,能够提供技术间漫游,使得WiMAX订户可以用相同的证书在WLAN热点上漫游。
在另一实施例变型中,借助于编码模块向和从定义XML字符集双向地转换二进制EAP消息,并将所述二进制EAP消息插入L3协议层中,和/或借助于编码模块从L3协议层提取出来。可以例如基于IETF Base64编码借助于编码模块来完成转换。所述变型除了别的以外还具有提供用于层3协议层中的EAP消息的编码和解码的容易基础的优点。进行编码/解码的主要原因之一可以例如是层3协议层可以包括在能够传送什么“字符”方面的限制。例如,Base64编码转换A..Z和0..9的字符流中的二进制形式。所有那些字符在XML中“被允许”,并且可以在层3协议层中插入和提取EAP消息。
在另一实施例变型中,借助于预留数据块作为例如XML标签沿着从认证器到移动网络节点的方向扩展WISPr XML协议方案,该预留数据块包含编码的EAP消息。沿着从移动网络节点到认证器的方向,在层3协议层中传送的被定义的位序列可以例如借助于附加EAP消息包含HTTP POST消息和/或HTTP GET消息和/或在已在HTTP请求中传送的XML块中传送EAP消息。所述变型具有与已经介绍的实施例变型相同的优点。
在实施例变型中,网络服务器如果被移动网络节点触发到新的URL上,则生成扩展响应,WISPr XML数据块被XML编码的EAP消息扩展。可以例如借助于包含HTTP Get消息的被定义的位序列由移动网络节点来触发网络服务器。所述变型具有与已经介绍的实施例变型相同的优点。
在另一实施例变型中,充当EAP对端的移动网络节点生成EAP响应消息,将其编码以便传送到认证器,并将其作为WISPr XML数据块的登录URL的参数添加在被定义的位序列中。例如还可以实现WISPr,因为移动节点到网络服务器的方向不使用XML。然后可以在URL的查询参数(HTTP GET)中或作为形式参数(HTTP POST)来传送信息。用于在L3协议层中传送编码的EAP消息的网络服务区可以例如借助于编码模块将其从被定义的位序列解码,并将其作为RADIUS请求消息中的EAP消息传送到AAA服务器。接收到RADIUS请求消息的AAA服务器可以例如生成接入接受RADIUS消息或接入拒绝RADIUS消息或接入询问RADIUS并将其作为RADIUS响应消息传送到网络服务器。可以例如借助于网络服务器从AAA服务器的RADIUS响应消息提取AAA服务器的EAP消息,并借助于编码模块在用于层3协议层中的被定义的位序列的XML响应中将所述AAA服务器的EAP消息编码并传送到移动网络节点。所述变型具有与已经介绍的实施例变型相同的优点。
在另一实施例变型中,在每次新的接入时改变WISPr登录URL,下一个登录URL是由网络服务器借助于包含HTTP响应消息的EAP请求消息确定的。所述变型除了别的以外还具有能够以快速且容易实现的方式来增强提供商安全的优点。
这里应强调的是除根据本发明的方法之外,本发明还涉及用于执行此方法的系统。
附图说明
下面将参考示例来描述本发明的实施例变型。用以下附图来举例说明实施例的示例:
图1示出示意性地举例说明基于802.1x的网络的方框图,其中EAP作为用于WiMAX认证的所选方法。IEEE 802.11标准的安全型式(称为802.1x)使用EAP作为认证机制。参考数字10是移动网络节点,参考数字20是不同接入点(AP),参考数字21是接入服务器(AS)或网络接入服务器(NAS)且参考数字22是AAA服务器。由于在认证之前不存在高达层3协议层的可能性,所以在认证之前不存在用于移动节点10的IP网络接入。目前,非常少的WLAN热点网络已部署了802.1x,因为这种方法固有地防止用户经由信用卡来购买因特网接入(即,不可能通过802.1x来提供UAM接入)。
图2示出同样示意性地举例说明基于802.11的接入无线网络的UAM认证的方框图。在“围墙花园”的概念中,围墙花园是防止连接在围墙花园内的设备在被认证之前接入因特网的“颠倒的”内部网。参考数字20是接入点(AP),参考数字10是移动IP节点,参考数字23是作为强制网络门户的网络服务器,参考数字24是NAS(网络接入服务器),参考数字25是DHCP服务器且参考数字22是AAA服务器。参考数字30是作为全球骨干网络的已知因特网。不同于802.1x,这种技术允许设备在被认证之前到达所有联网层,包括层3(即IP层)并针对会话被收费。这种技术的利害关系是围墙花园中的网络服务器23能够用来执行不同类型的认证,包括经由浏览器的认证和用信用卡进行的支付(用802.1x是不可能的)。UAM认证由于在不需要订阅的情况下直接在热点处支付的此可能性而非常受欢迎。
图3示出示意性地举例说明如提出的本发明的方框图。如图1所示,提出的架构满足对EAP架构的要求。EAP认证器42位于网络服务器23和NAS 24上。请注意,网络服务器23和NAS 24在大多数情况下将是两个不同的网络。然而,出于描述本发明的目的,那两个系统23/24提供一个集成单元。参考数字22再次是AAA服务器且参考数字43是EAP服务器。此外,10是移动网络节点或移动IP节点且41是EAP对端。移动IP节点10和接入点20经由由网络接口卡101/201进行的无线连接被连接。然而,请注意,网络节点10与系统之间的连接不需要是无线的。本发明还为例如以太网工作。来自IPASS的GIS也用漫游的有线接入进行工作。
图4示出示意性地举例说明如提出的本发明的方框图。WISPr协议被增补至包括编码的EAP消息。EAP认证器42位于网络服务器23/NAS 24上。网络服务器23/NAS 24充当沿WISPr客户端方向的WISPr服务器(即移动节点/设备10)且沿AAA服务器22的方向作为RADIUS客户端。AAA服务器22充当到RADIUS客户端的RADIUS服务器。然而,应注意的是可以将AAA服务器22实现为具有NAS 24的一个网络实体。AAA服务器22包括EAP服务器43且移动网络节点10包括EAP对端41。
图5示出示意性地举例说明WISPr大纲的方框图,作为用于客户端(参考图2)的基于网络的登录标准方法(UAM)。该操作大纲最初是由WLAN联盟在2003年2月发行的。WISPr规范定义了用来提交用户证书、对认证结果进行轮询等的XML方案。虽然在Wi-Fi联盟网站上不再可公开地获得,但此WISPr附件D是Wi-Fi电信行业中的事实标准。据估计,超过90%的商用热点网络将WISPr附件D实现为接入方法。客户端(图2中的参考数字10)包括客户端软件。网关是被访问WLAN网络上的WISPr服务器23。AAA是归属网络运营商处的认证服务器22。WISPr定义客户端10与网关23/24之间的支腿。网关与AAA之间的支腿是Radius或Diameter。
图6示出示意性地举例说明由Comfone AG和Service Factory AB在2004年开发的两阶段WISPr EAP认证的方框图。此技术解决方案允许通过WISPr使能热点进行EAP类型的认证。这种解决方案是两阶段方案,具有其中进行EAP认证的第一阶段。从此阶段出来,生成一次性用户名/口令,并且客户端然后继续进行正常的WISPr登录以打开WLAN会话。上文已描述了该技术的缺点。
具体实施方式
图3和4举例说明能够用来实现本发明的架构。图3示出示意性地举例说明用于在无线局域网(WLAN)31中对移动网络节点10进行认证的方法和系统的方框图。移动网络节点10包括无线网络接口101,例如无线网络接口卡(NIC)。然而,请注意,网络节点10与系统之间的连接不需要是无线的。本发明还为例如以太网工作。来自IPASS的GIS也用漫游的有线接入进行工作。为了进行认证,移动网络节点10经由无线网络接口101/201在接入点20处请求对WLAN 31的接入。重要的是请注意,本发明还可以适用于WiMAX。虽然现在WiMAX认证仅仅基于EAP,但可以想象在未来,WiMAX可以使用“围墙花园”方法。在封闭的第一网络区域(也称为“围墙花园”)内,在认证之前,借助于移动网络节点10来建立高达层3协议层(L3)的所有网络协议层。使用通用接入方法(UAM)在被实现为用于对移动网络节点10进行认证的强制网络门户的网络服务器23与层3协议层中的移动网络节点10之间传送包含移动网络节点10的认证数据的消息。在本申请中应将UAM一般地理解为例如基于802.11的用于WLAN的接入方法。作为方法的UAM可以允许订户接入WLAN,尤其是Wi-Fi网络,由此,仅使用因特网浏览器。因特网浏览器例如用登录页面打开,在登录页面中,用户必须在被许可接入网络之前填写其证书(通常是用户名和口令)。还可以将UAM理解为HTTP(超文本传输协议)或多个HTTP(安全HTTP(S-HTTP)协议层上的接入信息交换方法。网页页面的所有标准传输(HTTP/多个HTTP上的HTML)以及能够在HTTP上运行的其它方法(例如HTTP/多个HTTP上的XML/SOAP)落在此种类中。就此而论,将HTTP理解为无状态底层协议,其能够定义如何对消息进行格式化和传送,响应于各种命令应采取什么动作,例如网络服务器和浏览器。所述多个HTTP协议被理解为对HTTP的扩展,其允许在网络中的HTTP层上安全地传送数据。例如用多个HTTP,可以通过使用例如SSL(安全套接层)协议来创建客户端与服务器之间的安全连接,通过该连接,能够安全地发送任何量的数据。因此,使用多个HTTP,能够安全地传送单独消息。如果授权是成功的,则网络接入服务器(NAS)24使得能够实现移动网络节点10到第二网络区域30的接入。第二网络区域30可以是例如全球骨干网络因特网、内部网或由网络接入服务器24控制的任何其它第二网络区域。
图3中的参考数字10涉及移动网络节点或移动IP节点,其在其布置上具有包括硬件和软件部件的所需基础设施以实现根据本发明的所述方法和/或系统。除了别的之外,还应将移动节点10理解为是供在各种网络位置处和/或各种网络中使用的所有可能的所谓的客户端设备(CPE)。这些包括例如所有具有IP能力的设备,诸如,例如PDA、移动无线电电话和膝上型计算机。移动CPE或节点10可以具有也能够支持多个不同网络标准的一个或多个不同物理网络接口101。因此,参考数字101/201是适当的网络接口卡(NIC)。移动节点的物理网络接口可以包括例如到WLAN(无线局域网)、蓝牙、GSM(全球移动通信系统)、GPRS(通用分组无线电服务)、USSD(非结构化补充数据服务)、UMTS(通用移动电信系统)和/或以太网或另一有线LAN(局域网)等的接口。参考数字50是基于IEEE 802.11,但是可以包括不同的异构网络,诸如,例如,例如用于安装在上盖区域中的蓝牙网络、具有GSM和/或UMTS的移动无线电网络等、例如基于IEEE无线802.1x的无线LAN,而且还有有线LAN,即本地固定网络,特别地还有PSTN(公共交换电话网)等。原则上,可以说根据本发明的方法和/或系统未被束缚于特定的网络标准,只要存在根据本发明的特征,而可以用基于围墙花园32技术结构的任何LAN来实现。移动网络节点10的接口101不仅可以是诸如直接被例如以太网或令牌环的网络协议使用的分组交换接口,而且还可以是可以与诸如PPP(点到点协议,参见IETF RFC)、SLIP(串行线因特网协议)或GPRS(通用分组无线电服务)的协议一起使用的电路交换接口,即例如不具有诸如MAC或DLC地址的网络地址的那些接口。如之前部分地所述的,通信可以例如借助于特殊的短消息(例如SMS(短消息服务)、EMS(增强型消息服务))通过LAN、通过例如USSD(非结构化补充服务数据)或其它技术(比如MExE(移动执行环境)、GPRS(通用分组无线电服务)、WAP(无线应用协议)或UMTS(通用移动电信系统))或者通过IEEE无线802.1x或经由另一用户信息通道来进行。移动网络节点10是移动IP节点,其可以包括移动IP模块和/或IPsec模块。移动IP的主要任务由在IP网络中对IP节点10或IP节点10的用户进行认证和相应地重新路由具有移动节点10作为目的地地址的IP分组构成。对于其它移动IP规范而言,还参见例如IETF(因特网工程任务组)RFC 2002,IEEE Comm. Vol. 35 No. 5 1997等。移动IP尤其支持IPv6和IPv4。可以优选地将移动IP能力与IPsec(IP安全协议)模块的安全机制组合以保证公共因特网中的安全的移动数据管理。IPsec(IP安全协议)在利用IPsec的网络集线器之间逐个分组或逐个套接字地生成认证/机密性机制。IPsec的灵活性之一尤其在于其能够被逐个分组地以及针对单独套接字进行配置。IPsec支持IPvx,尤其是IPv6和IPv4。对于详细的IPsec规范,参考例如Pete Loshin:IP安全架构;Morgan Kaufmann出版社;11/1999或A Technical Guide to IPsec;James S等人;CRC Press,LLC;12/2000等。虽然在本实施例示例中在描述IP层上的安全协议的使用时使用IPsec作为示例,但根据本发明,可以设想所有其它可能的安全协议或安全机制或者甚至省略安全协议。
在网络服务器23和/或网络接入服务器24上生成基于可扩展认证协议(EAP,在IETF处定义,参见IETF RFC 4648)的认证器42。接入点20可以包括适当的接入点端口接入实体(PAE)202和/或未授权端口203。应注意的是在基于802.1x的系统实现中,在接入点20上进行端口控制,其中,在基于WISPr上的EAP的系统实现中,在NAS 24上进行端口控制。在认证器42与移动网络节点10之间借助于包含编码的EAP消息的被定义的位序列双向地扩展层3协议层,其包括EAP对端41和客户端端口接入入口(PAE)103。可以例如在层2协议层(L2)中生成对网络的媒体介入,并且可以例如基于802.11 WLAN网络31来生成对物理层1(L1)的接入。可以将层3协议层生成为WISPr协议层。在移动网络节点10进行的接入请求的情况下,网络服务器23通过借助于编码模块231将用于层3协议层的EAP消息请求编码并借助于被定义的位序列在层3协议层中传送编码的消息请求来向移动网络节点10传送认证刺激。移动网络节点10借助于编码模块104从被定义的位序列将EAP消息请求解码并借助于被定义的位序列在层3协议层中向认证器42传送编码的EAP响应消息。EAP响应消息包括移动网络节点10的认证数据。认证数据可以例如包括SIM卡102的身份(ID)参考和/或口令和/或散列值和/或IMSI。网络服务器23借助于编码模块231从位序列将EAP响应消息解码,并借助于认证查询将其传送到包括EAP服务器43的AAA服务器22。可以例如由RADIUS或DIAMETER协议层来实现网络服务器23与AAA服务器22之间的认证查询。基于AAA服务器22的认证响应,网络接入服务器24使得第二网络区域30能够供移动网络节点10使用。
可以将基于UAM的WLAN 31实现为无线因特网服务提供商漫游网络(WISPr),其中,基于网络服务器23与移动网络节点10之间的WISPr消息在层3协议层中传送包含移动网络节点10的认证数据的消息。借助于编码模块104/231,向和从定义的XML字符集双向地转换二进制EAP消息,并将所述二进制EAP消息插入L3协议层中和/或借助于编码模块104/231将所述二进制EAP消息从L3协议层提取出来。可以例如基于IETF Base64编码(参见IETF RFC 4648)借助于编码模块104/231来完成该转换。沿着从认证器42到包括EAP对端41的移动网络节点的方向,可以例如借助于预留数据块来扩展WISPr XML协议方案,该预留数据块包含编码的EAP消息。同样地,沿着从移动网络节点10的对端41到认证器42的方向,在层3协议层中传送的被定义的位序列可以例如借助于附加EAP消息来包含HTTP POST消息和/或HTTP GET消息。还可以实现WISPr,因为移动节点10至网络服务器23的方向不使用XML。在URL的查询参数(HTTP GET)中或作为形式参数(HTTP POST)来传送信息。网络服务器23如果被移动网络节点10触发到新URL上,则可以例如生成扩展响应,WISPr XML数据块被XML编码的EAP消息扩展。可以由移动网络节点10借助于包含HTTP Get消息的被定义的位序列来触发网络服务器23。包括EAP对端41的移动网络节点10可以例如生成EAP响应消息,并借助于编码模块104将其编码以便传送到认证器42,并将其作为WISPr XML数据块的登录URL的参数添加在被定义的位序列中。网络服务器23可以例如借助于编码模块231从被定义的位序列将来自L3协议层中的传输的EAP消息解码,并将其作为RADIUS请求消息中的EAP消息传送到AAA服务器22。接收到RADIUS请求消息的AAA服务器22可以例如生成接入接受RADIUS消息或接入拒绝RADIUS消息并将其作为RADIUS响应消息传送到网络服务器23。可以例如借助于网络服务器23从AAA服务器22的RADIUS响应消息提取AAA服务器22的EAP消息,并且可以例如借助于编码模块231在用于层3协议层中的被定义的位序列的XML响应中对所述EAP消息进行编码并将所述EAP消息传送到移动网络节点10。作为附加实施例变型,可以在每次新的接入时改变WISPr登录URL,下一个登录URL是由网络服务器23借助于包含HTTP响应消息的EAP请求消息确定的。在本文中,作为特殊实施例变型,客户端或移动节点10还可以例如接收两个或者甚至多个登录URL,其中,它们中的一个用于正常用户名/口令。
如图3所示,提出的架构实现满足EAP架构。EAP认证器42位于网络服务器23和NAS 24上。重要的是请注意网络服务器23和NAS 24在大多数情况下将是两个不同的网络。然而,出于描述本发明的目的,那两个系统提供一个集成单元。作为本发明的一部分,WISPr协议被增补至包括EAP消息(参见图4)。EAP认证器42位于网络服务器23/NAS 24上。网络服务器23/NAS 24充当沿WISPr客户端(即移动节点/设备10)方向的WISPr服务器且沿AAA服务器22的方向作为RADIUS客户端。AAA服务器22充当到RADIUS客户端的RADIUS服务器。AAA服务器22包括EAP服务器43且移动网络节点10包括EAP对端41。所述被定义的位序列是作为附加字段产生的以沿着两个方向载送编码的EAP消息。可以分别由移动网络节点10和网络服务器23的适当编码模块104/231来完成编码和解码。EAP分组的可能编码是IETF Base64编码。编码是必需的,因为EAP是二进制格式且XML具有有限字符集。用Base64编码,可以在考虑XML的字符集的同时传送EAP分组的字节。还对WISPr协议进行增补。在认证器42至对端41的方向上,由被定义的位序列将WISPr XML方案扩展至包括包含编码的EAP消息的新字段(例如<eap> …… </eap>)。在对端41至认证器42的方向上,以完成HTTP POST时的形式来通知作为被定义的位序列的附加变量(例如EAP=……)。在执行HTTP GET而不是HTTP POST的情况下,还可以将此参数添加到URL查询参数列表。然而,给定EAP消息的长度,这可能引起问题。WISPr现在被指定为使用POST。
WISPr服务器23在被任意URL上的HTTP Get触发时将在其返回到移动网络节点10的WISPr XML块中包括已编码EAP请求消息。充当EAP对端41的移动网络节点10产生EAP响应,其被针对传输编码并作为在WISPr XML块中传递的登录URL中的参数被传送回来。接收到EAP编码消息的WISPr服务器23将对分组进行解码(即将其变换回二进制)并将其作为Radius请求中的EAP消息朝着AAA服务器22发送。现在,WISPr服务器提取用户名/口令并将其在Radius请求的适当属性中发送(例如用户名和用户口令Radius属性)。AAA服务器22可以发送回随后被编码并在HTTP响应中被传送回到对端的接入询问。后者然后使用登录URL上的HTTP请求将EAP响应发送回到EAP认证器42。可以发生询问/请求的更多迭代。最后,AAA服务器22返回接入接受、接入拒绝Radius消息。此Radius消息可以包含EAP消息。如果存在此类EAP消息,则WISPr服务器23将其从Radius消息提取,将其编码以可通过XML传送,并将其放入被发送回到移动设备10上的客户端软件的XML响应中。
在WISPr规范中定义的轮询在此EAP扩展的情况下用以与在当前WISPr 1.0的情况下相同的方式工作。WISPr登录URL在每次迭代时可以是不同的。由WISPr服务器23在包含EAP请求的HTTP响应中指示下一个登录URL。虽然相当简单,但这种方法开辟了通过基于XML的UAM的EAP认证方法的可能性(对SIM 102、证书认证的支持)。在已支持WISPr的客户端软件中实现此类扩展是相当直接的。其还要求对热点运营商的基础设施的最少变化并能够充当其基础设施到双802.11和802.1x的昂贵升级的替代。用本发明,WISP变成用于EAP消息的另一传送协议。与WiMAX的会聚则变得直接,因为然后所有EAP认证方案得到支持。虽然WISPr是本发明的主要目标,但本发明能够应用于任何基于UAM的登录方法。
EAP被设计为在链路层(层2)上运行。所有链路层具有最大MTU(最大传输单元)尺寸。MTU提供网络能够传送的以字节为单位测量的最大物理分组尺寸。大于MTU的任何消息在被发送之前被划分成较小分组。通常,每个网络具有能够由网络管理员来设置的不同MTU。移动网络节点10可以设置MTU。这定义从你的计算机发送到网络上的分组的最大尺寸。理想地,可以将MTU设置为与节点和消息的最终目的地之间的所有网络的最小MTU相同。否则,如果消息大于中间MTU中的一个,则其将被破碎(分段),这减慢了传输速度。某些EAP方法,例如EAP-TLS,能够产生相当大的消息。可以在传输之前将此类消息分段,因为链路层不能进行分段和重组。对端41和EAP服务器22负责传输之前的分段和接收时的重组。在本发明中,分段可以在对端41和EAP服务器22处保持,或者分段和重组可以在NAS 24处发生。在后一种情况下,EAP对端将完整的EAP消息发送到网络服务器23,无论消息的尺寸如何(HTTP提供对非常大的消息的支持)。NAS 24然后基于其对MTU尺寸的了解(配置值或自动检测)将消息分段。NAS 24运行处理分段和重新传送的那部分EAP有限状态机。当AAA服务器22发送EAP消息的片段时,NAS 24确认那些片段并重构经由HTTP相应传送到设备的整个消息。由于分段是EAP方法相关的,所以为了执行分段和重组,NAS 24必须是EAP方法知道的。
可以在WISPr的初始改向消息中或在任何后续消息中传送由网络服务器23和NAS 24朝着对端41发起的EAP身份请求。前一选择是优选的,因为其使通信优化并能够用作热点支持EAPoWISPr认证的指示符。EAP结构指定认证器(即NAS 24)触发对身份的请求。作为实施例变型,移动节点可以例如发送用于EAP的触发器。此触发器已包含其身份。作为NAS 24再次询问移动网络节点10的身份的替代(按照EAP RFC),认证器可以直接请求询问(其可以例如基本上使用由移动节点在原始请求中提供的身份)。在一个实施例变型中,热点可以返回单独的URL以用于WISProEAP认证。另一实施方式可以使用正常WISPr登录URL参数来指示对端41必须将EAP响应张贴在哪里。包括用于WISPr的所述XML的所提出的发明解决方案在现有技术中未以任一方式已知。
注意到网络服务器23借助于认证请求从位序列将EAP响应消息解码并将其传送到AAA服务器222也是重要的,其中,由于认证请求可以例如包括几轮的RADIUS询问/请求,直至AAA服务器22接受或拒绝该认证。基于AAA服务器22的认证响应,使得能够借助于网络接入服务器24接入第二网络区域30以供移动网络节点10使用。
参考数字列表
10 移动网络节点
101 网络接口(NIC)/无线网络接口
102 SIM卡
103 客户端端口接入实体(PAE)
104 编码模块
20 接入点
201 无线网络接口(NIC)
202 接入点端口接入实体(PAE)
203 未授权端口
21 接入服务器
22 AAA服务器
23 网络服务器
231 编码模块
24 网络接入服务器(NAS)
25 DHCP服务器
30 因特网或第二网络区域
31 无线局域网
32 围墙花园或第一网络区域
41 EAP对端
42 EAP认证器
43 EAP服务器
50 经由WLAN(例如无线802.11)的无线连接
51 具有EAP扩展的WISPr
52 具有EAP消息的RADIUS
L1 层1协议层/物理层
L2 层2协议层/MAC层
L3 层2协议层/TCP/IP层
Claims (18)
1.一种用于在无线局域网WLAN(31)中对移动网络节点(10)进行认证的方法,其中,经由网络接口(101/201),移动网络节点(10)请求在接入点(20)处接入WLAN(31),其中,在封闭的第一网络区域即围墙花园(32)内,在认证之前,借助于移动网络节点(10),建立高达层3协议层(L3)的所有网络协议层,并且其中,在作为强制网络门户的网络服务器(23)与移动网络节点(10)之间,使用通用接入方法(UAM)在层3协议层中传送包含移动网络节点(10)的认证数据的消息,并且如果认证和/或授权是成功的,则网络接入服务器(24)使得能够实现移动网络节点到第二网络区域(30)的接入,其特征在于
在网络服务器(23)和/或网络接入服务器(24)上生成基于可扩展认证协议(EAP)的认证器(42),认证器(42)与包括EAP对端(41)的移动网络节点(10)之间的层3协议层借助于包含已编码EAP消息的被定义的位序列被双向地扩展,其中所述包含移动网络节点(10)的认证数据的消息基于在认证器(42)和移动网络节点(10)之间的WISPr XML协议方案在层3协议层中传送,且其中在从认证器(42)至包括对端(41)的移动网络节点(10)的方向上,借助于预留数据块来扩展所述WISPr XML协议方案,所述预留数据块包含编码的EAP消息,以及将基于UAM的WLAN(31)实现为无线因特网服务提供商漫游网络WISPr;
在于在由移动网络节点(10)进行接入请求的情况下,认证器(42)通过借助于所述认证器(42)的编码模块(231)将用于层3协议层的EAP请求消息编码并借助于被定义的位序列将其在层3协议层中传送来向移动网络节点(10)传送认证刺激,
在于移动网络节点(10)借助于所述移动网络节点(10)的编码模块(104)将来自被定义的位序列的EAP请求消息解码,并借助于被定义的位序列在层3协议层中向认证器(42)传送已编码EAP响应消息,EAP响应消息包括移动网络节点(10)的认证数据,
在于认证器(42)借助于编码模块(231)从位序列中将EAP响应消息解码,借助于一个认证请求或多个认证询问/请求将其传送到包括EAP服务器(43)的AAA服务器(22),并且基于由AAA服务器(22)进行的认证响应,借助于网络接入服务器(24)使得能够接入第二网络区域(30)以供移动网络节点(10)使用。
2.根据权利要求1所述的对移动网络节点(10)进行认证的方法,其特征在于由RADIUS或DIAMETER协议层来实现认证器(42)与AAA服务器(22)之间的认证查询。
3.根据权利要求1或2所述的对移动网络节点(10)进行认证的方法,其特征在于所述认证数据包括SIM卡(102)的身份(ID)参考、口令、散列值IMSI或其任意组合。
4.根据权利要求1或2所述的对移动网络节点(10)进行认证的方法,其特征在于在层2协议层(L2)中产生媒体接入,并基于802.11 WLAN网络(31)产生对物理层1(L1)的接入。
5.根据权利要求1或2所述的对移动网络节点(10)进行认证的方法,其特征在于基于WISPr结构来实现层3协议层。
6.根据权利要求1或2所述的对移动网络节点(10)进行认证的方法,其特征在于借助于编码模块(104/231),双向地,将二进制EAP消息转换成定义的XML字符集以及从定义的XML字符集转换到二进制EAP消息,以及将所述二进制EAP消息插入层3协议层中,和/或借助于编码模块(104/231)从层3协议层将二进制EAP消息提取出来。
7.根据权利要求6所述的对移动网络节点(10)进行认证的方法,其特征在于基于IETF Base64编码借助于编码模块(104/231)来完成该转换。
8.根据权利要求1或2所述的对移动网络节点(10)进行认证的方法,其特征在于在从移动网络节点(10)的对端(41)至认证器(42)的方向上,在层3协议层中传送的被定义的位序列借助于附加EAP消息而包含HTTP POST消息和/或HTTP GET消息,和/或在HTTP请求中用传送的XML块来传送EAP消息。
9.根据权利要求1或2所述的对移动网络节点(10)进行认证的方法,其特征在于网络服务器(23)如果被移动网络节点(10)触发到新的URL上则生成扩展响应,WISPr XML数据块被XML编码的EAP消息扩展。
10.根据权利要求9所述的对移动网络节点(10)进行认证的方法,其特征在于由移动网络节点(10)借助于包含HTTP Get消息的被定义的位序列来触发网络服务器(23)。
11.根据权利要求7所述的对移动网络节点(10)进行认证的方法,其特征在于包括EAP对端(41)的移动网络节点(10)生成EAP响应消息,借助于编码模块(104)将所述EAP响应消息编码以便传送到认证器(42),并将所述EAP响应消息作为WISPr XML数据块的登录URL的参数添加在被定义的位序列中。
12.根据权利要求1或2所述的对移动网络节点(10)进行认证的方法,其特征在于在层3协议层中对已编码EAP消息的传输中,网络服务器(23)借助于编码模块(231)将已编码EAP消息从被定义的位序列解码,并将已解码EAP消息作为RADIUS请求消息中的EAP消息传送到AAA服务器(22)。
13.根据权利要求12所述的对移动网络节点(10)进行认证的方法,其特征在于接收RADIUS请求消息的AAA服务器(22)生成接入接受RADIUS消息或接入拒绝RADIUS消息或接入询问RADIUS消息并将其作为RADIUS响应消息传送到网络服务器(23)。
14.根据权利要求12所述的对移动网络节点(10)进行认证的方法,其特征在于借助于网络服务器(23)从AAA服务器(22)的RADIUS响应消息中提取AAA服务器(22)的EAP消息,并借助于编码模块(231)将所述EAP消息在用于层3协议层中的被定义的位序列的XML响应中编码并将其传送到移动网络节点(10)。
15.根据权利要求12所述的对移动网络节点(10)进行认证的方法,其特征在于在每次新的接入时改变WISPr登录URL,下一个登录URL是由网络服务器(23)借助于包含HTTP响应消息的EAP请求消息确定的。
16.根据权利要求12所述的对移动网络节点(10)进行认证的方法,其特征在于移动网络节点(10)接收两个或多个登录URL,其中,它们中的一个用于正常用户名/口令认证。
17.一种用于在无线局域网WLAN(31)中对移动网络节点(10)进行认证的系统,其中所述系统包括所述移动网络节点(10),且其中,为了接入WLAN(31),移动网络节点(10)包括无线网络接口(101),其中,该系统包括封闭的第一网络区域即围墙花园(32),其中所述移动网络节点(10)包括用于在认证之前建立高达层3协议层的所有层的装置,并且其中,封闭的第一网络区域(32)包括被实现为用于对移动网络节点(10)进行认证的强制网络门户的网络服务器(23),其具有用于基于通用接入方法(UAM)在层3协议层中向移动网络节点(10)传送包含移动网络节点(10)的认证数据的消息的装置,并且其中,封闭的第一网络区域包括网络接入服务器(24),其用于在认证和/或授权成功的情况下生成用于移动网络节点(10)对第二网络区域(30)的接入和激活,其特征
在于网络服务器(23)和/或网络接入服务器(24)包括基于可扩展认证协议(EAP)的认证器(42),而认证器(42)与移动网络节点(10)之间的层3协议层被包含已编码EAP消息的附加的被定义的位序列双向地扩展,其中所述包含移动网络节点(10)的认证数据的消息用于基于在认证器(42)和移动网络节点(10)之间的WISPr XML协议方案在层3协议层中传送,且其中在从认证器(42)至包括对端(41)的移动网络节点(10)的方向上,所述WISPr XML协议方案借助于预留数据块而被扩展,所述预留数据块包含编码的EAP消息,以及将基于UAM的WLAN (31)实现为无线因特网服务提供商漫游网络WISPr,
在于在层3协议层中,在由移动网络节点(10)进行接入请求的情况下,在认证之前,层3协议层中的被定义的位序列包括已编码EAP请求消息,作为借助于认证器(42)的编码模块(231)编码的认证刺激,
在于移动网络节点(10)包括编码模块(104)以从被定义的位序列中将已编码EAP请求消息解码并将包括认证数据的EAP响应消息编码以由移动网络节点(10)在层3协议层中的被定义的位序列中传送到认证器(42),
在于所述认证器(42)的编码模块(231)包括从位序列中将传送的EAP响应消息解码,并借助于认证查询将其传送到AAA服务器(22)的装置,而网络服务器(23)和/或网络接入服务器(24)包括基于接收到的AAA服务器(22)的认证响应来激活网络接入服务器(24),以使得能够实现移动网络节点(10)对第二网络区域(30)的接入的装置。
18.根据权利要求17所述的用于在无线局域网WLAN(31)中对移动网络节点(10)进行认证的系统,其特征在于在认证器(42)和移动网络节点(10)之间由编码模块(104/231)进行的层3协议层中的EAP消息编码包括二进制EAP消息的XML编码。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2009/054118 WO2010115455A1 (en) | 2009-04-07 | 2009-04-07 | Method and system for authenticating a network node in a uam-based wlan network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102461230A CN102461230A (zh) | 2012-05-16 |
| CN102461230B true CN102461230B (zh) | 2015-06-17 |
Family
ID=41337075
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200980159730.3A Active CN102461230B (zh) | 2009-04-07 | 2009-04-07 | 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8806587B2 (zh) |
| EP (2) | EP2417789B1 (zh) |
| CN (1) | CN102461230B (zh) |
| HK (1) | HK1167770A1 (zh) |
| WO (1) | WO2010115455A1 (zh) |
Families Citing this family (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8874477B2 (en) | 2005-10-04 | 2014-10-28 | Steven Mark Hoffberg | Multifactorial optimization system and method |
| US9826102B2 (en) | 2006-04-12 | 2017-11-21 | Fon Wireless Limited | Linking existing Wi-Fi access points into unified network for VoIP |
| US7924780B2 (en) | 2006-04-12 | 2011-04-12 | Fon Wireless Limited | System and method for linking existing Wi-Fi access points into a single unified network |
| US8676195B2 (en) * | 2006-04-14 | 2014-03-18 | Aicent, Inc. | Fixed mobile roaming service solution |
| JP5389259B2 (ja) * | 2009-06-04 | 2014-01-15 | ブラックベリー リミテッド | Radius互換プロトコルを用いた移動端末への隣接ネットワーク情報の通信の促進における使用のための方法および装置 |
| WO2012036992A2 (en) * | 2010-09-15 | 2012-03-22 | Intel Corporation | Mobile device and method for secure on-line sign-up and provisioning for wi-fi hotspots using soap-xml techniques |
| US9319880B2 (en) * | 2010-09-15 | 2016-04-19 | Intel Corporation | Reformatting data to decrease bandwidth between a video encoder and a buffer |
| WO2012068462A2 (en) * | 2010-11-19 | 2012-05-24 | Aicent, Inc. | Method of and system for extending the wispr authentication procedure |
| US8910300B2 (en) | 2010-12-30 | 2014-12-09 | Fon Wireless Limited | Secure tunneling platform system and method |
| US9716999B2 (en) | 2011-04-18 | 2017-07-25 | Syniverse Communicationsm, Inc. | Method of and system for utilizing a first network authentication result for a second network |
| US9288671B2 (en) | 2011-06-16 | 2016-03-15 | Accuris Technologies Limited | Device authentication method and devices |
| US8590023B2 (en) | 2011-06-30 | 2013-11-19 | Intel Corporation | Mobile device and method for automatic connectivity, data offloading and roaming between networks |
| CN102223635B (zh) * | 2011-07-07 | 2013-12-11 | 北京交通大学 | 一种基于802.1x认证协议的WLAN可信传输的实现方法 |
| US9571482B2 (en) * | 2011-07-21 | 2017-02-14 | Intel Corporation | Secure on-line sign-up and provisioning for Wi-Fi hotspots using a device management protocol |
| US8838070B2 (en) | 2011-09-13 | 2014-09-16 | Aicent, Inc. | Method of and system for data access over dual data channels with dynamic sim credential |
| EP2820797A1 (en) * | 2012-02-29 | 2015-01-07 | Interdigital Patent Holdings, Inc. | Provision of network access and network services without subscription or pre-paid agreement |
| US9129124B2 (en) * | 2012-04-12 | 2015-09-08 | Hewlett-Packard Development Company, L.P. | Dynamic provisioning of virtual systems |
| US9801124B2 (en) * | 2012-05-01 | 2017-10-24 | Qualcomm Incorporated | Systems and methods for configuring connectivity in a wireless network |
| US9578548B2 (en) * | 2012-06-22 | 2017-02-21 | Futurewei Technologies, Inc. | System and method for configuring multiple IP connections |
| US8885570B2 (en) | 2012-07-11 | 2014-11-11 | Empire Technology Development Llc | Schemes for providing private wireless network |
| US9088891B2 (en) * | 2012-08-13 | 2015-07-21 | Wells Fargo Bank, N.A. | Wireless multi-factor authentication with captive portals |
| US9357385B2 (en) | 2012-08-20 | 2016-05-31 | Qualcomm Incorporated | Configuration of a new enrollee device for use in a communication network |
| US9307408B2 (en) | 2012-12-27 | 2016-04-05 | Intel Corporation | Secure on-line signup and provisioning of wireless devices |
| US9479595B2 (en) | 2013-02-05 | 2016-10-25 | Intel IP Corporation | Online signup provisioning techniques for hotspot connections |
| US9124911B2 (en) | 2013-02-15 | 2015-09-01 | Cox Communications, Inc. | Storage optimization in a cloud-enabled network-based digital video recorder |
| WO2014133588A1 (en) * | 2013-03-01 | 2014-09-04 | Intel Corporation | Techniques for establishing access to a local wireless network |
| US9450934B2 (en) * | 2013-03-15 | 2016-09-20 | Cox Communications, Inc. | Managed access to content and services |
| US10154025B2 (en) * | 2013-03-15 | 2018-12-11 | Qualcomm Incorporated | Seamless device configuration in a communication network |
| WO2014175919A1 (en) * | 2013-04-26 | 2014-10-30 | Intel IP Corporation | Shared spectrum reassignment in a spectrum sharing context |
| US9294920B2 (en) | 2013-09-21 | 2016-03-22 | Avaya Inc. | Captive portal systems, methods, and devices |
| US9307405B2 (en) | 2013-10-17 | 2016-04-05 | Arm Ip Limited | Method for assigning an agent device from a first device registry to a second device registry |
| US9860235B2 (en) | 2013-10-17 | 2018-01-02 | Arm Ip Limited | Method of establishing a trusted identity for an agent device |
| US10069811B2 (en) | 2013-10-17 | 2018-09-04 | Arm Ip Limited | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| US20150288578A1 (en) * | 2013-10-21 | 2015-10-08 | Centurylink Intellectual Property Llc | InstaLink: Instant Provisioning of Network Services |
| GB2529838B (en) | 2014-09-03 | 2021-06-30 | Advanced Risc Mach Ltd | Bootstrap Mechanism For Endpoint Devices |
| GB2530028B8 (en) | 2014-09-08 | 2021-08-04 | Advanced Risc Mach Ltd | Registry apparatus, agent device, application providing apparatus and corresponding methods |
| US10951519B2 (en) | 2015-06-17 | 2021-03-16 | Oracle International Corporation | Methods, systems, and computer readable media for multi-protocol stateful routing |
| GB2540987B (en) | 2015-08-03 | 2020-05-13 | Advanced Risc Mach Ltd | Bootstrapping without transferring private key |
| GB2540989B (en) | 2015-08-03 | 2018-05-30 | Advanced Risc Mach Ltd | Server initiated remote device registration |
| US10084755B2 (en) * | 2015-08-14 | 2018-09-25 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) proxy and diameter agent address resolution |
| US10554661B2 (en) | 2015-08-14 | 2020-02-04 | Oracle International Corporation | Methods, systems, and computer readable media for providing access network session correlation for policy control |
| CN106817697B (zh) * | 2015-12-02 | 2019-06-07 | 中国电信股份有限公司 | 一种用于设备认证的方法、装置和系统 |
| CN105897764B (zh) * | 2016-06-15 | 2019-08-30 | 中电长城网际系统应用有限公司 | 一种安全认证方法、装置及系统 |
| US9769668B1 (en) | 2016-08-01 | 2017-09-19 | At&T Intellectual Property I, L.P. | System and method for common authentication across subscribed services |
| DK3459278T3 (da) * | 2016-10-31 | 2020-06-15 | Ericsson Telefon Ab L M | Autentifikation til næstegenerationssystemer |
| CN108696868B (zh) * | 2017-03-01 | 2020-06-19 | 西安西电捷通无线网络通信股份有限公司 | 用于网络连接的凭证信息的处理方法和装置 |
| CN110603891B (zh) * | 2017-05-08 | 2023-11-21 | 摩托罗拉移动有限责任公司 | 向移动通信网络进行认证的方法 |
| CN109005143B (zh) * | 2017-06-07 | 2022-03-04 | 上海中兴软件有限责任公司 | 一种调整网站负载的方法及装置 |
| US10136318B1 (en) | 2017-06-21 | 2018-11-20 | At&T Intellectual Property I, L.P. | Authentication device selection to facilitate authentication via an updateable subscriber identifier |
| US20190014095A1 (en) | 2017-07-06 | 2019-01-10 | At&T Intellectual Property I, L.P. | Facilitating provisioning of an out-of-band pseudonym over a secure communication channel |
| EP3554114A1 (de) * | 2018-04-10 | 2019-10-16 | Siemens Aktiengesellschaft | Verfahren, vorrichtungen und computerprogrammprodukt zur überwachung einer verschlüsselten verbindung in einem netzwerk |
| CN110401951B (zh) * | 2018-04-25 | 2022-10-18 | 华为技术有限公司 | 认证无线局域网中终端的方法、装置和系统 |
| US11457010B2 (en) | 2019-04-05 | 2022-09-27 | Comcast Cable Communications, Llc | Mutual secure communications |
| US11475134B2 (en) | 2019-04-10 | 2022-10-18 | Arm Limited | Bootstrapping a device |
| US10826945B1 (en) | 2019-06-26 | 2020-11-03 | Syniverse Technologies, Llc | Apparatuses, methods and systems of network connectivity management for secure access |
| EP3917102B1 (en) * | 2020-05-28 | 2022-07-27 | Deutsche Telekom AG | Method for providing enhanced and/or more efficient fixed-mobile convergence capabilities and/or device discovery capabilities within a telecommunications network, telecommunications network, home gateway device, program and computer-readable medium |
| US11283883B1 (en) | 2020-11-09 | 2022-03-22 | Oracle International Corporation | Methods, systems, and computer readable media for providing optimized binding support function (BSF) packet data unit (PDU) session binding discovery responses |
| EP4060947A1 (de) | 2021-03-16 | 2022-09-21 | Siemens Aktiengesellschaft | Authentifizieren eines knotens in einem kommunikationsnetz einer automatisierungsanlage |
| EP4060946A1 (de) * | 2021-03-16 | 2022-09-21 | Siemens Aktiengesellschaft | Authentifizieren eines gerätes in einem kommunikationsnetz einer automatisierungsanlage |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110673A (zh) * | 2006-07-17 | 2008-01-23 | 华为技术有限公司 | 利用一次eap过程执行多次认证的方法和装置 |
| EP1953991A1 (en) * | 2007-01-30 | 2008-08-06 | Matsushita Electric Industrial Co., Ltd. | Race condition resolution in mixed network- and host-based mobility mangement scenarios |
| CN101360020A (zh) * | 2008-09-28 | 2009-02-04 | 西安电子科技大学 | 基于eap的ieee802.1x安全协议的仿真平台及方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1620971A2 (en) * | 2003-04-29 | 2006-02-01 | Azaire Networks Inc. | Method and system for providing sim-based roaming over existing wlan public access infrastructure |
| ES2281599T3 (es) * | 2003-06-26 | 2007-10-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Aparato y metodo para la autentificacion de identificacion unica a traves de una red de acceso no confiable. |
| GB0325978D0 (en) | 2003-11-07 | 2003-12-10 | Siemens Ag | Transparent authentication on a mobile terminal using a web browser |
| US7812983B2 (en) * | 2005-03-25 | 2010-10-12 | Microsoft Corporation | Methods and systems for transferring binary data |
| US20070055752A1 (en) * | 2005-09-08 | 2007-03-08 | Fiberlink | Dynamic network connection based on compliance |
| EP2084930B1 (en) * | 2006-11-21 | 2013-10-23 | BlackBerry Limited | Saving a connection profile when unable to connect to a wireless local area network |
| US8036176B2 (en) * | 2007-06-08 | 2011-10-11 | Toshiba America Research, Inc. | MIH pre-authentication |
-
2009
- 2009-04-07 US US13/059,898 patent/US8806587B2/en active Active
- 2009-04-07 EP EP09779266.7A patent/EP2417789B1/en active Active
- 2009-04-07 EP EP20140154390 patent/EP2750426A1/en not_active Withdrawn
- 2009-04-07 WO PCT/EP2009/054118 patent/WO2010115455A1/en active Application Filing
- 2009-04-07 CN CN200980159730.3A patent/CN102461230B/zh active Active
-
2012
- 2012-08-22 HK HK12108247.0A patent/HK1167770A1/zh unknown
-
2014
- 2014-05-08 US US14/272,851 patent/US9015815B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101110673A (zh) * | 2006-07-17 | 2008-01-23 | 华为技术有限公司 | 利用一次eap过程执行多次认证的方法和装置 |
| EP1953991A1 (en) * | 2007-01-30 | 2008-08-06 | Matsushita Electric Industrial Co., Ltd. | Race condition resolution in mixed network- and host-based mobility mangement scenarios |
| CN101360020A (zh) * | 2008-09-28 | 2009-02-04 | 西安电子科技大学 | 基于eap的ieee802.1x安全协议的仿真平台及方法 |
Non-Patent Citations (1)
| Title |
|---|
| Stephen McCann等.Novel WLAN hotspot authentication.《3G Mobile Communication Technologies, 2004》.2004,第59-63页第3.3节,第4节、图3,图4. * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2750426A1 (en) | 2014-07-02 |
| WO2010115455A1 (en) | 2010-10-14 |
| CN102461230A (zh) | 2012-05-16 |
| EP2417789B1 (en) | 2014-07-30 |
| US20110154454A1 (en) | 2011-06-23 |
| EP2417789A1 (en) | 2012-02-15 |
| HK1167770A1 (zh) | 2012-12-07 |
| US8806587B2 (en) | 2014-08-12 |
| US9015815B2 (en) | 2015-04-21 |
| US20140245410A1 (en) | 2014-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102461230B (zh) | 用于在基于uam的wlan网络中对网络节点进行认证的方法和系统 | |
| CN107431701B (zh) | 使用现有凭证的到蜂窝网络的受赞助连通性 | |
| CN1534921B (zh) | 用于独立网络间的公共认证和授权的方法 | |
| CN102316093B (zh) | 用于移动设备的双模式多服务vpn网络客户端 | |
| CN1689369B (zh) | 用于经由接入网建立连接的方法和系统 | |
| KR101068424B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| EP2087689B1 (en) | Authentication in mobile interworking system | |
| CN110999356A (zh) | 网络安全管理的方法及装置 | |
| WO2006024969A1 (en) | Wireless local area network authentication method | |
| CN103229560A (zh) | 自动远程访问ieee802.11网络 | |
| TW200307441A (en) | Method and system for authenticating user of data transfer device | |
| JP2006515486A (ja) | セルラ通信システムにおいて再認証を可能にする方法および装置 | |
| CN1781278B (zh) | 用于在网络环境中提供端到端认证的系统和方法 | |
| EP2215803B1 (en) | Network access authentication | |
| CN107733764A (zh) | 虚拟可扩展局域网隧道的建立方法、系统以及相关设备 | |
| Zhang et al. | Virtual operator based AAA in wireless LAN hot spots with ad-hoc networking support | |
| Leu et al. | Running cellular/PWLAN services: practical considerations for cellular/PWLAN architecture supporting interoperator roaming | |
| CN101783806B (zh) | 一种Portal证书认证方法及其装置 | |
| CN1469604A (zh) | 一种基于无线分组网网关的上网方法 | |
| Janevski | AAA system for PLMN-WLAN internetworking | |
| JP5864453B2 (ja) | 通信サービス提供システムおよびその方法 | |
| WO2013098840A2 (en) | A system and a method to provide wireless data services ensuring a secure network platform | |
| JP2014036422A (ja) | 複数網間でのフィルタリングシステム及び方法 | |
| CN116636293A (zh) | 无线住宅网关及室内基站 | |
| CN103856933A (zh) | 一种漫游终端的认证方法、装置及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1167770 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1167770 Country of ref document: HK |