CN106105134B - 用于改进端到端数据保护的方法和装置 - Google Patents
用于改进端到端数据保护的方法和装置 Download PDFInfo
- Publication number
- CN106105134B CN106105134B CN201480077294.6A CN201480077294A CN106105134B CN 106105134 B CN106105134 B CN 106105134B CN 201480077294 A CN201480077294 A CN 201480077294A CN 106105134 B CN106105134 B CN 106105134B
- Authority
- CN
- China
- Prior art keywords
- terminal
- eap
- authentication protocol
- certification
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开内容一般涉及网络认证的领域。更具体地说,本公开内容涉及确定用于在终端与通信网络的认证服务器之间的认证的认证协议的集合的技术。方法实施例包括以下步骤:获得(S402)与所述终端(100)、接入网络和至少一个网关节点(320)或中间网络至少之一有关的信息,其中所述终端(100)经由所述接入网络连接到所述通信网络,所述终端(100)经由所述至少一个网关节点(320)或中间网络连接到所述通信网络;以及基于获得的信息,从可用于在终端(100)与认证服务器(200)之间认证的多个认证协议中确定用于终端(100)与认证服务器(200)之间的认证的要朝向终端(100)提供的认证协议的集合和要由终端(100)支持的认证协议的集合至少之一。
Description
技术领域
本公开内容一般涉及网络认证的领域。更具体地说,本公开内容涉及确定用于在终端与通信网络的认证服务器之间的认证的认证协议的集合的技术。
背景技术
在典型的第三代合作伙伴计划(3GPP)中,Wi-Fi网络设定、用户设备(UE)、接入点(AP)、接入控制器(AC)、Wi-Fi网关及认证、授权和计费(AAA)服务器可属于不同运营商,并且可甚至位于不同网络(例如,共享网络)中。这导致例如接入网络(AP/AC)或Wi-Fi网关的一些网络组件可受信任或不受信任,但UE无法知道或确定此。一些(受信任)网络组件可知晓此,但可能不能够相应地通知UE。换而言之,在使用的网络或其部分可受信任或不受信任。从网络角度而言,像上面提及的组件的中间网络组件和/或尝试连接的对等端(peer)(UE)也可受信任或不受信任。
为在UE与网络之间提供更安全的连接,已经提议在UE与网络之间的认证。认证可被视为验证实体的身份的过程。
可扩展认证协议(EAP)是无线网络和点对点连接中经常使用的认证框架。它在请求注解(RFC) 3748中定义,并且由RFC 5247更新。EAP当前使用广泛。例如,在IEEE 802.11(Wi-Fi)中,Wi-Fi受保护的接入(WPA)和WPA2标准已采纳IEEE 802.1X,其具有五种EAP类型作为正式认证机制。
EAP标准在端到端数据加密上无强制要求。因此,在UE与AAA服务器之间的任何纯文本数据传送对中间人攻击是开放的。这基本上使订户对数据/身份盗窃完全开放。
RFC 3748描述EAP类型(方法)的简单锁定步骤(逐一尝试)自动协调以发起对等端认证。目前定义了大约20种EAP方法。EAP RFC允许多达253种“标准”方法。支持更多供应商特定的类型是可能的。为了成功认证,UE和网络必须对双方均支持的EAP方法达成一致。然而,即使在“仅”20种EAP方法的情况下,这也能够是冗长和烦琐的过程。
发明内容
相应地,需要改进的认证技术。
根据第一方面,提供了一种确定用于在终端与通信网络的认证服务器之间的认证的认证协议的集合的方法。方法包括获得与终端、接入网络和至少一个网关节点或中间网络至少之一有关的信息的步骤,其中所述终端经由所述接入网络连接到通信网络,所述终端经由所述至少一个网关节点或中间网络连接到通信网络。方法还包括基于获得的信息,从可用于在终端与认证服务器之间的认证的多个认证协议中确定用于在终端与认证服务器之间的认证的要朝向终端提供的认证协议的集合和要由终端支持的认证协议的集合至少之一的步骤。
换而言之,按照根据第一方面的方法,可确定或者(i)用于在终端与认证服务器之间的认证的要朝向终端提供的认证协议的集合,或者(ii)用于在终端与认证服务器之间的认证的要由终端支持的认证协议的集合,或(iii)用于在终端与认证服务器之间的认证的要朝向终端提供的认证协议的集合和用于在终端与认证服务器之间的认证的要由终端支持的认证协议的集合两者。
通过基于获得的信息,确定要提供和/或支持的认证协议的集合,与现有技术相比,可更快地选择要用于认证的认证协议。此外,还将如从下面的详细描述将显而易见的一样,可获得更高级别的安全性。
获得和确定的步骤可由终端或由连接到终端的实体执行。这样,可确定用于认证而要由终端支持的认证协议的集合。简而言之,此类集合也可称为认证协议的终端集合。备选地或另外地,获得和确定的步骤可由认证服务器或由连接到认证服务器的实体执行。这样,可确定用于认证的要朝向终端提供的认证协议的集合。此类集合也可简称为认证协议的服务器集合。
例如,如果方法由认证服务器或由连接到认证服务器的实体执行,则确定的步骤可(只)包括确定用于在终端与认证服务器之间的认证的要朝向终端提供的认证协议的集合。备选地或另外地,例如,如果方法由终端或由连接到终端的实体执行,则确定的步骤可(只)包括确定用于在终端与认证服务器之间的认证的要由终端支持的认证协议的集合。例如,如果方法由认证服务器或由连接到认证服务器的实体执行,以及由终端或连接到终端的实体执行,则确定的步骤可包括确定用于认证的要朝向终端提供的认证协议的集合和确定用于认证的要由终端支持的认证协议的集合。
终端可以是任何移动或固定用户端装置(移动或静止终端),如关于长期演进(LTE)或通用移动电信系统(UMTS)的用户设备(UE)、关于全球移动通信系统(GSM)的移动台(MS)或根据IEEE 802.11 (Wi-Fi)术语的站(STA)或诸如此类。接入网络可以是连接订户到其服务提供商的通信网络(例如,电信网络)的任何部分。中间网络可以是在终端与通信网络之间提供以便连接终端到通信网络的任何网络,例如,转接网络。
认证服务器可以是提供服务用于实现在终端与认证服务器,并且因此与通信网络之间的认证的任何实体。认证服务器可包括或配置为认证、授权和计费服务器(AAA服务器)。认证可指认证实体的身份的过程,例如,通过提供其拥有诸如标识符和对应凭证的特定数字身份的证明。认证功能可确定特定实体是否经授权以执行给定活动,例如,在登录到应用或服务时从认证继承的。计费可指出于容量和趋势分析、成本分配、开帐单及诸如此类等目的跟踪由用户对网络资源的消耗。
认证服务器可位于通信网络中。例如,在认证服务器配置为3GPP AAA服务器的情况下,AAA服务器可位于3GPP归属公共陆地移动网络(HPLMN)内。认证服务器可在通信网络的核心网络中提供。核心网络或骨干网络可被视为通信网络(例如,电信网络)的中心部分,它提供各种服务到诸如(移动)终端的例如由接入网络连接的客户。
一个或更多个网关节点可存在于核心网络中以接入其它网络。备选地或另外地,一个或更多个网关节点可存在于终端与认证服务器之间,例如,在终端与核心网络之间。例如,一个或更多个网关节点可存在于中间网络中。备选地或另外地,一个或更多个网关节点可存在于接入网络中。
按照根据第一方面的方法的一个可设想的实现,确定的步骤可包括比较获得的信息和与终端、接入网络和至少一个网关节点或中间网络至少之一有关的一个或更多个预定义的条件。根据该可设想的实现,确定的步骤可包括基于在获得的信息与一个或更多个预定义的条件之间的比较,确定用于认证的要朝向终端提供的认证协议的集合和用于认证的要由终端支持的认证协议的集合至少之一。一个或更多个预定义的条件可由通信网络的运营商预定义。一个或更多个预定义的条件可由通信网络的运营商可调整。
要朝向终端提供的认证协议的确定的集合和要由终端支持的认证协议的确定的集合至少之一可为空或者可包括一个或更多个认证协议。
确定用于认证的要朝向终端提供的认证协议的集合和要由终端支持的认证协议的集合至少之一的步骤可包括基于与终端、接入网络和至少一个网关节点或中间网络至少之一有关的获得的信息,从一个或更多个可用配置文件中选择配置文件。一个或更多个配置文件的每个可包括用于认证的要朝向终端提供或要由终端支持的认证协议的集合。
例如,一个或更多个配置文件至少之一可包括用于认证的要朝向终端提供的认证协议的集合。用于认证的要朝向终端提供的此类一个或更多个配置文件可称为一个或更多个服务器配置文件。一个或更多个服务器配置文件可存储在认证服务器中,或者可以以其它方式由认证服务器可访问。一个或更多个服务器配置文件可由认证服务器访问,以便基于与终端、接入网络和至少一个网关节点或中间网络至少之一有关的获得的信息,选择一个或更多个服务器配置文件。
备选地或另外地,一个或更多个配置文件至少之一可包括用于认证的要由终端支持的认证协议的集合。用于认证的要由终端支持的此类一个或更多个配置文件可称为一个或更多个终端配置文件。一个或更多个终端配置文件可存储在认证服务器中,或者可以以其它方式由终端可访问。一个或更多个终端配置文件可由终端访问,以便基于与终端、接入网络和至少一个网关节点或中间网络至少之一有关的获得的信息,选择一个或更多个终端配置文件。
包括用于认证的要朝向终端提供的认证协议的集合的一个或更多个配置文件的至少一些配置文件可相互不同。换而言之,一个或更多个服务器配置文件的至少一些配置文件可包括不同认证协议。包括用于认证的要由终端支持的认证协议的集合的一个或更多个配置文件的至少一些配置文件可相互不同。换而言之,一个或更多个终端配置文件的至少一些配置文件可包括不同认证协议。例如,一个或更多个配置文件至少之一(独立于是否为服务器配置文件和/或终端配置文件)可包括认证协议的空集。备选地或另外地,一个或更多个配置文件至少之一(独立于是否为服务器配置文件和/或终端配置文件)可包括一个或更多个认证协议。
方法可包括用于认证的朝向终端提供在认证协议的确定集合中包含的一个或更多个认证协议。提供的步骤可由认证服务器执行。
提供的步骤可包括根据预确定的优先级,朝向终端连续提供在认证协议的确定的集合中包含的一个或更多个认证协议用于认证。一个或更多个认证协议可一个接一个提供,直至认证协议之一由终端接受。如果认证协议包含在选择的终端配置文件中,则终端可接受认证协议。预确定的优先级可由通信网络的提供商预定义。预确定的优先级可由提供商可更改。例如,认证协议的确定的集合可包括分别具有不同预确定的优先级的多个认证协议。在此情况下,首先,可例如由认证服务器朝向终端提供具有最高预确定的优先级的认证协议用于认证。例如,如果终端不支持具有最高预确定的优先级的提供的认证协议,则可朝向终端提供具有第二最高预确定的优先级的认证协议用于认证,等等。
与终端、接入网络和至少一个网关节点或中间网络至少之一有关的获得的信息可包括有关终端的身份的信息、有关至少一个网关节点的身份或类型的信息、有关中间网络的类型的信息、有关接入网络的类型的信息、有关在终端与接入网络之间的接入的类型的信息、有关终端的地址的信息、有关在接入网络中提供的服务集合的信息、有关提供的接入网络广告(advertisement)的信息及有关在接入网络中提供的信标帧设置的信息至少之一。
例如,如果根据第一方面的方法由认证服务器或连接到认证服务器的实体执行,则获得的信息可包括有关终端的身份的信息、有关至少一个网关节点的身份或类型的信息、有关中间网络的类型的信息、有关接入网络的类型的信息、有关在终端与接入网络之间的接入的类型的信息、有关终端的地址的信息至少之一。
例如,如果根据第一方面的方法由终端或连接到终端的实体执行,则获得的信息可包括有关在接入网络中提供的服务集合的信息、有关提供的接入网络广告的信息和有关在接入网络中提供的信标帧设置的信息。
根据第二方面,提供了一种为确定用于在终端与通信网络的认证服务器之间的认证的要提供和支持的认证协议的集合的方法。方法包括获得与接入网络有关的信息的步骤,终端经由所述接入网连接到通信网络。此外,方法包括基于与接入网络有关的获得的信息,从可用于在终端与认证服务器之间的认证的多个认证协议中确定用于在终端与认证服务器之间的认证的要由终端支持的认证协议的集合的步骤。方法还包括获得与终端、接入网络和至少一个网关节点或中间网络至少之一有关的信息的步骤,其中终端经由至少一个网关节点或中间网络连接到通信网络。方法还包括基于与终端、接入网络和至少一个网关节点或中间网络至少之一有关的获得的信息,从可用于在终端与认证服务器之间认证的多个认证协议中确定用于在终端与认证服务器之间的认证的要朝向终端提供的认证协议的集合,其中终端经由至少一个网关节点或中间网络连接到通信网络。
获得的第一步骤和确定的第一步骤可由终端执行。获得的第二步骤和确定的第二步骤可由认证服务器执行。
根据第一方面的方法和/或根据第二方面的方法可包括由例如认证服务器朝向终端提供用于认证的要向终端提供的认证协议的确定的集合中包含的认证协议。根据第一方面的方法和/或根据第二方面的方法可包括由例如终端确定提供的认证协议是否包含在用于认证的要由终端支持的认证协议的集合中。
如果例如由终端确定提供的认证协议包含在用于认证的要由终端支持的认证协议的集合中,则方法可包括例如由终端接受提供的认证协议。
如果例如由终端确定提供的认证协议未包含在用于认证的要由终端支持的认证协议的集合中,则方法可包括例如由认证服务器朝向终端提供在用于认证的要朝向终端提供的认证协议的确定的集合中包含的另一认证协议。
可用于认证的多个认证协议可包括可扩展认证协议EAP方法。例如,可用于认证的多个认证协议可包括以下至少之一:EAP-传输层安全性(EAP-TLS)、EAP-消息摘要(EAP-MD5)、EAP-受保护的一次性密码(EAP-POTP)、EAP-预共享密钥(EAP-PSK)、EAP-密码(EAP-PWD)、EAP-隧道传输层安全性(EAP-TTLS)、EAP-因特网密钥交换协议版本2 (EAP-IKEv2)、EAP-经安全隧道的灵活认证(EAP-FAST)、EAP-订户身份模块(EAP-SIM)、EAP-认证和密钥协议(EAP-AKA)、EAP-AKA Prime (EAP-AKA')、EAP-通用令牌卡(EAP-GTC)及EAP-加密密钥交换(EAP-EKE)。
根据第三方面,提供了一种计算机程序。计算机程序产品包括程序代码部分,用于当计算机程序在一个或多个计算装置上运行时,执行本文中所描述的方法方面的任何一方面的步骤。计算机程序可存储在计算机可读记录介质上。
根据第四方面,可提供一种用于确定用于在终端与通信网络的认证服务器之间的认证的认证协议的集合的实体。实体包括获得组件和确定组件。获得组件配置成获得与所述终端、接入网络和至少一个网关节点或中间网络至少之一有关的信息,其中终端经由所述接入网络连接到通信网络,终端经由所述至少一个网关节点或中间网络连接到通信网络。确定组件配置成基于获得的信息,从可用于在终端与认证服务器之间的认证的多个认证协议中确定用于在终端与认证服务器之间的认证的要朝向终端提供的认证协议的集合和要由终端支持的认证协议的集合至少之一。
根据第四方面的实体可配置成执行本文中描述的方法方面和方法步骤的任何一个。
实体可包括或可配置为认证服务器。备选地或另外地,实体可包括或可配置为终端。
根据第五方面,提供了一种用于确定用于在终端与通信网络的认证服务器之间的认证的要提供和支持的认证协议的集合的系统。系统包括如本文中描述的认证服务器和如本文中描述的终端。
系统可配置成执行如本文中描述的方法方面和方法步骤的任何一个的步骤。
通常,本文中描述的方法方面的任何一方面的步骤可相同地在一个或更多个适合组件、装置或单元中实施,例如,在认证服务器和/或终端的适合组件中实施。
附图说明
在下面,将参照图中所示的示范实施例进一步描述本公开内容,其中:
图1 是典型认证网络设定的示意图;
图2 示意性示出根据RFC 3748的EAP方法自动协商;
图3 示意性示出终端的装置实施例、认证服务器的装置实施例及包括终端的装置实施例和认证服务器的装置实施例的系统实施例;
图4 是能够在终端的装置实施例和/或认证服务器的装置实施例中实现的方法实施例的流程图;
图5 示意性示出认证协议的配置文件;以及
图6 示意性示出能够在图3的系统实施例中实现的EAP认证过程的方法实施例。
具体实施方式
在下面的描述中,为解释而不是限制的目的,阐述了特定的细节,如包括特定网络节点的特定的网络拓扑,以便提供本公开内容的详尽理解。对本领域的技术人员将显而易见的是,在脱离这些特定细节的其它实施例中,可实践本公开内容。例如,技术人员将意识到,通过不同于下面论述的示出本公开内容的特定认证方法的认证方法,可实践本公开内容。而且,虽然本公开内容参照Wi-Fi网络描述,但本公开内容可在移动或静止用户可附连到的任何网络中实践。例如,本公开内容可适用于诸如全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)、LTE-advanced (LTE-a)网络的蜂窝网络或类似无线网络,但也可适用于有线网络,例如,诸如具有一些或许多分开的子公司的公司的企业内部网或因特网。此外,即使在下面,用户设备(UE)用作终端的一个示例,并且可扩展认证协议(EAP)服务器用作认证服务器的一个示例,但本公开内容不限于此。
本领域的人员还将意识到,本文下面解释的功能可通过使用单独的硬件电路,使用结合编程微处理器或通用计算机运行的软件,使用专用集成电路(ASIC)和/或使用一个或多个数字信号处理器(DSP)实现。还将意识到的是,在本公开内容被描述为方法时,它也可在计算机处理器和耦合到处理器的存储器中实施,其中,存储器被编码具有在由处理器执行时执行本文中公开的方法的一个或多个程序。
图1中作为示例显示了典型的3GPP Wi-Fi(或只是WiFi)网络设定。在Wi-Fi网络中,提供了用户设备(UE) 10、Wi-Fi接入点(AP) 12、Wi-Fi接入控制器(AC)、Wi-Fi网关(GW)、归属位置寄存器(HLR) 16、认证、授权和计费(AAA)服务器18及可扩展认证协议(EAP)服务器20。在图1的示范设定中,AC和GW布置在共同的AC/GW实体14中。UE 10、AP 12、AC/GW实体14、AAA服务器18及EAP服务器20的至少一些可属于不同运营商,并且甚至可位于例如共享网络的不同网络中。
例如,在只考虑UE 10和AAA服务器及关联EAP服务器20时,AAA服务器18和关联EAP服务器20的网络(NW)可受信任或不受信任,但UE 10无法知道或确定此。NW(或AAA服务器18/EAP服务器20)可知晓此,但不能够相应地通知UE 10。由于EAP标准在端到端数据加密上无强制要求,因此,在UE 10与AAA服务器18/EAP服务器20之间的任何纯文本数据传送对中间人攻击是开放的。这基本上使订户对数据/身份盗窃完全开放。
图2中借助于示例认证调用流程,示意地示出根据RFC 3748发起对等端认证的EAP类型(方法)的简单锁定步骤(逐一尝试)自动协商。
UE 10(在图2中称为对等端)接收来自认证器(authenticator)的EAP请求,EAP请求从UE 10请求身份信息。UE 10通过在EAP响应中提供请求的身份信息,朝向EAP服务器20标识自己。多个不同EAP协议可用于在UE 10与EAP服务器20之间的认证。作为示例,假设EAP服务器20发起EAP-SIM认证,并且将对应EAP请求传送到UE 10。根据图2中显示的示例,UE10不支持EAP-SIM认证,并且通过否定-确认(NAK或NACK)EAP响应来做出响应。随后,EAP服务器20尝试TTLS,并且发出对应EAP请求。作为示例,由于UE 10也不支持TTLS,因此,UE发送NAK响应。最后,EAP服务器20提供例如由UE 10支持的EAP-AKA。因此,在UE 10与EAP服务器20之间的认证能够通过使用EAP-AKA来执行。
如在图2中显示的简单示例中能够看到的,要用于在UE 10与EAP服务器20之间的认证的EAP方法的协商能够相当复杂和耗时。此外,传送一些EAP方法要求的敏感信息(像IMSI、密码等)可以是不利的,因为通信不一定被加密,和/或从UE或AAA服务器角度而言,中间节点不受信任。
图3显示根据装置实施例的UE 100和根据装置实施例的认证服务器的示意图。为了解释而不是限制,在下面参照EAP服务器200作为认证服务器的示例来解释本公开内容。在下面,UE 100和EAP服务器200能够经由诸如一个或更多个网关(GW)节点、中间网络和/或接入网络的适合的网络组件相互连接。作为示例,在下述内容中,为了解释而不是限制,假设UE 100和EAP服务器200经由接入网络300连接。另外地或备选地,GW节点可在UE 100与EAP服务器200之间提供。在图3中,作为示例,假设GW节点320在接入网络300中提供。
UE 100包括获得组件120、确定组件140,并且可选地包括存储器组件160。EAP服务器200包括获得组件220、确定组件240,并且可选地包括存储器组件260。
图4显示可在UE 100中和/或在EAP服务器200中实现的方法实施例的流程图。
一般地说,根据图4的方法实施例,在步骤S402获得与UE 100和接入网络300至少之一有关的信息,其中UE 100经由所述接入网络300连接到EAP服务器200。作为所述信息的备选或另外,可确定与网关节点(例如GW节点320)或中间网络至少之一有关的信息,其中UE100经由其连接到EAP服务器200。
随后,在步骤404,基于获得的信息,从可用于在UE 100与EAP服务器200之间的认证的多个认证协议中确定用于在UE 100与认证服务器200之间的认证的要朝向UE 100提供的认证协议的集合和要由UE 100支持的认证协议的集合至少之一。
如上所阐述的,图4的方法可在UE 100中或者在EAP服务器200中或在UE 100和EAP服务器200两者中实现。为示出在UE 100和EAP服务器200中实现方法的后一概念,在下面更详细地解释图5和6。要注意的是,在图5和6中显示并且关于图5和6描述的配置文件和EAP协议只是示范的。
关于图5,相对于一个特定实现示例,更详细地解释图4的获得步骤S402和确定步骤S404。在图5中,在所谓的预分析中分析在步骤S402获得的信息。基于所述预分析的结果,选择特定的配置文件。此类配置文件包含认证协议的集合(或子集)。可提供几个配置文件。例如,如图5中所示的,多个配置文件可提供用于UE 100(这在下面将称为终端配置文件,并且在图5的左侧上显示),并且多个配置文件可提供用于EAP服务器200(这在下面将称为服务器配置文件,并且在图5的右侧上显示)。
在执行预分析前,网络运营商能够为UE 100定义与关于UE 100、接入网络300和GW节点320(或任何中间网络,其中UE 100可经由所述中间网络连接到EAP服务器200)至少之一的信息有关的一个或更多个条件。此外,网络运营商能够为在EAP/AAA服务器200中的其认证设定定义一个或更多个条件。图5中显示了用于UE 100和NW(EAP服务器200)的此类设定的示例。根据图5,网络运营商定义哪些条件产生要使用某些认证协议。作为示例,认证协议在下面将更详细描述的某些配置文件中被编组。
如图5作为示例所示的,可由网络运营商为UE 100定义与在接入网络300中提供的服务集合(例如,服务集合标识(SSID))有关的条件和与在接入网络300中提供的信标帧设置有关的条件。在计算机连网中,服务集合通常是由与消费者或企业IEEE 802.11无线局域网(WLAN)关联的所有装置组成的集合。基本服务集合(BSS)提供802.11 WLAN的基本构件。每个BSS通常通过SSID(1到32个字节字符串(通常称为“网络名称”))标识。此外,可定义其它条件,如关于在接入网络300中提供的接入网络广告的信息。
在NW侧,网络运营商能够为EAP服务器200定义与关于UE 100、接入网络300和GW节点320(或任何中间网络,其中UE 100可经由所述中间网络连接到EAP服务器200)至少之一的信息有关的一个或更多个条件。例如,如图5中作为示例所示的,可由网络运营商定义与UE 100的身份(IMSI、MSISDN和/或NAI)、与至少一个GW节点320的身份或类型(GW Id)和与接入网络300的类型有关的条件。为了确定UE 100的身份,可使用国际移动订户身份(IMSI),它是蜂窝网络的用户的唯一标识。备选地或另外地,可使用移动订户ISDN号(经常称为移动台国际ISDN号)(MSISDN)以便确定UE 100的身份。MSISDN是唯一地标识在像GSM或UMTS移动网络的移动通信网络中的预约的号。简单地说,MSISDN可以是移动/蜂窝电话中SIM卡电话号码。备选地或另外地,可使用网络接入标识符(NAI)标识UE 100。NAI标识请求接入网络的用户。网络接入标识符(NAI)可被视为在网络接入认证期间由用户提交的用户身份。例如,在漫游时使用NAI标识用户。可使用GW Id作为GW节点320的标识。除以上所述外或作为其备选,可定义其它条件,如关于中间网络的类型的信息、关于在UE 100与接入网络300之间的接入的类型的信息及关于UE 100的地址的信息。
在条件由网络运营商定义时,能够在预分析中使用一个或更多个定义的条件。为了此目的,在预分析中比较关于UE 100、接入网络300和GW节点320(或任何中间网络,其中UE 100可经由中间网络连接到EAP服务器200)至少之一的实际获得的信息和定义的条件。取决于比较的结果,选择包括无认证协议或一个或更多个认证协议的相应配置文件。由于每个定义的条件可产生一个或更多个给定认证协议要用于在UE 100和/或EAP服务器200中的认证,因此,定义的条件也可称为触发器。
进一步地解释,例如对于UE 100(例如,在UE 100中),默认配置文件和用于类1到类X的配置文件被定义为终端配置文件。在预条件的预分析产生无匹配时,使用默认配置文件。对于EAP服务器200(例如,在EAP服务器200中),作为示例,默认配置文件和用于类A到类N的配置文件被定义为服务器配置文件。在条件的预分析产生无匹配时,使用默认配置文件。取决于定义的条件(触发器),每个配置文件可具有某个意义,例如,“漫游者”、“自己的订户”、“不受信任的接入”等。配置文件可被理解为在EAP方法自动协商期间应当提供和/或支持的EAP认证方法的专有、有序白名单。例如,对于漫游者,可只支持EAP-SIM和/或EAP-AKA以确保相对于另一网络提供商的可靠认证。对于在不受信任的NW中的自己的订户,可只支持EAP-TTLS和/或EAP-TLS以确保在认证期间的端到端加密。此外,例如,在“不受信任的网络”中,不使用EAP-SIM和/或EAP-AKA以确保不发送订户的IMSI。
参照图6,更详细地解释上面提及的配置文件的使用。在UE 100检测到新Wi-Fi网络时,它执行可用信息的预分析。例如,UE 100获得一个或更多个以下信息:SSID、网络广告、信标帧设置及诸如此类。随后,由UE 100基于一个或更多个获得的信息执行预分析。例如,比较获得的信息和定义的条件(触发器),并且取决于在获得的信息与定义的条件之间的匹配,选择要用于认证的终端配置文件。无匹配可产生默认配置文件。选择的终端配置文件包括要由UE 100支持的认证协议。在图6中,为了解释而不是限制,假设预分析导致选择配置文件类1。类1包括EAP-TLS、EAP-TTLS、EAP-SIM和EAP-AKA作为支持的认证协议,即,在原则上由UE 100支持这些认证协议。
在UE 100连接到Wi-Fi网络时,认证器请求UE的身份用于认证。UE 100提供可能根据其更早的触发器分析而动态受限的其身份。假设通过认证器(pass-throughauthenticator),EAP服务器200接收用户身份,并且执行可用信息的预分析。对于此预分析,可考虑几个信息元素,例如:用户身份(例如,IMSI、MSISDN或NAI)、Wi-Fi网关身份(GWId)、接入类型、诸如GW节点320的实体的媒体访问控制(MAC)地址及诸如此类。
随后,由EAP服务器200基于一个或更多个获得的信息执行预分析。此预分析考虑获得的信息,并且比较获得的信息和定义的条件(触发器)。取决于在获得的信息与定义的条件之间的匹配,EAP服务器200动态选择要朝向UE 100提供的服务器配置文件。无匹配可产生默认配置文件。在图6中,为了解释而不是限制,假设预分析导致选择服务器配置文件类B。类B包括EAP-TTLS作为要朝向UE 100提供的唯一认证协议。
现在能够基于选择的(“限制性”)服务器和终端配置文件,执行“普通”EAP认证。在由EAP服务器200选择的服务器配置文件只包括EAP-TTLS时,EAP服务器200朝向UE 100提供EAP-TTLS用于认证。UE 100确定提供的认证协议是否包含在其自己选择的终端配置文件中。在图6的示例中,EAP-TTLS包含在选择的终端配置文件中,使得UE 100通过基于EAP-TTLS的EAP响应来做出响应,该EAP响应指示EAP-TTLS由UE 100支持。在UE 100和EAP服务器200就要用于认证的EAP-TTLS达成一致时,能够基于EAP-TTLS执行认证。这样,与已知方法相比,UE 100和EAP服务器200更容易和更快地就要用于认证的EAP协议达成一致。
假设终端配置文件未包括EAP-TTLS,EAP服务器200会选择在其选择的服务器配置文件中包括的另一EAP协议。选择能够通过考虑服务器配置文件的预定义的优先级而执行。如果假设EAP服务器200基于其预分析选择了类C而不是类B,则类C还包括EAP-IKEv2(参见图5)。还假设EAP-TTLS具有比EAP-IKEv2更高优先级,EAP服务器200提供第一EAP-TTLS到UE100。例如,如果UE 100基于其预分析选择了类X,则UE 100确定不支持EAP-TTLS,并且相应地做出响应。EAP服务器200随后朝向UE 100提供EAP-IKEv2(具有第二最高优先级)。由于EAP-IKEv2也不包含在类X中,因此,UE通过NAK消息做出响应。由于EAP服务器200没有任何其它EAP协议提供,因此,UE 100和EAP服务器200未找到要用于认证的共同认证协议。因此,UE 100将不能连接到网络,这提高了安全性。
Claims (22)
1.一种确定用于在终端(100)与通信网络的认证服务器(200)之间的认证的认证协议的集合的方法,所述方法包括以下步骤:
- 获得(S402)与所述终端(100)、接入网络(300)和至少一个网关节点(320)或中间网络至少之一有关的信息,其中所述终端(100)经由所述接入网络(300)连接到所述通信网络,所述终端(100)经由所述至少一个网关节点(320)或中间网络连接到所述通信网络;
其特征在于以下步骤:
- 基于所述获得的信息,从可用于在所述终端(100)与所述认证服务器(200)之间的认证的多个认证协议中确定(S404)用于在所述终端与所述认证服务器之间的认证的要朝向所述终端提供的认证协议的集合和要由所述终端支持的认证协议的集合至少之一,
其中确定(S404)的所述步骤包括:
- 比较所述获得的信息和与所述终端(100)、所述接入网络(300)和所述至少一个网关节点(320)或中间网络至少之一有关的一个或更多个预定义的条件;以及
- 基于在所述获得的信息与所述一个或更多个预定义的条件之间的所述比较,确定要朝向所述终端(100)提供的认证协议的所述集合和要由所述终端(100)支持的认证协议的所述集合至少之一。
2.如权利要求1所述的方法,其中获得(S402)和确定(S404)的所述步骤由所述终端(100)和所述认证服务器(200)至少之一执行。
3.如权利要求1或2所述的方法,其中确定(S404)用于认证的要朝向所述终端提供的认证协议的所述集合和要由所述终端(100)支持的认证协议的所述集合至少之一的所述步骤包括基于与所述终端、所述接入网络(300)和所述至少一个网关节点(320)或中间网络至少之一有关的所述获得的信息,从一个或更多个可用配置文件中选择配置文件,所述一个或更多个配置文件的每个包括用于认证的要朝向所述终端(100)提供或要由所述终端(100)支持的认证协议的集合。
4.如权利要求1或2所述的方法,其中所述方法包括用于认证的朝向所述终端(100)提供在认证协议的所述确定集合中包含的一个或更多个认证协议。
5.如权利要求4所述的方法,其中提供的所述步骤包括根据预确定的优先级,朝向所述终端(100)连续提供在认证协议的所述确定集合中包含的所述一个或更多个认证协议用于认证。
6.如权利要求1或2所述的方法,其中与所述终端(100)、所述接入网络(300)和所述至少一个网关节点(320)或中间网络至少之一有关的所述获得的信息包括有关所述终端(100)的身份的信息、有关所述至少一个网关节点(320)的身份或类型的信息、有关所述中间网络的类型的信息、有关所述接入网络的类型的信息、有关在所述终端(100)与所述接入网络(300)之间所述接入的类型的信息、有关所述终端(100)的地址的信息、有关在所述接入网络(300)中提供的服务集合的信息、有关提供的接入网络广告的信息及有关在所述接入网络(300)中提供的信标帧设置的信息至少之一。
7.一种确定用于在终端(100)与通信网络的认证服务器(200)之间的认证的要提供和支持的认证协议的集合的方法,所述方法包括以下步骤:
- 获得与接入网络(300)有关的信息,所述终端(100)经由所述接入网络(300)连接到所述通信网络;
- 基于与所述接入网络(300)有关的所述获得的信息,从可用于在所述终端(100)与所述认证服务器(200)之间的认证的多个认证协议中确定用于在所述终端(100)与所述认证服务器(200)之间的认证的要由所述终端(100)支持的认证协议的集合;
- 获得与所述终端(100)、所述接入网络(300)和至少一个网关节点(320)或中间网络至少之一有关的信息,其中所述终端(100)经由所述至少一个网关节点(320)或中间网络连接到所述通信网络;以及
- 基于与所述终端(100)、所述接入网络和至少一个网关节点(320)或中间网络至少之一有关的所述获得的信息,从可用于在所述终端(100)与所述认证服务器(200)之间的认证的多个认证协议中确定用于在所述终端(100)与所述认证服务器(300)之间的认证的要朝向所述终端(100)提供的认证协议的集合,其中所述终端(100)经由所述至少一个网关节点(320)或中间网络连接到所述通信网络。
8.如权利要求7所述的方法,其中所述方法包括:
- 由所述认证服务器(200)朝向所述终端(100)提供用于认证的在要朝向所述终端(100)提供的认证协议的所述确定集合中包含的认证协议;以及
- 由所述终端(100)确定所述提供的认证协议是否包含在用于认证的要由所述终端(100)支持的认证协议的所述集合中。
9.如权利要求8所述的方法,其中,如果确定所述提供的认证协议包含在用于认证的要由所述终端(100)支持的认证协议的所述集合中,则所述方法包括由所述终端(100)接受所述提供的认证协议。
10.如权利要求8或9所述的方法,其中,如果确定所述提供的认证协议未包含在要由所述终端(100)支持的认证协议的所述集合中,则所述方法包括由所述认证服务器(200)朝向所述终端(100)提供要朝向所述终端(100)提供的认证协议的所述确定的集合中包含的另一认证协议。
11.如权利要求7到9任一项所述的方法,其中要朝向所述终端(100)提供的认证协议的所述确定的集合和要由所述终端(100)支持的认证协议的所述确定的集合至少之一为空或者包括一个或更多个认证协议。
12.如权利要求7到9任一项所述的方法,其中可用于认证的所述多个认证协议包括可扩展认证协议EAP方法。
13.如权利要求12所述的方法,其中可用于认证的所述多个认证协议包括以下至少之一:
EAP-传输层安全性EAP-TLS、EAP-消息摘要EAP-MD5、EAP-受保护的一次性密码EAP-POTP、EAP-预共享密钥EAP-PSK、EAP-密码EAP-PWD、EAP-隧道传输层安全性EAP-TTLS、EAP-因特网密钥交换协议版本2 EAP-IKEv2、EAP-经安全隧道的灵活认证EAP-FAST、EAP-订户身份模块EAP-SIM、EAP-认证和密钥协议EAP-AKA、EAP-AKA Prime,EAP-AKA’、EAP-通用令牌卡EAP-GTC及EAP-加密密钥交换EAP-EKE。
14.一种计算机可读记录介质,其上面存储计算机程序,用于在所述计算机程序在计算机系统上运行时执行权利要求1到13任一项中所述的步骤。
15.如权利要求14所述的计算机可读记录介质,包括与处理器耦合的存储器。
16.一种用于确定用于在终端(100)与通信网络的认证服务器(200)之间的认证的认证协议的集合的实体(100,200),所述实体包括:
- 获得组件(120,220),配置成获得与所述终端(100)、接入网络(300)和至少一个网关节点(320)或中间网络至少之一有关的信息,其中所述终端(100)经由所述接入网络连接到所述通信网络,所述终端(100)经由所述至少一个网关节点(320)或中间网络连接到所述通信网络; 所述实体其特征在于包括:
- 确定组件(140,240),配置成基于所述获得的信息,从可用于在所述终端(100)与所述认证服务器(200)之间的认证的多个认证协议中确定用于在所述终端与所述认证服务器(200)之间的认证的要朝向所述终端(100)提供的认证协议的集合和要由所述终端(100)支持的认证协议的集合至少之一,
其中所述确定组件配置成:
- 比较所述获得的信息和与所述终端(100)、所述接入网络(300)和所述至少一个网关节点(320)或中间网络至少之一有关的一个或更多个预定义的条件;以及
- 基于所述获得的信息与所述一个或更多个预定义的条件之间的所述比较,确定要朝向所述终端(100)提供的认证协议的所述集合和要由所述终端(100)支持的认证协议的所述集合至少之一。
17.如权利要求16所述的实体,其中所述实体(100,200)包括或配置为认证服务器(200)。
18.如权利要求16所述的实体,其中所述实体(100,200)包括或配置为终端(100)。
19.一种用于确定用于在终端(100)与通信网络的认证服务器(200)之间的认证的认证协议的集合的实体(100,200),所述实体包括处理器和存储计算机程序的存储器,所述计算机程序在由所述处理器执行时,导致所述实体执行如权利要求1到13任一项所述的方法。
20.如权利要求19所述的实体,其中所述实体(100,200)包括或配置为认证服务器(200)。
21.如权利要求19所述的实体,其中所述实体(100,200)包括或配置为终端(100)。
22.一种用于确定用于在终端(100)与通信网络的认证服务器(200)之间的认证的要提供和支持的认证协议的集合的系统,所述系统包括:
- 如权利要求17或20所述的认证服务器(200);以及
- 如权利要求18或21所述的终端(100)。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2014/055281 WO2015139721A1 (en) | 2014-03-17 | 2014-03-17 | Improved end-to-end data protection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106105134A CN106105134A (zh) | 2016-11-09 |
| CN106105134B true CN106105134B (zh) | 2019-11-05 |
Family
ID=50382427
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480077294.6A Active CN106105134B (zh) | 2014-03-17 | 2014-03-17 | 用于改进端到端数据保护的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10425448B2 (zh) |
| EP (1) | EP3120515B1 (zh) |
| CN (1) | CN106105134B (zh) |
| WO (1) | WO2015139721A1 (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3393200A4 (en) * | 2016-02-04 | 2018-10-24 | Huawei Technologies Co., Ltd. | Data transmission system, method, and device |
| US11553561B2 (en) * | 2016-10-28 | 2023-01-10 | Apple Inc. | Protection of the UE identity during 802.1x carrier hotspot and wi-fi calling authentication |
| US10833876B2 (en) * | 2016-10-28 | 2020-11-10 | Apple Inc. | Protection of the UE identity during 802.1x carrier hotspot and Wi-Fi calling authentication |
| WO2018137873A1 (en) * | 2017-01-27 | 2018-08-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Secondary authentication of a user equipment |
| CN109361655B (zh) | 2017-11-17 | 2019-08-16 | 华为技术有限公司 | 一种安全保护的方法及装置 |
| KR20200110374A (ko) | 2018-02-14 | 2020-09-23 | 구글 엘엘씨 | 셀 액세스 관련 정보를 사용한 사용자 장비 동작 |
| CN112005515B (zh) | 2018-06-15 | 2023-03-24 | 谷歌有限责任公司 | 用于无线网络的基于cbg的noma传输 |
| US11452169B2 (en) | 2018-08-15 | 2022-09-20 | Google Llc | Preventing inadvertent idle mode in multi-node connectivity environments |
| EP3821672A1 (en) | 2018-09-26 | 2021-05-19 | Google LLC | Non-orthogonal multiple access configuration in split base station architectures |
| US11368907B2 (en) | 2019-01-29 | 2022-06-21 | Google Llc | Adaptive connection management for marginal network conditions |
| US11889322B2 (en) | 2019-03-12 | 2024-01-30 | Google Llc | User-equipment coordination set beam sweeping |
| US11503610B2 (en) | 2019-04-02 | 2022-11-15 | Google Llc | User equipment coordination for interference cancelation |
| US10893572B2 (en) | 2019-05-22 | 2021-01-12 | Google Llc | User-equipment-coordination set for disengaged mode |
| CN112567880A (zh) | 2019-07-25 | 2021-03-26 | 谷歌有限责任公司 | 用户设备协调集重新分组 |
| US11350439B2 (en) | 2019-08-13 | 2022-05-31 | Google Llc | User-equipment-coordination-set control aggregation |
| EP3997798B1 (en) | 2019-09-19 | 2024-05-22 | Google LLC | User-equipment-coordination-set selective participation |
| US11804877B2 (en) | 2019-09-19 | 2023-10-31 | Google Llc | Enhanced beam searching for active coordination sets |
| US11032743B1 (en) * | 2019-11-30 | 2021-06-08 | Charter Communications Operating, Llc | Methods and apparatus for supporting devices of different types using a residential gateway |
| US11109299B2 (en) | 2019-12-12 | 2021-08-31 | Google Llc | Adaptive public land mobile network management for varying network conditions |
| US11930359B2 (en) * | 2020-09-26 | 2024-03-12 | Mcafee, Llc | Wireless access point with multiple security modes |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4089183B2 (ja) * | 2001-08-10 | 2008-05-28 | コニカミノルタビジネステクノロジーズ株式会社 | データ通信システム、データ通信装置、携帯端末、データ通信方法、データ通信プログラム、およびデータ通信プログラムを記録したコンピュータ読み取り可能な記録媒体 |
| DE10160119A1 (de) * | 2001-12-07 | 2003-10-02 | Atg Test Systems Gmbh | Prüfsonde für einen Fingertester |
| ATE522110T1 (de) * | 2004-03-10 | 2011-09-15 | Seesta Oy Ab | Heterogenes netzwerksystem, netzwerkknoten und mobil-host |
| US8244085B2 (en) * | 2004-07-02 | 2012-08-14 | Finisar Corporation | Optical transceiver interface for multimode fibers |
| US7194763B2 (en) | 2004-08-02 | 2007-03-20 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
| US8286223B2 (en) * | 2005-07-08 | 2012-10-09 | Microsoft Corporation | Extensible access control architecture |
| US20080005285A1 (en) * | 2006-07-03 | 2008-01-03 | Impulse Point, Llc | Method and System for Self-Scaling Generic Policy Tracking |
| US8365256B2 (en) | 2007-05-22 | 2013-01-29 | Cisco Technology, Inc. | Authentication server with link state monitor and credential cache |
| US20100107154A1 (en) * | 2008-10-16 | 2010-04-29 | Deepak Brahmavar | Method and system for installing an operating system via a network |
-
2014
- 2014-03-17 CN CN201480077294.6A patent/CN106105134B/zh active Active
- 2014-03-17 WO PCT/EP2014/055281 patent/WO2015139721A1/en active Application Filing
- 2014-03-17 US US15/125,360 patent/US10425448B2/en active Active
- 2014-03-17 EP EP14712627.0A patent/EP3120515B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| US10425448B2 (en) | 2019-09-24 |
| EP3120515B1 (en) | 2020-07-08 |
| WO2015139721A1 (en) | 2015-09-24 |
| EP3120515A1 (en) | 2017-01-25 |
| US20170078333A1 (en) | 2017-03-16 |
| CN106105134A (zh) | 2016-11-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106105134B (zh) | 用于改进端到端数据保护的方法和装置 | |
| CN108781216B (zh) | 用于网络接入的方法和设备 | |
| US11082838B2 (en) | Extensible authentication protocol with mobile device identification | |
| EP3750342B1 (en) | Mobile identity for single sign-on (sso) in enterprise networks | |
| US7194763B2 (en) | Method and apparatus for determining authentication capabilities | |
| US9716999B2 (en) | Method of and system for utilizing a first network authentication result for a second network | |
| EP1770940B1 (en) | Method and apparatus for establishing a communication between a mobile device and a network | |
| US20120284785A1 (en) | Method for facilitating access to a first access nework of a wireless communication system, wireless communication device, and wireless communication system | |
| US9226153B2 (en) | Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP | |
| US20180310172A1 (en) | Method And Apparatus For Extensible Authentication Protocol | |
| KR20230124621A (ko) | 비-3gpp 서비스 액세스를 위한 ue 인증 방법 및 시스템 | |
| TWI828235B (zh) | 用於使用使用者裝備識別符進行認證之方法、設備及電腦程式產品 | |
| CN108540493B (zh) | 认证方法、用户设备、网络实体以及业务侧服务器 | |
| KR20060070313A (ko) | 무선 이동 단말의 인증 시스템 구현 장치 및 방법 | |
| WO2016065847A1 (zh) | WiFi分流的方法、装置及系统 | |
| GB2417856A (en) | Wireless LAN Cellular Gateways | |
| Daldoul et al. | A robust certificate management system to prevent evil twin attacks in IEEE 802.11 networks | |
| CN103379591B (zh) | 用户设备接入模式的选择方法及装置 | |
| Tas | WI-FI ALLIANCE HOTSPOT 2.0 SPECIFICATION BASED NETWORK DISCOVERY, SELECTION, AUTHENTICATION, DEPLOYMENT AND FUNCTIONALITY TESTS. | |
| CN103856933A (zh) | 一种漫游终端的认证方法、装置及服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |