CN1650655A - 用于确保通信网络中无线终端装置的地址信息的方法和设备 - Google Patents
用于确保通信网络中无线终端装置的地址信息的方法和设备 Download PDFInfo
- Publication number
- CN1650655A CN1650655A CNA038100991A CN03810099A CN1650655A CN 1650655 A CN1650655 A CN 1650655A CN A038100991 A CNA038100991 A CN A038100991A CN 03810099 A CN03810099 A CN 03810099A CN 1650655 A CN1650655 A CN 1650655A
- Authority
- CN
- China
- Prior art keywords
- address
- terminal installation
- access point
- terminal
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/02—Data link layer protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
用于在无线局域网中确保无线终端装置的地址信息的方法和装置,所述网络包括用于建立至终端装置的通信连接的接入点,所述方法包括:在终端装置与接入点之间建立通信连接(101);和将数据分组从终端装置中继到网络以及从网络中继到终端装置(105)。该方法还包括在接入点上的以下步骤:检测终端装置的IP地址以响应已建立的通信连接(103);将终端装置的已检测IP地址与终端装置的MAC地址相关联(104);和比较已中继的数据分组上的终端装置的地址信息是否对应于已关联的地址信息(111,112)。
Description
技术领域
本发明涉及用于确保通信网络中无线终端装置的地址信息的方法和设备,并且特别地(尽管不一定)涉及用于确保受控接入无线局域网的无线终端装置的传送数据量的完整性的方法和设备。
背景技术
无线局域网通常包括具有诸如无线终端装置或便携式计算机的终端装置和接入点的网络,其中利用无线电波或红外技术以无线方式部分地或完整地执行终端装置与接入点之间的数据传输。
电信网络的结构通常使用OSI模型(开放系统互连)来描述,该OSI模型定义不同装置和相关软件用于相互通信的接口。OSI模型基于层的概念,最低层或第一层被称作物理层,该物理层包括涉及数据传送的所有逻辑、电和机械出口(issue)。第二协议层即数据链路层负责连接建立、纠错和连接释放。第三协议层即网络层提供不依赖于网络结构的数据传输。后续层分别是传输层(第四层)、会话层(第五层)、表示层(第六层)和应用层(第七层)。
在OWLAN(Operator Wireless Local Area Network操作员无线局域网)系统中,验证和接入控制目前发生在OSI模型的第三层即网络层或者IP层(网际协议层)上,并且执行终端装置与接入点之间的WLAN相关联而不需要验证。接入点是互连无线网络和有线网络的物理装置,诸如基站。在开放系统验证中,关联事件不牵涉实际验证,但是在关联之前执行的开放系统验证是无效(null)验证。在相关联之后,通常利用基于IP的DHCP(Dynamic Host ConfigurationProtocol动态主机配置协议)向终端装置提供IP地址。然后,通过执行基于IP的验证协议来执行验证。尽管验证协议也利用IP层之上的协议层,但是验证在此情况下被称作第三协议层的验证,因为通常在第三协议层上执行接入控制。操作员无线LAN解决方案包括网络接入验证协议(NAAP),这是利用GSM用户身份模块验证无线终端的第三协议层的协议。第三协议层验证协议的另一个示例是基于超文本传送协议(HTTP)的解决方案,其中利用用户填充证件(credential)的环球网(WWW)页执行验证。第三协议层验证协议的再一个实例是互联网密钥交换(Internet Key Exchange)(IKE)协议,在建立虚拟专用网连接时使用该协议。在所有这些实例中,在无线终端可以接入正在对其实施接入控制的资源之前,该无线终端需要执行第三协议层验证协议。
标准化为硬件和软件制造商提供一种构架来允许不同制造商的产品一起使用。WLAN标准的名称是IEEE802.11,并且正在逐渐被众多子标准增补。根据即将来临的IEEE802.11i标准,在终端装置与网络之间传输IP分组之前,将根据第二协议层验证方法比如IEEE802.1x协议执行WLAN验证。
被称作接入控制器的OWLAN系统中的路由器装置在根据第三协议层执行的验证即开放系统验证中充当对方(other party),并且维持已验证的终端装置的接入控制列表(ACL)。该接入控制器可以被设置为第一路由器,即位于通信网络与连接到无线局域网的无线终端之间的边缘路由器,或者该接入控制器还可以被设置在网络中更深的地方。IEEE正在标准化其中相对于接入点执行验证的新WLAN验证系统。即将到来的诺基亚操作员无线LAN解决方案的版本将允许无线终端利用第三协议层验证(比如开放系统验证)或者利用第二协议层验证(比如根据IEEE802.1x协议)接入网络。接入点启动开放系统验证和第二协议层的验证如IEEE802.1x验证,其中在开放系统验证中根据第三协议层在后一阶段上验证终端装置。无线LAN解决方案的某些网络单元可以以后向兼容方式支持新的IEEE802.1x层2验证标准和当前的层3验证。然而,接入点可以不总是负责记帐数据的收集。相反,接入路由器(接入控制器,比如诺基亚P022)在某些实施方案中可以收集记帐信息。记帐信息包括连接时间和传送的数据量。
当对于连接时间记帐时,问题是接入控制器不知道终端何时离开接入网。实际上,各个接入点可能不一定能够告知终端是否离开网络,或者只是执行对另一个接入点的切换。当对转送的数据量记帐时,接入点可以确保由已验证的终端发送的分组(MAC地址)只被转发给网络。对于接入控制器,MAC地址不一定是可视的,特别是在接入控制器不是第一路由器,而是驻留在网络的较深处时;所以接入点对来自某个IP地址的分组计数。因此,终端能够从其他某人的IP地址而不是他自己的MAC地址发送分组,并因此不支付连接费用而使分组通过。
发明内容
现在发明了一种用于检验无线局域网中的无线终端装置的地址信息的方法和设备。
本发明的接入点(以下简称为AP)检验无线终端在该终端发送给通信网络和从通信网络接收的数据分组中是否具有正确的IP地址。借此,可以避免或者至少减轻在另一个无线终端的帐单上的数据分组发送的问题。AP学习终端的IP地址并将它映射到从终端装置接收的终端标识信息上。接入点检测终端装置发送和接收的数据分组中的IP地址,并将已检测的IP地址与映射到终端装置的标识信息上的IP地址进行比较。如果已检测的IP地址和已映射的IP地址不匹配,接入点则废弃终端装置的数据分组。
根据本发明的第一方面,提供用于在无线局域网中检验无线终端装置的地址信息的一种方法,所述网络包括用于建立至终端装置的通信连接的接入点,所述方法包括:在终端装置与接入点之间建立通信连接;从终端装置接收标识信息;其特征在于,所述方法还包括在接入点上:在已建立通信连接之后,检测终端装置的IP地址;将终端装置的已检测IP地址与从终端装置接收的标识信息相关联;将数据分组从终端装置中继到网络以及从网络中继到终端装置,所述数据分组包括IP地址;和比较已中继的数据分组中的IP地址是否对应于已关联的IP地址。
根据本发明的第二方面,提供用于在无线局域网中建立至终端装置的通信连接的一种接入点,所述接入点包括:建立装置,用于在终端装置与接入点之间建立通信连接;接收装置,用于从终端装置接收标识信息;其特征在于,所述接入点还包括:检测装置,用于在已建立通信连接之后检测终端装置的IP地址;关联装置,用于将终端装置的已检测IP地址与从终端装置接收的标识信息相关联;和中继装置,用于将数据分组从终端装置中继到网络以及从网络中继到终端装置,所述数据分组包括IP地址;和比较装置,用于比较已中继的数据分组中的IP地址是否对应于已关联的IP地址。
根据本发明的第三方面,提供用于在无线局域网中建立至终端装置的通信连接的一种接入点,所述接入点包括:建立器,被配置成在终端装置与接入点之间建立通信连接;接收器,被配置成从终端装置接收标识信息,该信息标识所述终端装置;其特征在于,所述接入点还包括:检测器,被配置成在已建立通信连接之后检测终端装置的IP地址;存储器,被配置成存储终端装置的已检测IP地址与从终端装置接收的标识信息的关联;和中继器,被配置成将数据分组从终端装置中继到网络以及从网络中继到终端装置,所述数据分组包括IP地址;和比较器,被配置成比较已中继的数据分组中的IP地址是否对应于已关联的IP地址。
根据本发明的第四方面,提供用于接入点的一种计算机程序产品,该接入点在无线局域网中建立至对终端装置的通信连接,所述接入点包括:建立装置,用于在终端装置与接入点之间建立通信连接;接收装置,用于从终端装置接收标识信息,该信息标识所述终端装置;其特征在于,该计算机程序产品包括:用于使接入点在已建立通信连接之后检测终端装置的IP地址的计算机程序装置;用于使接入点将终端装置的已检测IP地址与终端装置的标识信息相关联的计算机程序装置;和用于使接入点将数据分组从终端装置中继到网络以及从网络中继到终端装置的计算机程序装置,所述数据分组包括IP地址;和用于使接入点比较已中继的数据分组中的终端装置的IP地址是否对应于已关联的IP地址的计算机程序装置。
本发明的优点包括记帐的真实性和完整性。如果在另一个网络单元(例如接入控制器)而不是接入点中根据终端装置的IP地址收集记帐信息,则本发明的方法提供用于检验IP地址属于正确终端装置以及对正确终端装置执行记帐的技术解决方案。
在计算机插入的情况中,通过将IP层记录(level log)与WLAN层记录相互进行比较,将检测和标识已经发送分组的终端装置。由于终端装置的MAC地址总是真实的,所以跟踪能力将变得更好。如果在网络中使用根据IP地址过滤数据分组的防火墙,则通过本发明的方法确保终端装置不能利用错误IP地址接入在防火墙后面的网络。
再一个优点是,错误配置或错误操作的终端装置不能造成网络的任何损害。此外,在使用本发明的方法时,网络操作员也可以确信双重记帐或者错误记帐不可能发生。
附图说明
下面,将参考附图更详细描述本发明,其中
图1是图示根据本发明的一个实施例的方法的流程图;
图2图示其中可以使用本发明的系统;
图3图示根据本发明的一个实施例的接入点。
具体实施方式
图1示出了根据本发明一个实施例的方法的流程图。该方法的步骤可以最好被实施为被存入接入点的存储器中的计算机程序代码。在步骤101,接入点和终端装置比如无线通信装置建立通信连接并相互关联。在关联期间,接入点接收终端装置的MAC地址。接下来执行终端装置的验证(步骤102)。如果根据IEEE802.1x协议验证终端装置,则首先在终端装置与接入点之间执行验证。在根据IEEE802.1x协议成功验证之后,终端装置例如从DHCP服务器(该服务器可以例如位于网络的接入点或者其它地方)接收IP地址,并且接入点向接入控制器发射关于事件的信息。如果终端采用开放系统验证方法,终端从例如DHCP服务器接收IP地址,该DHCP可以位于网络中的接入点、验证代理或者其它地方,此后执行根据第三协议层的基于IP的验证协议。在终端装置与验证代理之间执行IP层验证。优选地,当终端装置从例如DHCP服务器接收IP地址时,接入点利用DHCP协议事务处理检测终端装置的IP地址(步骤100)。因此,如果终端利用开放系统验证方法,则可以以一个不同顺序执行步骤102和103。接入点需要保持所有访问无线终端的IP地址/MAC地址的映射的跟踪。即使一个终端未验证就加入网络(开放系统验证),接入点也需要找出该终端的IP地址。接入点可以通过例如收听终端发送和接收的DHCP分组来学习终端的IP地址。作为选择,接入点可以包括DHCP中继功能。接入点最好在位于接入点上的存储器中存储IP地址。终端装置的IP地址和MAC地址相互关联(步骤104),并且启动终端装置的数据分组的中继(步骤105)。
在步骤106,接入点检测已关联的终端是否离开了服务区域,即连接终止或者静区(其中信号的有效的无线电接收是不可能的覆盖区的一个区域),以停止对该终端记帐。即使终端离开某个接入点的服务区域,该终端也可能未离开整个接入网。该终端也许与相同接入点相关联,或者执行到另一个接入点的切换。当接入点检测到终端已经离开时,接入点调度一个计时器(步骤107)。如果在计时器期满之前(步骤109)终端与该接入点或者与另一个接入点不相关联(步骤108),该接入点向接入控制器发出应当停止记帐的信号(步骤110),并删除它已经为该终端装置分配的任何状态。如果终端装置在计时器期满之前出现(步骤108),则不向接入控制器发信号。接入点将利用中间接入点协议(Inter Access Point Protocol)查明终端装置是否与另一个接入点关联。作为选择,当接入点检测到终端装置已经离开时(步骤106),则它立即向接入控制器发信号。接入控制器调度计时器(步骤107)。如果终端在计时器期满之前(步骤109)与一个接入点不关联(步骤108),则接入控制器检测终端已经离开并且停止记帐(步骤110)。只要终端装置与一个接入点关联(步骤108),接入点就向接入控制器发信号,所以接入控制器可以取消它也许已经调度的任何计时器,并且继续到步骤111。
对于使用IEEE802.11i的终端,分组包括消息完整性代码,这确保只有授权终端才能够发送分组。然而,对接入点的常规检验仅仅验证MAC地址属于一个已授权装置。由于接入控制器查看IP地址,因此常规的802.11i检验不足以确保记帐完整性。因此,在接收到来自无线终端或者预定到达无线终端的分组时,接入点需要验证IP地址匹配MAC地址(步骤111)。一旦接收来自终端装置的数据帧,接入点就验证IP源地址等于在步骤103存储的IP地址。类似地,一旦收到来自分布系统(有线网络)的数据帧,接入点就验证目的地MAC地址和目的地IP地址属于相同的终端装置。作为选择,如果使用终端类别,一旦从终端装置收到数据帧,接入点就验证源IP地址属于正确终端类别的IP地址库。换言之,如果终端装置是开放系统终端,则IP源地址必须属于开放系统终端的IP地址,并且如果终端装置是IEEE802.1x终端,则IP源地址必须属于IEEE802.1x终端的IP地址库。类似地,一旦收到来自分布系统(有线网络)的数据帧,接入点就首先根据目的地MAC地址检测终端类别,并且然后验证目的地IP地址来自正确终端类别的地址库。如果IP地址不是它应该是的地址,则接入点静静地废弃分组(步骤113)。如果在步骤112上比较为ok,则接入点继续中继终端装置的数据分组(步骤105)。这些操作将确保由接入控制器计算的已传送的数据量是正确的。攻击者将不能够利用某人的其它IP地址发送分组。在废弃终端装置的数据分组之后,接入点也许具有终止至终端装置连接的能力(步骤114)。如果接入点没有这种能力或者在步骤114它不能终止至终端装置的连接,则处理过程继续到步骤105。如果在步骤114接入点决定终止连接,则它可能进一步具有把终端装置的MAC地址添加到行为不良的终端装置的列表上(步骤115)。所述列表被存储在例如接入点的存储器中。最后,接入点终止对终端装置的记帐,或者向例如接入控制器发出终止记帐的信号(步骤110)。
图2示出了根据本发明的系统。此系统可以是普通802.11i或者802.1x系统,或者该系统可以支持开放系统接入终端和上述的802.11i和/或802.1x终端。本发明的方法和装置不限于这里所述的系统。作为一个实例,描述系统包括:接入点201,用于建立至终端装置的无线通信连接并且在终端装置与通信网络之间中继数据分组;接入控制器202,用于控制终端装置如开放系统终端的接入;路由器206,用于路由传送终端装置的数据分组;作为802.1x系统中的802.1x终端操作的第一终端装置210;以及作为开放系统中开放系统终端操作的第二终端装置220.该系统还可以包括:记帐服务器203,用于对终端装置(210,220)的连接时间和/或数据的传送量记帐;DHCP服务器204,用于向终端装置提供IP地址;验证服务器,用于验证至网络的终端装置;防火墙207,用于提供对安全网络208的接入。
支持例如802.1x和开放系统验证的接入点变得容易受到某些恶意的攻击,因为接入点控制其它接入方法而接入控制器控制另一个接入方法。如果接入点将只让开放系统用户进入网络而不作任何进一步检验,盗取接入区域中的某些其它用户的身份是相当简单的。这可以这样实现:例如,在会话期间改变终端装置的IP或者MAC地址,以便甚至临时得到某些其它用户的身份。这类的身份盗取将造成网络把另一个用户业务发送给敌意的攻击者。此外,通过得到另一个用户身份,攻击者可以花费其它用户的费用来使用网络。
在下一个实例中,假定根据终端装置210、220的IP地址执行记帐。对两个终端的记帐在记帐服务器203上集中执行。作为开放接入终端的终端220对无线局域网验证,并例如从DHCP服务器204或者从验证服务器205得到一个IP地址。终端220经由防火墙207接入网络208,并开始发送和接收数据分组。此外,作为802.1x终端的终端210对无线局域网验证。终端210查找和开始使用分配给终端220的IP地址。终端210向有线网例如网络208发送数据分组。现在记帐服务器203不向终端210收费,而是仅向终端220收费,因为在两个终端210和220上都使用相同的IP地址。
终端210和220的记帐例如帐单信息可以交替地位于不同单元中,例如,所以接入控制器202或者记帐服务器203对终端220的传送数据记帐,而接入点201对终端210的传送数据记帐。在本开放接入系统中,根据IP地址执行记帐;并且在802.1x和802.11i系统中,根据MAC地址记帐。在这样一种情况下,即使使用终端装置220的IP地址,终端210也不能免费发送数据分组。接入点201对终端210发送/接收的数据分组进行记帐,而接入控制器202或记帐服务器203向终端装置220收取有关终端装置210使用终端装置220的IP地址发送的数据分组的费用。
即使终端装置210不能免费发送数据分组,它也能够通过使用终端装置220的IP地址发送数据分组,以使终端装置210看来像是发送分组的终端装置220。终端装置210还可以基于终端装置220的IP地址接收数据分组。如果终端装置210向其它网络单元发送ARP分组,则有可能把属于终端220的数据分组指引到终端装置210。ARP分组是供MAC地址/IP地址映射管理使用的特殊数据分组。ARP分组可以用来更新到达网络单元的特定IP地址属于特定MAC地址的的信息。通过使用终端装置220的IP地址,终端装置210有可能接入通常允许接入的网络208。
当终端装置210使用诸如接入点201或者接入控制器202的网络单元的IP地址经由防火墙209接入验证服务器205时,可能出现另一个安全问题。在下面的实例中,对于属于接入点201和/或接入控制器202的IP地址,防火墙只允许接入验证服务器。如果终端装置210以某种方式找到接入点或者接入控制器的IP地址,则终端装置210可以经由防火墙209接入验证服务器,以及例如盗取信息或把病毒加载到服务器上。
当接入点201正在使用本发明方法时,会使上述的IP地址的滥用更加困难。接入点201检测终端装置210和220的IP地址,将其与MAC地址关联,并且把终端装置的所述IP地址和MAC地址存储到一个映射表(map)上。然后接入点比较具有被中继数据分组的IP地址信息是否对应于映射表上的已关联IP和MAC地址信息。让我们考虑下面的情况,其中终端装置220使用IP地址,假定IP1。接入点将IP1与终端装置220的MAC地址(MAC1)相关联。当终端装置210连接到网络时,在验证处理后该终端装置得到另一个IP地址,IP2。接入点现在将IP2与终端装置210的MAC地址MAC2相关联,如果终端装置210把IP地址IP2改变到IP1,并且经由接入点201把数据分组发送到网络,则接入点注意到数据分组中的IP地址和MAC地址组合不同于被关联到接入点映射表的地址组合。映射表可以仅仅包括IP地址的列表和MAC地址的另一个列表,每个IP地址被链接到相应的MAC地址。现在接入点废弃终端装置发送到网络上的那些数据分组。接入点还可以终止至该终端装置的连接,并且把终端装置的MAC地址添加到一个列表上。该列表可以包括例如所有那些试图使用另一个终端的IP地址发送或者接收数据分组的终端。类似地,接入点废弃那些从网络到终端装置的其中IP和MAC地址与接入点201的映射表上的信息不匹配的数据分组。
图3示出了本发明一个实施例的接入点300。接入点工作于可以是例如普通802.1x或者802.11i系统的一个系统中,或者此系统可以支持两个或多个不同终端比如802.1x终端和开放系统终端。接入点300包括:处理器301和存储器302,用于运行在接入点上存储的应用程序,至少一个应用程序303用于执行例如图1所示的本发明的方法。接入点300还包括一个接口305,用于连接到路由器、服务器如接入控制器或者验证服务器。接入点还包括收发信机306和天线307,用于建立至无线终端的无线通信连接。接入点还包括用于映射终端装置的IP地址和MAC地址的映射表304。作为选择,映射表304可以被存储在接入点300的存储器302中。
接入点借助于收发信机306、天线307、处理器301以及接入点303中存储的合适应用程序建立对终端装置的通信连接。接入点最好通过接收来自终端装置的消息来标识验证方法,所述消息指示终端正在使用的验证方法。如果终端利用开放系统验证方法,则该消息最好是根据IEEE802.11标准的验证请求消息,所述验证请求消息指示开放系统验证。如果终端采用IEEE802.1x验证方法,则该消息是最好根据IEEE802.11i标准的关联请求消息。所述关联请求消息包括指示IEEE802.1x验证的一个验证程序集单元(suite element)。
采用开放系统验证方法的终端从DHCP服务器接收供使用的IP地址,这可以被定位于验证代理上,或者作为选择可以被定位于接入点或网络的其它地方。接入点300在终端与验证代理之间中继验证消息,而验证代理用作验证器实体,并且通过使用第三协议层的基于IP的验证方法来验证终端装置。验证代理通常还通过在终端装置与验证服务器之间中继验证消息来使用由验证服务器提供的验证服务,这核实该验证信息。在验证之后,验证代理向接入控制器发送关于成功验证的信息以及终端的标识数据比如终端IP地址或MAC地址,接入控制器把标识数据添加到接入控制列表上并开始中继终端的数据分组。
当终端使用IEEE802.1x协议用于验证时,接入点起验证器实体作用,并通过使用第二协议层的IEEE802.1x协议验证终端。接入点通常通过在终端装置与验证服务器之间中继验证消息来使用由验证服务器提供的验证服务,这核实该验证信息。接入点可以向接入控制器发送关于成功验证的信息以及终端的标识数据,比如终端IP地址或MAC地址,接入控制器把终端的标识数据添加到接入控制列表上并开始中继终端的数据分组。
当检测终端装置的IP地址和MAC地址时,接入点例如随后通过把IP地址和MAC地址添加到映射表304上来将所述IP地址与所述MAC地址相关联。
当中继已验证终端装置的数据分组时,接入点将来自终端装置的数据分组的源IP地址与映射表304中的IP地址进行比较。此外,接入点最好可以把从网络到终端的数据分组的目的地IP地址与映射表304中的IP地址进行比较。
当中继由一个被验证终端装置发送的ARP分组时,接入点同样将ARP分组中的IP地址字段与映射表304中的IP地址进行比较。
当接入点检测到数据分组中的IP地址(源IP或者目的地IP)不对应于映射表304中的IP地址时,接入点可以静静地废弃终端装置的那些数据分组。此外,接入点可以把终端装置的IP和/或MAC地址添加到包括滥用IP地址的终端装置的列表上。最后,接入点从网络中断开终端装置。
终端装置与接入点之间的通信连接执行完整性保护,该完整性保护是用来防止数据在它经由网络被存储或被传送的同时被未授权修改的安全措施。完整性保护在终端装置与接入点之间执行。目前具有几种已知的用于完整性保护的技术,比如需要被终端装置和接入点共享的对称密钥的密钥控制的消息验证代码(MAC)。可以在数据上计算MAC并且可以沿数据传送MAC。数据的接收器计算MAC的拷贝,并核实已接收的MAC等于计算的MAC。如果MAC值匹配,则已接收的数据与被发送的数据相同。
本发明并不限于开放系统或根据IEEE802.11i协议或IEEE802.1x协议的系统。本发明的方法还可以在例如802.11、蓝牙或者类似的局域网中使用。本发明可以在任何这样的系统中使用,其中终端可以通过经由接入点建立连接来接入网络。
上述公开利用实例解释了本发明的实施和本发明的实施例。本领域熟练技术人员将会明白,本发明并不限于上述实施例的细节,并且还可以在不背离本发明特征的条件下,具有其它的方式来实施本发明。因此,上述实施例应当被认为是示范性的而非限制性的。因此,实施和使用本发明的可能性仅限于所附的权利要求书,并因此在权利要求书中定义的包括等效实施方案的本发明的不同的替代实施方案也属于本发明的范畴。
Claims (18)
1.用于在无线局域网中检验无线终端装置的地址信息的一种方法,所述网络包括建立至终端装置的通信连接的接入点,
所述方法包括:
在终端装置与接入点之间建立通信连接(101);
从终端装置接收标识信息(102);
其特征在于,所述方法还包括在接入点上:
在建立通信连接之后,检测终端装置的IP地址(103);
将终端装置的已检测IP地址与从终端装置接收的标识信息相关联(104);
将数据分组从终端装置中继到网络以及从网络中继到终端装置(105),所述数据分组包括IP地址;和
比较已中继的数据分组中的IP地址是否对应于已关联的IP地址(111)。
2.根据权利要求1所述的方法,其特征在于,将去往终端装置的数据分组的目的地IP地址与已关联的IP地址进行比较。
3.根据权利要求1所述的方法,其特征在于,将来自终端装置的数据分组的源IP地址与已关联的IP地址进行比较。
4.根据权利要求1所述的方法,其特征在于,接入点从终端装置发送和/或接收的DHCP分组中检测终端装置的IP地址。
5.根据权利要求1所述的方法,其特征在于,当接入点正在中继终端装置的DHCP分组时,接入点检测终端装置的IP地址。
6.根据权利要求1至5所述的方法,其特征在于,如果向终端装置发送的或从终端装置接收的数据分组的IP地址不对应于已关联的IP地址,则废弃该分组。
7.根据权利要求1至5所述的方法,其特征在于,如果向终端装置发送的或从终端装置接收的数据分组的IP地址不对应于已关联的IP地址,则终止接入点与终端装置之间的连接。
8.根据权利要求6和7所述的方法,其特征在于,将终端装置添加到行为不良的终端的列表上。
9.根据权利要求8所述的方法,其特征在于,终端装置与接入点之间的通信连接具有包括终端装置的MAC地址的完整性保护。
10.用于在无线局域网中建立至终端装置的通信连接的一种接入点(300),所述接入点包括:
建立装置(301-303,306,307),用于在终端装置与接入点之间建立通信连接;
接收装置(305-307),用于从终端装置接收标识信息;和
其特征在于,所述接入点还包括:
检测装置(301-303),用于在建立通信连接之后检测终端装置的IP地址;
关联装置(301-304),用于将终端装置的已检测IP地址与从终端装置接收的标识信息相关联;和
中继装置(301-303,305),将数据分组从终端装置中继到网络以及从网络中继到终端装置,所述数据分组包括IP地址;和
比较装置(301-305),用于比较已中继的数据分组中的IP地址是否对应于已关联的IP地址。
11.根据权利要求10所述的接入点,其特征在于,比较装置被安排为将去往终端装置的数据分组的目的地IP地址与终端装置的已关联的IP地址进行比较。
12.根据权利要求11所述的接入点,其特征在于,比较装置被安排为将来自终端装置的数据分组的源IP地址与终端装置的已关联的IP地址进行比较。
13.根据权利要求11所述的接入点,其特征在于,检测装置被安排为从终端装置发送和/或接收的DHCP分组中检测终端的IP地址。
14.根据权利要求11所述的接入点,其特征在于,检测装置被安排为在接入点正在中继终端装置的DHCP分组时检测终端装置的IP地址。
15.根据权利要求11所述的接入点,其特征在于,接入点还包括废弃装置,用于在向终端装置发送的或从终端装置接收的数据分组的IP地址不对应于已关联的IP地址时废弃终端装置的数据分组。
16.根据权利要求15所述的接入点,其特征在于,废弃装置还被安排为终止接入点与终端装置之间的连接。
17.用于在无线局域网中建立至终端装置的通信连接的一种接入点(300),所述接入点包括:
建立器(301-303,306,307),被配置成在终端装置与接入点之间建立通信连接;
接收器(305-307),被配置成从终端装置接收标识信息,该信息标识所述终端装置;和
其特征在于,所述接入点还包括:
检测器(301-303),被配置成在建立通信连接之后检测终端装置的IP地址;
存储器(302,304),被配置成存储终端装置的已检测IP地址与从终端装置接收的标识信息的关联;和
中继器(301-303,305),被配置成将数据分组从终端装置中继到网络以及从网络中继到终端装置,所述数据分组包括终端装置的IP地址;和
比较器(301-305),被配置成比较已中继的数据分组中的IP地址是否对应于已关联的IP地址。
18.用于接入点(300)的一种计算机程序产品,该接入点在无线局域网中建立至终端装置的通信连接,所述接入点包括:
建立装置(301-303,306,307),用于在终端装置与接入点之间建立通信连接;
接收装置(305-307),用于从终端装置接收标识信息,该信息标识所述终端装置;和
其特征在于,该计算机程序产品包括:
用于使接入点在已建立通信连接之后检测终端装置的IP地址的计算机程序装置;
用于使接入点将终端装置的已检测IP地址与终端装置的标识信息相关联的计算机程序装置;和
用于使接入点将数据分组从终端装置中继到网络以及从网络中继到终端装置的计算机程序装置,所述数据分组包括IP地址;和
用于使接入点比较已中继的数据分组中的终端装置的IP地址是否对应于已关联的IP地址的计算机程序装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0210267A GB2388498B (en) | 2002-05-07 | 2002-05-07 | Method and apparatus for ensuring address information of a wireless terminal device in communications network |
| GB0210267.1 | 2002-05-07 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1650655A true CN1650655A (zh) | 2005-08-03 |
| CN1320833C CN1320833C (zh) | 2007-06-06 |
Family
ID=9936090
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB038100991A Expired - Lifetime CN1320833C (zh) | 2002-05-07 | 2003-05-05 | 用于确保通信网络中无线终端装置的地址信息的方法和设备 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US7480933B2 (zh) |
| EP (1) | EP1502463B1 (zh) |
| CN (1) | CN1320833C (zh) |
| AT (1) | ATE437541T1 (zh) |
| AU (1) | AU2003229811A1 (zh) |
| DE (1) | DE60328478D1 (zh) |
| GB (1) | GB2388498B (zh) |
| WO (1) | WO2003096719A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007019803A1 (en) * | 2005-08-18 | 2007-02-22 | Hong Kong Applied Science and Technology Research Institute Co. Ltd | Authentic device admission scheme for a secure communication network, especially a secure ip telephony network |
| CN101651537A (zh) * | 2008-08-15 | 2010-02-17 | 上海贝尔阿尔卡特股份有限公司 | 一种在通信网络系统中进行分散式安全控制的方法和装置 |
| US7920548B2 (en) | 2005-08-18 | 2011-04-05 | Hong Kong Applied Science And Technology Research Institute Co. Ltd. | Intelligent switching for secure and reliable voice-over-IP PBX service |
| CN102271388A (zh) * | 2011-08-01 | 2011-12-07 | 中兴通讯股份有限公司 | 一种无线移动装置及其省电方法 |
| CN101796745B (zh) * | 2007-07-05 | 2013-10-30 | 三星电子株式会社 | 用于异步传输数据和映射信息的数据传输系统 |
| WO2014114077A1 (zh) * | 2013-01-28 | 2014-07-31 | 中兴通讯股份有限公司 | Cpe上基于mac地址的门户网站推介方法及cpe |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2251809B1 (en) * | 2001-11-01 | 2016-08-10 | Sony Corporation | Communication system and method, information processing terminal and method, and information processing device and method |
| US20040250129A1 (en) * | 2003-06-03 | 2004-12-09 | James Clough | Systems and methods for managing a network-based service |
| US7934005B2 (en) * | 2003-09-08 | 2011-04-26 | Koolspan, Inc. | Subnet box |
| CA2578186C (en) | 2004-10-12 | 2012-07-10 | Bce Inc. | System and method for access control |
| JP2006166232A (ja) * | 2004-12-09 | 2006-06-22 | Oki Electric Ind Co Ltd | ネットワークスイッチ装置及び方法、無線アクセス装置、および、無線ネットワークシステム |
| JP2006203300A (ja) * | 2005-01-18 | 2006-08-03 | Toshiba Corp | 転送装置、アクセス可否判定方法およびプログラム |
| US20060251066A1 (en) * | 2005-05-09 | 2006-11-09 | Nokia Corporation | Terminal routing identity as user identity for UICC-less terminals |
| US20070091859A1 (en) * | 2005-10-26 | 2007-04-26 | Aseem Sethi | System and method for association of mobile units with an access point |
| US8077701B2 (en) * | 2006-07-20 | 2011-12-13 | At&T Intellectual Property I, Lp | Systems, methods, and apparatus to prioritize communications in IP multimedia subsystem networks |
| US8064875B2 (en) * | 2006-08-04 | 2011-11-22 | At&T Intellectual Property I, L.P. | Methods and apparatus to update geographic location information associated with internet protocol devices for E-911 emergency services |
| US8531995B2 (en) | 2006-11-01 | 2013-09-10 | At&T Intellectual Property I, L.P. | Systems and methods for location management and emergency support for a voice over internet protocol device |
| WO2008096273A2 (en) * | 2007-02-09 | 2008-08-14 | Business Intelligent Processing Systems, Plc | System and method for performing payment transactions, verifying age, verifying identity, and managing taxes |
| US8620257B2 (en) * | 2007-02-20 | 2013-12-31 | At&T Intellectual Property I, L.P. | Systems and methods for location management and emergency support for a voice over internet protocol device |
| KR100879986B1 (ko) * | 2007-02-21 | 2009-01-23 | 삼성전자주식회사 | 모바일 네트워크 시스템 및 그 시스템의 핸드오버 방법 |
| US20080301797A1 (en) * | 2007-05-31 | 2008-12-04 | Stinson Samuel Mathai | Method for providing secure access to IMS multimedia services to residential broadband subscribers |
| US7907735B2 (en) | 2007-06-15 | 2011-03-15 | Koolspan, Inc. | System and method of creating and sending broadcast and multicast data |
| US20100088748A1 (en) * | 2008-10-03 | 2010-04-08 | Yoel Gluck | Secure peer group network and method thereof by locking a mac address to an entity at physical layer |
| JP5818268B2 (ja) * | 2010-11-02 | 2015-11-18 | 日本電気株式会社 | 通信システム、制御装置、経路制御方法およびプログラム |
| EP2697786B1 (en) * | 2011-04-13 | 2017-10-04 | Nokia Technologies Oy | Method and apparatus for identity based ticketing |
| US20140105037A1 (en) * | 2012-10-15 | 2014-04-17 | Natarajan Manthiramoorthy | Determining Transmission Parameters for Transmitting Beacon Framers |
| US8982860B2 (en) | 2013-03-11 | 2015-03-17 | Intel Corporation | Techniques for an access point to obtain an internet protocol address for a wireless device |
| CN105515996B (zh) * | 2015-12-21 | 2018-12-07 | 上海顶竹通讯技术有限公司 | 终端共享网络的方法及系统 |
| US10079757B2 (en) | 2016-04-07 | 2018-09-18 | Gogo Llc | Systems and methods for on-board access control |
| US11025663B1 (en) * | 2018-01-08 | 2021-06-01 | United Services Automobile Association (Usaa) | Automated network policy management |
| TWI821633B (zh) * | 2021-01-22 | 2023-11-11 | 飛泓科技股份有限公司 | 網路終端設備隔離認證方法 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5708654A (en) * | 1996-11-27 | 1998-01-13 | Arndt; Manfred R. | Method for detecting proxy ARP replies from devices in a local area network |
| US6073178A (en) * | 1996-12-09 | 2000-06-06 | Sun Microsystems, Inc. | Method and apparatus for assignment of IP addresses |
| US7032242B1 (en) * | 1998-03-05 | 2006-04-18 | 3Com Corporation | Method and system for distributed network address translation with network security features |
| US6806813B1 (en) * | 1998-12-21 | 2004-10-19 | At&T Wireless Services, Inc. | Method for location-based asset management |
| US6269395B1 (en) * | 1998-12-21 | 2001-07-31 | Nortel Networks Limited | Method and system in a computer-based system for providing access to services associated with different access points |
| US6466571B1 (en) * | 1999-01-19 | 2002-10-15 | 3Com Corporation | Radius-based mobile internet protocol (IP) address-to-mobile identification number mapping for wireless communication |
| US6272129B1 (en) * | 1999-01-19 | 2001-08-07 | 3Com Corporation | Dynamic allocation of wireless mobile nodes over an internet protocol (IP) network |
| GB2363043A (en) * | 1999-01-25 | 2001-12-05 | Ericsson Telefon Ab L M | Secure and efficient address resolution for client stations connected over wide area network links to ip networks such as the internet |
| WO2000079765A1 (en) * | 1999-06-23 | 2000-12-28 | At & T Wireless Services, Inc. | Reverse tunneling methods and apparatus for use with private computer networks |
| US6865191B1 (en) | 1999-08-12 | 2005-03-08 | Telefonaktiebolaget Lm Ericsson (Publ) | System and method for sending multimedia attachments to text messages in radiocommunication systems |
| JP2001103086A (ja) * | 1999-09-29 | 2001-04-13 | Nec Soft Ltd | Ipアドレス監視システムとipアドレス監視方法及び記録媒体 |
| US6823454B1 (en) * | 1999-11-08 | 2004-11-23 | International Business Machines Corporation | Using device certificates to authenticate servers before automatic address assignment |
| AU1969400A (en) | 1999-12-02 | 2001-06-12 | Nokia Networks Oy | Data transmission method and apparatus |
| FI109950B (fi) * | 2000-01-20 | 2002-10-31 | Nokia Corp | Osoitteen saanti |
| US20020025832A1 (en) | 2000-02-18 | 2002-02-28 | Durian Michael B. | Controlling data transmission involving a wireless telephone |
| US6977917B2 (en) | 2000-03-10 | 2005-12-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for mapping an IP address to an MSISDN number within a service network |
| US7096257B2 (en) * | 2000-06-15 | 2006-08-22 | Forster Energy Llc | Automatic assignment of addresses to nodes in a network |
| JP2002190816A (ja) * | 2000-12-20 | 2002-07-05 | Nec Corp | 無線通信システム |
| US20020138614A1 (en) * | 2001-03-20 | 2002-09-26 | Hall Dennis W. | Method and apparatus to manage network addresses |
| US7072340B2 (en) * | 2002-01-31 | 2006-07-04 | Telcordia Technologies, Inc. | Dynamic assignment and validation of IP addresses in wireless IP networks |
| US6745333B1 (en) * | 2002-01-31 | 2004-06-01 | 3Com Corporation | Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself |
| US7174376B1 (en) * | 2002-06-28 | 2007-02-06 | Cisco Technology, Inc. | IP subnet sharing technique implemented without using bridging or routing protocols |
| JP2006203300A (ja) * | 2005-01-18 | 2006-08-03 | Toshiba Corp | 転送装置、アクセス可否判定方法およびプログラム |
-
2002
- 2002-05-07 GB GB0210267A patent/GB2388498B/en not_active Expired - Lifetime
-
2003
- 2003-05-01 US US10/427,307 patent/US7480933B2/en active Active
- 2003-05-05 EP EP03722642A patent/EP1502463B1/en not_active Expired - Lifetime
- 2003-05-05 AU AU2003229811A patent/AU2003229811A1/en not_active Abandoned
- 2003-05-05 AT AT03722642T patent/ATE437541T1/de not_active IP Right Cessation
- 2003-05-05 WO PCT/FI2003/000348 patent/WO2003096719A1/en not_active Application Discontinuation
- 2003-05-05 CN CNB038100991A patent/CN1320833C/zh not_active Expired - Lifetime
- 2003-05-05 DE DE60328478T patent/DE60328478D1/de not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007019803A1 (en) * | 2005-08-18 | 2007-02-22 | Hong Kong Applied Science and Technology Research Institute Co. Ltd | Authentic device admission scheme for a secure communication network, especially a secure ip telephony network |
| US7920548B2 (en) | 2005-08-18 | 2011-04-05 | Hong Kong Applied Science And Technology Research Institute Co. Ltd. | Intelligent switching for secure and reliable voice-over-IP PBX service |
| CN101796745B (zh) * | 2007-07-05 | 2013-10-30 | 三星电子株式会社 | 用于异步传输数据和映射信息的数据传输系统 |
| CN101651537A (zh) * | 2008-08-15 | 2010-02-17 | 上海贝尔阿尔卡特股份有限公司 | 一种在通信网络系统中进行分散式安全控制的方法和装置 |
| CN102271388A (zh) * | 2011-08-01 | 2011-12-07 | 中兴通讯股份有限公司 | 一种无线移动装置及其省电方法 |
| CN102271388B (zh) * | 2011-08-01 | 2017-09-29 | 中兴通讯股份有限公司 | 一种无线移动装置及其省电方法 |
| WO2014114077A1 (zh) * | 2013-01-28 | 2014-07-31 | 中兴通讯股份有限公司 | Cpe上基于mac地址的门户网站推介方法及cpe |
| CN103973821A (zh) * | 2013-01-28 | 2014-08-06 | 中兴通讯股份有限公司 | Cpe上基于mac地址的门户网站推介方法及cpe |
| CN103973821B (zh) * | 2013-01-28 | 2017-10-27 | 中兴通讯股份有限公司 | Cpe上基于mac地址的门户网站推介方法及cpe |
| US9894161B2 (en) | 2013-01-28 | 2018-02-13 | Zte Corporation | Method and CPE for promoting portal website based on MAC address |
Also Published As
| Publication number | Publication date |
|---|---|
| GB0210267D0 (en) | 2002-06-12 |
| US20040148374A1 (en) | 2004-07-29 |
| ATE437541T1 (de) | 2009-08-15 |
| EP1502463B1 (en) | 2009-07-22 |
| WO2003096719A1 (en) | 2003-11-20 |
| US7480933B2 (en) | 2009-01-20 |
| CN1320833C (zh) | 2007-06-06 |
| DE60328478D1 (de) | 2009-09-03 |
| AU2003229811A1 (en) | 2003-11-11 |
| EP1502463A1 (en) | 2005-02-02 |
| GB2388498A (en) | 2003-11-12 |
| GB2388498B (en) | 2005-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1320833C (zh) | 用于确保通信网络中无线终端装置的地址信息的方法和设备 | |
| CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
| US10069793B2 (en) | Identity verification method, internet of thins gateway device, and verification gateway device using the same | |
| US7360242B2 (en) | Personal firewall with location detection | |
| JP4174392B2 (ja) | ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置 | |
| US7272846B2 (en) | System and method for detecting and reporting cable modems with duplicate media access control addresses | |
| US7342906B1 (en) | Distributed wireless network security system | |
| CN101455041B (zh) | 网络环境的检测 | |
| CN1784851B (zh) | 用于控制终端设备到无线局域网的接入的方法及接入点 | |
| US7805512B2 (en) | Remote configuration, provisioning and/or updating in a layer two authentication network | |
| US20040049699A1 (en) | System and method for remotely monitoring wireless networks | |
| WO2002086708A1 (en) | Automated updating of access points in a distributed network | |
| EP1493244A1 (en) | Group judgment device | |
| CN101820344A (zh) | Aaa服务器、家庭网络接入方法和系统 | |
| CN101247396A (zh) | 一种分配ip地址的方法、装置及系统 | |
| CN104125568A (zh) | 无线接入点安全认证方法和系统 | |
| US9374371B2 (en) | Authentication apparatus and method thereof, and computer program | |
| CN101563883A (zh) | 在通信网络中锁定运营商接入 | |
| CN109818943A (zh) | 一种适用于低轨卫星物联网的认证方法 | |
| US20070250596A1 (en) | System and method for providing security backup services to a home network | |
| CN101697550A (zh) | 一种双栈网络访问权限控制方法和系统 | |
| CN114158037A (zh) | 一种基于分层区块链的物联网设备身份认证方法及系统 | |
| EP1249797A2 (en) | Multi-unit building with secure entry system | |
| CN101399814A (zh) | 验证数据链路层地址与其发送方关系的方法、系统及装置 | |
| KR20070102830A (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160120 Address after: Espoo, Finland Patentee after: NOKIA TECHNOLOGIES OY Address before: Espoo, Finland Patentee before: NOKIA Corp. |
|
| CX01 | Expiry of patent term |
Granted publication date: 20070606 |
|
| CX01 | Expiry of patent term |