CN1663168A - 接入网之间互配中可传递的认证、授权和记帐 - Google Patents

接入网之间互配中可传递的认证、授权和记帐 Download PDF

Info

Publication number
CN1663168A
CN1663168A CN038142988A CN03814298A CN1663168A CN 1663168 A CN1663168 A CN 1663168A CN 038142988 A CN038142988 A CN 038142988A CN 03814298 A CN03814298 A CN 03814298A CN 1663168 A CN1663168 A CN 1663168A
Authority
CN
China
Prior art keywords
subscriber equipment
communication network
address
session key
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN038142988A
Other languages
English (en)
Other versions
CN1663168B (zh
Inventor
J·张
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
InterDigital CE Patent Holdings SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Publication of CN1663168A publication Critical patent/CN1663168A/zh
Application granted granted Critical
Publication of CN1663168B publication Critical patent/CN1663168B/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

一种用于允许已由第一通信网络认证过的用户设备(240)获得对第二通信网络的访问权、而不经过第二通信网络认证的方法和系统。第一通信网络和第二通信网络之间具有预先建立的信任关系。第二网络经由第一网络(210)从包括用户设备公钥的用户设备(240)接收分组。当与分组相关联的源因特网协议(IP)地址落入分配给第一网络(210)的范围时,通过第一网络(210)将会话密钥从第二网络(220)发送给用户设备(240)。利用用户设备公钥对会话密钥进行加密。用户设备利用私钥解密会话密钥,此后使用会话密钥访问第二网络(220)。还产生将用户设备(240)身份和会话密钥相关的映射,以便第二通信网络产生与用户设备(240)相关的使用数据,并传送给第一通信网络,这产生指明用户设备(240)访问第二通信网络的记帐信息。

Description

接入网之间互配中可传递的认证、授权和记帐
发明领域
一般来讲,本发明涉及联网,更具体地讲,涉及接入网之间互配中的用于可传递的认证、授权和记帐(AAA)的方法。
发明背景
通常,需要认证、授权和记帐(AAA),以便接入和利用如蜂窝网络和无线局域网(WLAN)之类的网络。在移动终端具有多个网络接入机制的环境中,在这些网络之间提供AAA互配是非常重要的。但是,通常是这样的情形,即,一个或多个所涉及的网络具有一种封闭的AAA方案,而其中一个网络很难利用另一个网络的AAA结构,反之亦然。例如,蜂窝网络具有与基于因特网的AAA不相容的AAA基础结构,而且无法容易地通过因特网协议接入,即使所涉及的网络(包括蜂窝网络)具有外部IP连接性。
用于提供AAA互配的常规方法都需要网络之间的特殊互配功能,即使对于在网络自身之间已经预先建立信任关系的网络之间的AAA互配。利用这种互配功能,例如,网络B接着将访问网络A的AAA基础结构来认证已经被网络A认证的用户(通过封闭的网络AAA机制)。常规方法并不利用这种事实,即,网络A与网络B已经建立信任关系,而网络A已经认证过该用户。
因此,希望并且非常有利的是具有一种将一个网络对用户的信任从该网络传递到另一个网络的方法,特别是不需要任何特殊的互配功能来完成同一目的。
发明概述
通过本发明,即接入网之间互配中可传递认证、授权和记帐(AAA)的方法,解决上述问题以及先有技术的其它相关问题。
根据本发明的一个方面,提供一种用于允许已由第一网络认证过的用户设备获得对第二网络的访问权的方法。第一网络和第二网络之间具有预先建立的信任关系。通过第二网络从用户设备接收包括用户设备公钥的分组。当与分组相关联的源因特网协议(IP)地址落入分配给第一网络的范围时,则将会话密钥从第二网络发送给用户设备。利用用户设备公钥对会话密钥进行加密。会话密钥是用于许可用户设备对第二网络进行访问。
结合附图阅读以下优选实施例的详细描述,本发明的这些及其它方面、特征和优点将变得显而易见。
附图简介
图1是说明根据本发明的说明性实施例、可应用本发明的计算机系统100的框图;
图2是说明根据本发明的说明性实施例、可应用本发明的可传递AAA结构的框图;
图3是说明根据本发明的说明性实施例、用于允许已由3G蜂窝网络认证过的用户设备获得对无线局域网WLAN的访问权的AAA方法的流程图;以及
图4是说明根据本发明的说明性实施例、用于为图3的方法的用户设备的用户执行记帐的记帐方法的流程图。
发明的详细描述
本发明针对用于接入网之间互配的可传递认证、授权和记帐(AAA)方案。可以理解,本发明可应用于任何接入网的组合。但是,本发明特别适用于蜂窝网络和无线局域网(WLAN)互配。
本发明把第一接入网对于用户的信任传递到第二接入网,其中,第一和第二接入网具有预先建立的信任关系。跟现有技术对比,本发明不需要两个网络之间的任何特殊的互配功能,而是依靠IP寻址和路由方案来验证用户访问权限。可以理解,本发明在这里也称为可传递AAA。
可以理解,本发明可以硬件、软件、固件、专用处理器或者它们的组合的各种形式来实现。本发明最好是以硬件和软件的组合来实现。而且,软件最好是以确实地包含在程序存储设备中的应用程序来实现。应用程序可上载到包括任何适当体系结构的机器上并由该机器所执行。该机器最好是在具有诸如一个或多个中央处理器(CPU)、随机存取存储器(RAM)和输入/输出(I/O)接口之类硬件的计算机平台上实现。计算机平台也包括操作系统和微指令代码。这里所述的各种过程和功能可能是经由操作系统执行的部分微指令代码或部分应用程序(或它们的组合)。而且,各种其它外围设备可连接到诸如附加数据存储设备和打印设备之类的计算机平台。
还应理解,因为附图所说明的一些构成系统组件和方法步骤最好以软件来实现,所以系统组件(或处理步骤)之间的实际连接可能随本发明编程方式而有所不同。这里给出这些教义,相关领域的普通技术人员能够设想出本发明的这些及相似的实现或配置。
图1是说明根据本发明的说明性实施例、可应用本发明的计算机系统100的框图。计算机处理系统100包括至少一个通过系统总线104有效连接到其它组件的处理器(CPU)102。只读存储器(ROM)106、随机存取存储器(RAM)108、显示适配器110、I/O适配器112、用户接口适配器114、声音适配器199以及网络适配器198有效连接到系统总线104。
显示设备116通过显示适配器110有效连接到系统总线104。盘存储设备(例如磁盘或光盘存储设备)118通过I/O适配器112有效连接到系统总线104。鼠标120和键盘122通过用户接口适配器114有效连接到系统总线104。利用鼠标120和键盘122将信息输入系统100以及从系统100输出。
至少一个扬声器(下文用“扬声器”)197通过声音适配器199有效连接到系统总线104。
(数字和/或模拟)调制解调器196通过网络适配器198有效连接到系统总线104。
图2是说明根据本发明的说明性实施例、可应用本发明的可传递AAA结构的框图。在图2的说明性实施例中,可传递AAA结构包括:第一网络210;第二网络220;因特网230以及用户设备240。第二网络220包括AAA服务器220a。用户设备240包括第一网络接口240a和第二网络接口240b。可以理解,虽然这里针对两个网络来描述本发明,但本发明可与任何数量和任何类型的网络一起应用,而保持本发明的实质和范围。
为了说明本发明,以下作出的描述针对两种网络、即3G蜂窝网络和无线局域网(WLAN)。但是,可以理解,本发明可应用于组合的任何数量的网络以及任何类型的网络,而保持本发明的实质和范围。
在说明性例子中,用户设备240具有用于接入3G网络和WLAN的双无线电接口。根据本发明,用户设备240能够通过如下的3G网络210的AAA机制访问WLAN 220。在检测WLAN 220的时候,用户设备240确定WLAN 220是否支持可传递AAA。如果支持的话,则用户设备240通过路径212将登记消息发送给3G网络。登记消息包括用户公钥。登记消息如路径216和222所指示的那样通过因特网传送给WLAN服务器230a。收到登记消息时,WLAN服务器230a检查源IP地址来确定所接收的地址是否在可传递AAA所支持的地址范围内。如果在该范围内,则WLAN服务器230提供利用用户设备公钥加密的会话密钥,并如路径224和218所指示的那样通过因特网将会话密钥传送给3G网络210。3G网络如路径214所示将会话密钥传送给用户设备240。然后用户设备240利用用户设备私钥将会话密钥解密,并且能够利用会话密钥获得对WLAN 220的访问权。
以这种方式,用户设备240能够通过3G网络210的AAA机制获得对WLAN 220的访问权,只要WLAN 220支持可传递AAA并具有与3G网络210的预先存在的信任关系。通过直接使用3G网络的AAA机制,而不是使WLAN联系3G AAA认证服务或利用与各个WLAN相关联的AAA机制,本发明提供允许用户设备240在与3G网络有预先存在的关系的WLAN之间“漫游”的机制。
为3G蜂窝网络分配了IP地址范围;当用户使用3G蜂窝网络来进行IP访问时,源IP地址将落入此范围。给定因特网的路由方案,但是任何探听者可伪造这样的源IP地址,当发送返回的IP分组时,只有实际上具有该IP地址的用户能接收分组,除非探听者可闯入转发IP分组的路由器。因此,本发明可提供附加的安全措施。
图3是说明根据本发明的说明性实施例、允许已由3G蜂窝网络认证过的用户设备获得对无线局域网WLAN的访问权的AAA方法的流程图。用户设备具有双无线电接入接口(3G蜂窝和WLAN)。3G蜂窝网络和WLAN之间具有预先建立的信任关系。
在用户设备进入WLAN覆盖的区域中时,(例如,通过用户设备的WLAN接口)确定WLAN是否支持可传递AAA以及3G蜂窝网络是否具有与WLAN预先建立的信任关系(例如,通过广播或动态主机配置协议(DHCP))(步骤302)。如果并非如此,则终止该方法。否则,如下所述,执行步骤304,接着方法进行到步骤305。在步骤305,用户设备获得WLAN的AAA服务器(下文中称为WLAN AAA服务器)的IP地址(步骤305)。
例如通过用户设备的3G蜂窝接口,从用户设备向WLAN AAA服务器发送包括登记消息的用户数据报协议(UDP)分组(步骤310)。可以理解,虽然步骤310是就UDP分组来描述的,但是可采用任何类型的分组,包括但不限于传输控制协议(TCP)分组。登记消息包括用户设备的WLAN地址(例如,WLAN接口的媒体接入控制(MAC)地址或IP地址)以及用户设备的公钥。
在收到登记消息时,WLAN AAA服务器确定登记消息的源IP地址(例如,3G接口的IP地址)是否落入分配给与WLAN网络有预先建立的关系的3G蜂窝网络的范围(步骤315)。如果没有落入该范围,则终止该方法。否则,WLAN AAA服务器将确认消息发回给用户设备的3G蜂窝接口(步骤320)。确认消息包括用于用户设备和WLAN之间的会话密钥(会话密钥许可用户设备访问WLAN);会话密钥利用用户设备的公钥进行加密。WLAN AAA服务器还登记用户设备的WLAN地址和(分配的)会话密钥之间的映射(步骤325)。执行步骤325以便给出的会话密钥与对应的用户相关联。
在收到确认消息时(例如,通过用户设备的3G蜂窝接口),利用用户设备的私钥对会话密钥进行解密(步骤328)。利用会话密钥,用户设备获得对WLAN的访问权(步骤330)。
现在给出对图3方法可能的合作黑客攻击的描述。可以理解,由于使用IP寻址和IP路由而没有来自3G蜂窝网络的附加认证支持,因此以下攻击是可能的。黑客发送具有落入3G蜂窝网络的范围的伪IP地址的登记消息。然后黑客在沿着WLAN和3G蜂窝核心网之间路由的某处截听确认消息。黑客向WLAN覆盖内的另一个黑客通报关于所发现的密钥。
但是,要实现以上攻击是非常困难的,特别是截听确认消息的步骤。黑客必须获得对沿着WLAN和3G网络之间路径的路由器的访问权,只是为了获得会话密钥的目的,而且两个黑客必须合作来实施攻击(假设WLAN覆盖内的一个黑客无法取得对以上讨论的任何路由器的访问权,因为如果黑客能获得访问权,那么既然黑客本来已经具有因特网访问权,则不会有实施攻击的问题)。
为了防止上述合作黑客攻击,图3的方法中执行步骤304。在步骤304,在WLAN AAA服务器和3G蜂窝网络的网关通用分组无线电业务(GPRS)在服务/支持节点(GGSN)之间建立安全IP信道(例如,因特网协议(IP)安全(IPSec)隧道)。因为路径在用户和3G蜂窝网络的GGSN之间也是安全的(因为通过3G网络安全性来确保),因此可以打击以上攻击。
根据本发明的说明性实施例,现在给出可与图3的方法一起使用的记帐方法的描述。图4是说明根据本发明的说明性实施例、用于为图3的方法的用户设备的用户执行记帐的记帐方法的流程图。
确定用户设备的3G蜂窝接口的IP地址是否是静态IP地址(步骤405)。如果是静态地址,则根据3G蜂窝接口的IP地址来确定用户身份(步骤410),并且方法进行到步骤450。否则(IP地址是动态的),从3G蜂窝接口的(临时)IP地址与用户实际ID之间的映射来确定用户身份(步骤415),并且方法进行到步骤450。在步骤450,根据3G蜂窝接口的IP地址(静态IP地址)或映射(动态IP地址),执行关于用户的记帐步骤。
可以理解,为了本发明的目的,将网络地址翻译(NAT)视为就象3G蜂窝接口的IP地址是动态的一样。而且,关于以上步骤415中提到的映射,可将这些映射存储在例如DHCP服务器,或者如果使用NAT的话,则存储在NAT服务器。还可以理解,本发明不限于在非静态IP地址的情况中使用映射来确定用户身份,而且因此可能使用其它方法,而保持本发明的实质和范围。
虽然在这里已经参照附图描述了说明性实施例,但是应当理解,本发明不限于那些确切的实施例,而且在不背离发明的范围或实质的情况下,本领域的技术人员可对本发明进行各种其它变更和修改。所有这些变更和修改都要包括在所属权利要求所定义的发明范围之内。

Claims (20)

1.一种用于允许用户设备获得对无线LAN的访问权的方法,包括以下步骤:
经由第二通信网络从用户设备接收包括用户设备公钥的登记消息,所述第二通信网络已认证过所述用户设备,所述无线LAN与所述第二通信网络具有预先建立的信任关系;以及
确定从所述第二通信网络接收的源IP地址是否在IP源地址的预定范围内,而且如果在该范围内,
产生会话密钥来响应所述用户设备公钥,所述会话密钥适合利用用户设备私钥进行解密,
将所述会话密钥传送给所述第二通信网络,以及
允许所述用户设备利用所述会话密钥获得对所述通信网络的访问权。
2.如权利要求1所述的方法,其特征在于,所述第二通信网络包括蜂窝网络,并且还包括在所述无线LAN和所述蜂窝网络之间建立安全IP信道的步骤。
3.如权利要求1所述的方法,其特征在于还包括接收与所述用户设备相关联的接口的地址以及登记所述地址和所述会话密钥之间的映射的步骤。
4.如权利要求3所述的方法,其特征在于,所述地址包括媒体接入控制(MAC)地址和因特网协议(IP)地址其中之一。
5.如权利要求3所述的方法,其特征在于还包括以下步骤:由所述用户设备产生使用数据来响应对所述通信网络的访问,以及将所述使用数据传送给所述第二通信网络,从而可响应所述使用数据而产生用于所述用户设备的记帐信息。
6.一种无线LAN,包括:
用于与用户设备通信的第一装置;
用于与通信网络通信的第二装置;
连接到所述第二通信装置的装置,用于接收包括用户设备公钥的登记消息,以便确定与所述登记消息相关联的源IP地址是否在预定的源IP地址的范围内;以及
连接到所述确定装置和所述通信装置的装置,用于如果所述源IP地址在所述范围之内,则产生利用所述用户设备公钥加密的会话密钥,并且经由所述通信装置将所述会话密钥传送给所述用户设备,其中,
所述第一通信装置允许用户设备利用所述会话密钥来访问所述无线LAN。
7.如权利要求6所述的无线LAN,其特征在于还包括用于将与所述用户设备相关联的接口地址与所述会话密钥相映射的存储器装置,以及用于产生使用数据来响应所述无线LAN的用户设备访问和用于将所述使用数据传送给所述通信网络的装置。
8.一种利用用户设备访问无线LAN的方法,包括以下步骤:
建立与第一通信网络的通信以及执行所述第一通信网络的认证步骤;
将包括用户设备公钥的登记消息传送给所述第一通信网络;
从所述第一通信网络接收从所述无线LAN接收的会话密钥;以及
利用私钥对所述会话密钥进行解密;以及
利用所述会话密钥建立对所述无线LAN的访问。
9.如权利要求8所述的方法,其特征在于,所述第一通信网络是蜂窝网络。
10.如权利要求8所述的方法,其特征在于,所述登记消息包括用于与所述无线LAN通信的接口的相关地址,从而可产生对于所述地址和所述会话密钥的映射。
11.如权利要求10所述的方法,其特征在于,所述地址包括媒体接入控制(MAC)地址和因特网协议(IP)地址其中之一。
12.如权利要求11所述的方法,其特征在于还包括以下步骤:接收关于所述用户设备经由所述无线LAN或所述蜂窝网络访问所述无线LAN的记帐信息。
13.如权利要求8所述的方法,其特征在于还包括以下步骤:最初确定所述第一通信网络是否与所述无线LAN具有预先建立的信任关系。
14.一种用于允许与第一通信网络进行通信的用户设备获得对第二通信网络的访问权的方法,所述第一通信网络和所述第二通信网络之间具有预先建立的信任关系,所述方法包括以下步骤:
在所述第一通信网络内认证所述用户设备;
从所述用户设备接收(310)包括用户设备公钥的登记消息;
将包括所述用户设备公钥和落入分配给所述第一通信网络的预定范围的源地址的消息发送(310)给所述第二通信网络;
从所述第二通信网络接收(320)会话密钥;以及
将所述会话密钥传送(320)给所述用户设备,其中所述会话密钥允许所述用户设备获得对所述第二通信网络的访问权。
15.如权利要求14所述的方法,其特征在于,所述第一通信网络包括蜂窝网络以及所述第二通信网络包括无线LAN网络。
16.如权利要求15所述的方法,其特征在于还包括以下步骤:在所述第一通信网络和所述第二通信网络之间建立安全IP信道来防止非法截听所述会话密钥。
17.如权利要求15所述的方法,其特征在于还包括以下步骤:接收与所述用户设备相关联的接口的地址以及登记所述接口与所述会话密钥之间的映射。
18.如权利要求17所述的方法,其特征在于,所述接口的所述地址包括媒体接入控制(MAC)地址和因特网协议(IP)地址其中之一。
19.如权利要求17所述的方法,其特征在于还包括以下步骤:从所述第二通信网络接收使用数据,指明所述第二通信网络的用户设备访问,并且根据所述使用数据产生与所述用户设备相关联的记帐信息。
20.如权利要求15所述的方法,其特征在于,所述会话密钥利用所述用户设备公钥进行加密,并且适合利用用户设备私钥进行解密。
CN038142988A 2002-04-26 2003-03-12 接入网之间互配中可传递的认证、授权和记帐 Expired - Fee Related CN1663168B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US37616002P 2002-04-26 2002-04-26
US60/376,160 2002-04-26
PCT/US2003/007623 WO2003092218A1 (en) 2002-04-26 2003-03-12 Transitive authentication authorization accounting in interworking between access networks

Publications (2)

Publication Number Publication Date
CN1663168A true CN1663168A (zh) 2005-08-31
CN1663168B CN1663168B (zh) 2010-06-16

Family

ID=29270772

Family Applications (1)

Application Number Title Priority Date Filing Date
CN038142988A Expired - Fee Related CN1663168B (zh) 2002-04-26 2003-03-12 接入网之间互配中可传递的认证、授权和记帐

Country Status (11)

Country Link
US (1) US7721106B2 (zh)
EP (1) EP1500223B1 (zh)
JP (1) JP4583167B2 (zh)
KR (1) KR101013523B1 (zh)
CN (1) CN1663168B (zh)
AU (1) AU2003213852A1 (zh)
BR (1) BRPI0309523B1 (zh)
CA (1) CA2482648C (zh)
MX (1) MXPA04010624A (zh)
MY (1) MY142197A (zh)
WO (1) WO2003092218A1 (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009049557A1 (fr) * 2007-10-15 2009-04-23 Huawei Technologies Co., Ltd. Procédé, système et dispositif de communication à base de conversion d'authentification
CN101299752B (zh) * 2008-06-26 2010-12-22 上海交通大学 基于信任的新鲜性建立密码协议安全性的方法
WO2011085566A1 (zh) * 2010-01-15 2011-07-21 中兴通讯股份有限公司 实现密钥映射的方法及认证服务器、终端、系统
CN101317477B (zh) * 2005-09-28 2012-12-05 高通股份有限公司 用于分发无线网络接入参数的系统和方法
CN104079549A (zh) * 2013-03-26 2014-10-01 富士施乐株式会社 信息处理设备、信息处理系统和信息处理方法
CN105338524A (zh) * 2014-07-28 2016-02-17 阿里巴巴集团控股有限公司 一种信息传输方法及装置
WO2017024662A1 (zh) * 2015-08-11 2017-02-16 华为技术有限公司 一种接入认证方法及装置

Families Citing this family (51)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1215386C (zh) * 2002-04-26 2005-08-17 St微电子公司 根据量子软计算控制过程或处理数据的方法和硬件体系结构
CN1659558B (zh) * 2002-06-06 2010-09-22 汤姆森特许公司 使用分层证书的基于中介器的交互工作
US7539856B2 (en) * 2003-05-27 2009-05-26 Microsoft Corporation Distributed authentication in a protocol-based sphere of trust in which a given external connection outside the sphere of trust may carry communications from multiple sources
DE60320862D1 (de) * 2003-06-18 2008-06-19 Ericsson Telefon Ab L M Anordnung und verfahren in bezug auf ip-netzwerkzugang
US7593717B2 (en) * 2003-09-12 2009-09-22 Alcatel-Lucent Usa Inc. Authenticating access to a wireless local area network based on security value(s) associated with a cellular system
CN1617626A (zh) * 2003-11-10 2005-05-18 皇家飞利浦电子股份有限公司 使移动终端能够在无线广域网与无线局域网之间无缝切换的通信方法和装置
CN1265607C (zh) * 2003-12-08 2006-07-19 华为技术有限公司 无线局域网中业务隧道建立的方法
EP1657943A1 (en) * 2004-11-10 2006-05-17 Alcatel A method for ensuring secure access to a telecommunication system comprising a local network and a PLMN
KR20070118222A (ko) * 2004-11-18 2007-12-14 아자이르 네트웍스, 인코포레이티드 3지/지에스엠 네트워크와 상호작용하는 위-피 네트워크에서서비스 권한부여
US8050656B2 (en) * 2005-01-04 2011-11-01 Motorola Mobility, Inc. Wireless communication device and method for making a secure transfer of a communication connection
KR100670010B1 (ko) 2005-02-03 2007-01-19 삼성전자주식회사 하이브리드 브로드캐스트 암호화 방법
US8364148B2 (en) 2005-07-07 2013-01-29 Qualcomm Incorporated Methods and devices for interworking of wireless wide area networks and wireless local area networks or wireless personal area networks
US8311543B2 (en) 2005-07-07 2012-11-13 Qualcomm Incorporated Methods and devices for interworking of wireless wide area networks and wireless local area networks or wireless personal area networks
CN101253739B (zh) * 2005-07-07 2013-05-15 高通股份有限公司 用于无线广域网和无线局域网或无线个域网的交互工作的方法和装置
US8126477B2 (en) 2005-07-07 2012-02-28 Qualcomm Incorporated Methods and devices for interworking of wireless wide area networks and wireless local area networks or wireless personal area networks
KR100729447B1 (ko) * 2005-08-19 2007-06-15 (주)다산씨앤에스 네트워크 디바이스 작업 매니저
JP4866802B2 (ja) * 2006-09-11 2012-02-01 Kddi株式会社 セキュリティ最適化システムおよびセキュリティ最適化方法
JP4864797B2 (ja) * 2006-09-11 2012-02-01 Kddi株式会社 P−cscf高速ハンドオフシステム及びp−cscf高速ハンドオフ方法
DE102006042554B4 (de) * 2006-09-11 2009-04-16 Siemens Ag Verfahren und System zum kontinuierlichen Übertragen von verschlüsselten Daten eines Broadcast-Dienstes an ein mobiles Endgerät
US10091648B2 (en) * 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
ES2447546T3 (es) * 2008-04-11 2014-03-12 Telefonaktiebolaget L M Ericsson (Publ) Acceso a través de redes de acceso no-3GPP
US8769257B2 (en) * 2008-12-23 2014-07-01 Intel Corporation Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing
JP2013507039A (ja) * 2009-10-01 2013-02-28 ラムバス・インコーポレーテッド 無線カバレッジを向上させるための方法およびシステム
CA2777098C (en) * 2009-10-09 2018-01-02 Tajinder Manku Using a first network to control access to a second network
US8458776B2 (en) * 2009-10-21 2013-06-04 Microsoft Corporation Low-latency peer session establishment
EP2355439A1 (en) * 2010-02-02 2011-08-10 Swisscom AG Accessing restricted services
JP5091963B2 (ja) * 2010-03-03 2012-12-05 株式会社東芝 通信局、認証局及び認証方法
CA2696037A1 (en) 2010-03-15 2011-09-15 Research In Motion Limited Advertisement and dynamic configuration of wlan prioritization states
EP2418816B1 (en) 2010-08-12 2018-12-12 Deutsche Telekom AG Registering a user entity with a communication network via another communication network
EP2418815B1 (en) 2010-08-12 2019-01-02 Deutsche Telekom AG Managing Session Initiation Protocol communications towards a user entity in a communication network
EP2418818B1 (en) 2010-08-12 2018-02-14 Deutsche Telekom AG Network entity for managing communications towards a user entity over a communication network
EP2418817B1 (en) 2010-08-12 2018-12-12 Deutsche Telekom AG Application server for managing communications towards a set of user entities
EP2453608B1 (en) * 2010-11-12 2015-01-07 Deutsche Telekom AG Method and devices for accessing a wireless local area network
US8750180B2 (en) 2011-09-16 2014-06-10 Blackberry Limited Discovering network information available via wireless networks
US20140289826A1 (en) * 2011-11-07 2014-09-25 Option Establishing a communication session
US9276810B2 (en) * 2011-12-16 2016-03-01 Futurewei Technologies, Inc. System and method of radio bearer management for multiple point transmission
WO2013163595A2 (en) 2012-04-27 2013-10-31 Interdigital Patent Holdings, Inc. Method and apparatus for optimizing proximity data path setup
CN104272707B (zh) 2012-04-27 2018-04-06 交互数字专利控股公司 支持邻近发现过程的方法和装置
US9204299B2 (en) * 2012-05-11 2015-12-01 Blackberry Limited Extended service set transitions in wireless networks
US10812964B2 (en) 2012-07-12 2020-10-20 Blackberry Limited Address assignment for initial authentication
US9137621B2 (en) 2012-07-13 2015-09-15 Blackberry Limited Wireless network service transaction protocol
US9769659B2 (en) 2012-08-23 2017-09-19 Telefonaktiebolaget Lm Ericsson (Publ) Access control for a wireless local area network
US9301127B2 (en) 2013-02-06 2016-03-29 Blackberry Limited Persistent network negotiation for peer to peer devices
US10148669B2 (en) * 2014-05-07 2018-12-04 Dell Products, L.P. Out-of-band encryption key management system
US20170063550A1 (en) * 2015-04-23 2017-03-02 Keith J Brodie Secure Digital Signature Apparatus and Methods
US10205709B2 (en) * 2016-12-14 2019-02-12 Visa International Service Association Key pair infrastructure for secure messaging
US10985915B2 (en) * 2017-04-12 2021-04-20 Blackberry Limited Encrypting data in a pre-associated state
US11159511B1 (en) 2019-01-10 2021-10-26 Microstrategy Incorporated Authentication protocol management
CN113498055B (zh) * 2020-03-20 2022-08-26 维沃移动通信有限公司 接入控制方法及通信设备
US11825389B2 (en) * 2021-07-02 2023-11-21 Cisco Technology, Inc. Mechanism to deliver SMS meant for user's public or private 5G identity over WLAN network
CN115065559B (zh) * 2022-08-15 2022-12-27 浙江毫微米科技有限公司 一种身份认证系统、方法、装置、电子设备及存储介质

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5371794A (en) 1993-11-02 1994-12-06 Sun Microsystems, Inc. Method and apparatus for privacy and authentication in wireless networks
EP0658021B1 (en) * 1993-12-08 2001-03-28 International Business Machines Corporation A method and system for key distribution and authentication in a data communication network
JPH08153072A (ja) * 1994-09-30 1996-06-11 Toshiba Corp 計算機システム及び計算機システム管理方法
US6393482B1 (en) 1997-10-14 2002-05-21 Lucent Technologies Inc. Inter-working function selection system in a network
US6377982B1 (en) * 1997-10-14 2002-04-23 Lucent Technologies Inc. Accounting system in a network
FI974341A (fi) * 1997-11-26 1999-05-27 Nokia Telecommunications Oy Datayhteyksien tietosuoja
US6535493B1 (en) * 1998-01-15 2003-03-18 Symbol Technologies, Inc. Mobile internet communication protocol
FI105965B (fi) * 1998-07-07 2000-10-31 Nokia Networks Oy Autentikointi tietoliikenneverkosssa
US6115699A (en) * 1998-12-03 2000-09-05 Nortel Networks Corporation System for mediating delivery of a document between two network sites
FI107486B (fi) * 1999-06-04 2001-08-15 Nokia Networks Oy Autentikaation ja salauksen järjestäminen matkaviestinjärjestelmässä
FI19991733A (fi) * 1999-08-16 2001-02-17 Nokia Networks Oy Autentikointi matkaviestinjärjestelmässä
FI110224B (fi) * 1999-09-17 2002-12-13 Nokia Corp Valvontajärjestelmä
US7486952B1 (en) * 2000-02-09 2009-02-03 Alcatel-Lucent Usa Inc. Facilitated security for handoff in wireless communications
FI20000761A0 (fi) * 2000-03-31 2000-03-31 Nokia Mobile Phones Ltd Laskutus pakettidataverkossa
US6766160B1 (en) * 2000-04-11 2004-07-20 Nokia Corporation Apparatus, and associated method, for facilitating authentication of communication stations in a mobile communication system
US20030139180A1 (en) * 2002-01-24 2003-07-24 Mcintosh Chris P. Private cellular network with a public network interface and a wireless local area network extension
GB2402842B (en) * 2003-06-12 2005-06-08 Nec Technologies Mobile radio communications device

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101317477B (zh) * 2005-09-28 2012-12-05 高通股份有限公司 用于分发无线网络接入参数的系统和方法
WO2009049557A1 (fr) * 2007-10-15 2009-04-23 Huawei Technologies Co., Ltd. Procédé, système et dispositif de communication à base de conversion d'authentification
CN101299752B (zh) * 2008-06-26 2010-12-22 上海交通大学 基于信任的新鲜性建立密码协议安全性的方法
WO2011085566A1 (zh) * 2010-01-15 2011-07-21 中兴通讯股份有限公司 实现密钥映射的方法及认证服务器、终端、系统
CN104079549A (zh) * 2013-03-26 2014-10-01 富士施乐株式会社 信息处理设备、信息处理系统和信息处理方法
CN104079549B (zh) * 2013-03-26 2019-04-26 富士施乐株式会社 信息处理设备、信息处理系统和信息处理方法
CN105338524A (zh) * 2014-07-28 2016-02-17 阿里巴巴集团控股有限公司 一种信息传输方法及装置
WO2017024662A1 (zh) * 2015-08-11 2017-02-16 华为技术有限公司 一种接入认证方法及装置

Also Published As

Publication number Publication date
US20050154895A1 (en) 2005-07-14
MXPA04010624A (es) 2004-12-13
JP4583167B2 (ja) 2010-11-17
MY142197A (en) 2010-10-15
CN1663168B (zh) 2010-06-16
KR20040102172A (ko) 2004-12-03
EP1500223A1 (en) 2005-01-26
BRPI0309523B1 (pt) 2016-08-30
BR0309523A (pt) 2005-02-09
US7721106B2 (en) 2010-05-18
CA2482648C (en) 2012-08-07
EP1500223A4 (en) 2010-07-07
KR101013523B1 (ko) 2011-02-10
AU2003213852A1 (en) 2003-11-10
CA2482648A1 (en) 2003-11-06
WO2003092218A1 (en) 2003-11-06
JP2006514447A (ja) 2006-04-27
EP1500223B1 (en) 2017-11-01

Similar Documents

Publication Publication Date Title
CN1663168B (zh) 接入网之间互配中可传递的认证、授权和记帐
US6643774B1 (en) Authentication method to enable servers using public key authentication to obtain user-delegated tickets
KR100450973B1 (ko) 무선 통신시스템에서 이동 단말기와 홈에이전트간의인증을 위한 방법
KR101266241B1 (ko) 티켓-기반 스펙트럼 인가 및 액세스 제어
JP4674044B2 (ja) クライアントが許可を検証できるキー管理プロトコルを設けるためのシステムおよび方法
EP1707024B1 (en) Improvements in authentication and authorization in heterogeneous networks
US6993652B2 (en) Method and system for providing client privacy when requesting content from a public server
US8607045B2 (en) Tokencode exchanges for peripheral authentication
KR101158956B1 (ko) 통신 시스템에 증명서를 배분하는 방법
US20020138635A1 (en) Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations
US20060105741A1 (en) Method and apparatus for security of IP security tunnel using public key infrastructure in mobile communication network
US20050154909A1 (en) Certificate based authentication authorization accounting scheme for loose coupling interworking
US8000704B2 (en) Fast network attachment
US20070136590A1 (en) Network system and communication methods for securely bootstraping mobile IPv6 mobile node using pre-shared key
US20090070582A1 (en) Secure Network Location Awareness
KR102299865B1 (ko) 데이터 네트워크에 접근하기 위한 사용자의 인증에 관한 방법 및 시스템
JP2006086907A (ja) 設定情報配布装置、方法、プログラム、媒体、及び設定情報受信プログラム
US8468354B2 (en) Broker-based interworking using hierarchical certificates
US20040039905A1 (en) Method and apparatus for sharing data between a server and a plurality of clients
CN115361684A (zh) 利用区块链的共享Wifi双向认证的接入方法和装置
KR101050835B1 (ko) 모바일 네트워크 상에서 부인방지 서비스를 제공하는 최소 공개키 기반의 이동 모바일 단말기의 인증방법
Bagnulo et al. Providing Authentication & Authorization mechanisms for active service charging
Kambourakis et al. Support of subscribers’ certificates in a hybrid WLAN-3G environment
KR20190135063A (ko) 공개키기반 인증방법과 최소공개키기반 인증방법을 결합한 스마트팜디바이스 인증방법
Shi et al. Home-based authentication protocol for nomadic users

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP02 Change in the address of a patent holder
CP02 Change in the address of a patent holder

Address after: I Si Eli Murli Nor, France

Patentee after: THOMSON LICENSING S.A.

Address before: French Boulogne

Patentee before: THOMSON LICENSING S.A.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20190530

Address after: Paris France

Patentee after: Interactive digital CE patent holding Co.

Address before: I Si Eli Murli Nor, France

Patentee before: THOMSON LICENSING S.A.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100616

Termination date: 20210312