CN1663168B - 接入网之间互配中可传递的认证、授权和记帐 - Google Patents

接入网之间互配中可传递的认证、授权和记帐 Download PDF

Info

Publication number
CN1663168B
CN1663168B CN038142988A CN03814298A CN1663168B CN 1663168 B CN1663168 B CN 1663168B CN 038142988 A CN038142988 A CN 038142988A CN 03814298 A CN03814298 A CN 03814298A CN 1663168 B CN1663168 B CN 1663168B
Authority
CN
China
Prior art keywords
wlan
subscriber equipment
local area
wireless local
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN038142988A
Other languages
English (en)
Other versions
CN1663168A (zh
Inventor
J·张
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
InterDigital CE Patent Holdings SAS
Original Assignee
RCA Licensing Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by RCA Licensing Corp filed Critical RCA Licensing Corp
Publication of CN1663168A publication Critical patent/CN1663168A/zh
Application granted granted Critical
Publication of CN1663168B publication Critical patent/CN1663168B/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/062Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying encryption of the keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • H04W60/04Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration using triggered events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W74/00Wireless channel access
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/04Network layer protocols, e.g. mobile IP [Internet Protocol]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

一种用于允许已由第一通信网络认证过的用户设备(240)获得对第二通信网络的访问权、而不经过第二通信网络认证的方法和系统。第一通信网络和第二通信网络之间具有预先建立的信任关系。第二网络经由第一网络(210)从包括用户设备公钥的用户设备(240)接收分组。当与分组相关联的源因特网协议(IP)地址落入分配给第一网络(210)的范围时,通过第一网络(210)将会话密钥从第二网络(220)发送给用户设备(240)。利用用户设备公钥对会话密钥进行加密。用户设备利用私钥解密会话密钥,此后使用会话密钥访问第二网络(220)。还产生将用户设备(240)身份和会话密钥相关的映射,以便第二通信网络产生与用户设备(240)相关的使用数据,并传送给第一通信网络,这产生指明用户设备(240)访问第二通信网络的记帐信息。

Description

接入网之间互配中可传递的认证、授权和记帐
发明领域
一般来讲,本发明涉及联网,更具体地讲,涉及接入网之间互配中的用于可传递的认证、授权和记帐(AAA)的方法。
发明背景
通常,需要认证、授权和记帐(AAA),以便接入和利用如蜂窝网络和无线局域网(WLAN)之类的网络。在移动终端具有多个网络接入机制的环境中,在这些网络之间提供AAA互配是非常重要的。但是,通常是这样的情形,即,一个或多个所涉及的网络具有一种封闭的AAA方案,而其中一个网络很难利用另一个网络的AAA结构,反之亦然。例如,蜂窝网络具有与基于因特网的AAA不相容的AAA基础结构,而且无法容易地通过因特网协议接入,即使所涉及的网络(包括蜂窝网络)具有外部IP连接性。
用于提供AAA互配的常规方法都需要网络之间的特殊互配功能,即使对于在网络自身之间已经预先建立信任关系的网络之间的AAA互配。利用这种互配功能,例如,网络B接着将访问网络A的AAA基础结构来认证已经被网络A认证的用户(通过封闭的网络AAA机制)。常规方法并不利用这种事实,即,网络A与网络B已经建立信任关系,而网络A已经认证过该用户。
因此,希望并且非常有利的是具有一种将一个网络对用户的信任从该网络传递到另一个网络的方法,特别是不需要任何特殊的互配功能来完成同一目的。
发明概述
通过本发明,即接入网之间互配中可传递认证、授权和记帐(AAA)的方法,解决上述问题以及先有技术的其它相关问题。
根据本发明的一个方面,提供一种用于允许已由第一网络认证过的用户设备获得对第二网络的访问权的方法。第一网络和第二网络之间具有预先建立的信任关系。通过第二网络从用户设备接收包括用户设备公钥的分组。当与分组相关联的源因特网协议(IP)地址落入分配给第一网络的范围时,则将会话密钥从第二网络发送给用户设备。利用用户设备公钥对会话密钥进行加密。会话密钥是用于许可用户设备对第二网络进行访问。
结合附图阅读以下优选实施例的详细描述,本发明的这些及其它方面、特征和优点将变得显而易见。
附图简介
图1是说明根据本发明的说明性实施例、可应用本发明的计算机系统100的框图;
图2是说明根据本发明的说明性实施例、可应用本发明的可传递AAA结构的框图;
图3是说明根据本发明的说明性实施例、用于允许已由3G蜂窝网络认证过的用户设备获得对无线局域网WLAN的访问权的AAA方法的流程图;以及
图4是说明根据本发明的说明性实施例、用于为图3的方法的用户设备的用户执行记帐的记帐方法的流程图。
发明的详细描述
本发明针对用于接入网之间互配的可传递认证、授权和记帐(AAA)方案。可以理解,本发明可应用于任何接入网的组合。但是,本发明特别适用于蜂窝网络和无线局域网(WLAN)互配。
本发明把第一接入网对于用户的信任传递到第二接入网,其中,第一和第二接入网具有预先建立的信任关系。跟现有技术对比,本发明不需要两个网络之间的任何特殊的互配功能,而是依靠IP寻址和路由方案来验证用户访问权限。可以理解,本发明在这里也称为可传递AAA。
可以理解,本发明可以硬件、软件、固件、专用处理器或者它们的组合的各种形式来实现。本发明最好是以硬件和软件的组合来实现。而且,软件最好是以确实地包含在程序存储设备中的应用程序来实现。应用程序可上载到包括任何适当体系结构的机器上并由该机器所执行。该机器最好是在具有诸如一个或多个中央处理器(CPU)、随机存取存储器(RAM)和输入/输出(I/O)接口之类硬件的计算机平台上实现。计算机平台也包括操作系统和微指令代码。这里所述的各种过程和功能可能是经由操作系统执行的部分微指令代码或部分应用程序(或它们的组合)。而且,各种其它外围设备可连接到诸如附加数据存储设备和打印设备之类的计算机平台。
还应理解,因为附图所说明的一些构成系统组件和方法步骤最好以软件来实现,所以系统组件(或处理步骤)之间的实际连接可能随本发明编程方式而有所不同。这里给出这些教义,相关领域的普通技术人员能够设想出本发明的这些及相似的实现或配置。
图1是说明根据本发明的说明性实施例、可应用本发明的计算机系统100的框图。计算机处理系统100包括至少一个通过系统总线104有效连接到其它组件的处理器(CPU)102。只读存储器(ROM)106、随机存取存储器(RAM)108、显示适配器110、I/O适配器112、用户接口适配器114、声音适配器199以及网络适配器198有效连接到系统总线104。
显示设备116通过显示适配器110有效连接到系统总线104。盘存储设备(例如磁盘或光盘存储设备)118通过I/O适配器112有效连接到系统总线104。鼠标120和键盘122通过用户接口适配器114有效连接到系统总线104。利用鼠标120和键盘122将信息输入系统100以及从系统100输出。
至少一个扬声器(下文用“扬声器”)197通过声音适配器199有效连接到系统总线104。
(数字和/或模拟)调制解调器196通过网络适配器198有效连接到系统总线104。
图2是说明根据本发明的说明性实施例、可应用本发明的可传递AAA结构的框图。在图2的说明性实施例中,可传递AAA结构包括:第一网络210;第二网络220;因特网230以及用户设备240。第二网络220包括AAA服务器220a。用户设备240包括第一网络接口240a和第二网络接口240b。可以理解,虽然这里针对两个网络来描述本发明,但本发明可与任何数量和任何类型的网络一起应用,而保持本发明的实质和范围。
为了说明本发明,以下作出的描述针对两种网络、即3G蜂窝网络和无线局域网(WLAN)。但是,可以理解,本发明可应用于组合的任何数量的网络以及任何类型的网络,而保持本发明的实质和范围。
在说明性例子中,用户设备240具有用于接入3G网络和WLAN的双无线电接口。根据本发明,用户设备240能够通过如下的3G网络210的AAA机制访问WLAN 220。在检测WLAN 220的时候,用户设备240确定WLAN 220是否支持可传递AAA。如果支持的话,则用户设备240通过路径212将登记消息发送给3G网络。登记消息包括用户公钥。登记消息如路径216和222所指示的那样通过因特网传送给WLAN服务器230a。收到登记消息时,WLAN服务器230a检查源IP地址来确定所接收的地址是否在可传递AAA所支持的地址范围内。如果在该范围内,则WLAN服务器230提供利用用户设备公钥加密的会话密钥,并如路径224和218所指示的那样通过因特网将会话密钥传送给3G网络210。3G网络如路径214所示将会话密钥传送给用户设备240。然后用户设备240利用用户设备私钥将会话密钥解密,并且能够利用会话密钥获得对WLAN 220的访问权。
以这种方式,用户设备240能够通过3G网络210的AAA机制获得对WLAN 220的访问权,只要WLAN 220支持可传递AAA并具有与3G网络210的预先存在的信任关系。通过直接使用3G网络的AAA机制,而不是使WLAN联系3G AAA认证服务或利用与各个WLAN相关联的AAA机制,本发明提供允许用户设备240在与3G网络有预先存在的关系的WLAN之间“漫游”的机制。
为3G蜂窝网络分配了IP地址范围;当用户使用3G蜂窝网络来进行IP访问时,源IP地址将落入此范围。给定因特网的路由方案,但是任何探听者可伪造这样的源IP地址,当发送返回的IP分组时,只有实际上具有该IP地址的用户能接收分组,除非探听者可闯入转发IP分组的路由器。因此,本发明可提供附加的安全措施。
图3是说明根据本发明的说明性实施例、允许已由3G蜂窝网络认证过的用户设备获得对无线局域网WLAN的访问权的AAA方法的流程图。用户设备具有双无线电接入接口(3G蜂窝和WLAN)。3G蜂窝网络和WLAN之间具有预先建立的信任关系。
在用户设备进入WLAN覆盖的区域中时,(例如,通过用户设备的WLAN接口)确定WLAN是否支持可传递AAA以及3G蜂窝网络是否具有与WLAN预先建立的信任关系(例如,通过广播或动态主机配置协议(DHCP))(步骤302)。如果并非如此,则终止该方法。否则,如下所述,执行步骤304,接着方法进行到步骤305。在步骤305,用户设备获得WLAN的AAA服务器(下文中称为WLAN AAA服务器)的IP地址(步骤305)。
例如通过用户设备的3G蜂窝接口,从用户设备向WLAN AAA服务器发送包括登记消息的用户数据报协议(UDP)分组(步骤310)。可以理解,虽然步骤310是就UDP分组来描述的,但是可采用任何类型的分组,包括但不限于传输控制协议(TCP)分组。登记消息包括用户设备的WLAN地址(例如,WLAN接口的媒体接入控制(MAC)地址或IP地址)以及用户设备的公钥。
在收到登记消息时,WLAN AAA服务器确定登记消息的源IP地址(例如,3G接口的IP地址)是否落入分配给与WLAN网络有预先建立的关系的3G蜂窝网络的范围(步骤315)。如果没有落入该范围,则终止该方法。否则,WLAN AAA服务器将确认消息发回给用户设备的3G蜂窝接口(步骤320)。确认消息包括用于用户设备和WLAN之间的会话密钥(会话密钥许可用户设备访问WLAN);会话密钥利用用户设备的公钥进行加密。WLAN AAA服务器还登记用户设备的WLAN地址和(分配的)会话密钥之间的映射(步骤325)。执行步骤325以便给出的会话密钥与对应的用户相关联。
在收到确认消息时(例如,通过用户设备的3G蜂窝接口),利用用户设备的私钥对会话密钥进行解密(步骤328)。利用会话密钥,用户设备获得对WLAN的访问权(步骤330)。
现在给出对图3方法可能的合作黑客攻击的描述。可以理解,由于使用IP寻址和IP路由而没有来自3G蜂窝网络的附加认证支持,因此以下攻击是可能的。黑客发送具有落入3G蜂窝网络的范围的伪IP地址的登记消息。然后黑客在沿着WLAN和3G蜂窝核心网之间路由的某处截听确认消息。黑客向WLAN覆盖内的另一个黑客通报关于所发现的密钥。
但是,要实现以上攻击是非常困难的,特别是截听确认消息的步骤。黑客必须获得对沿着WLAN和3G网络之间路径的路由器的访问权,只是为了获得会话密钥的目的,而且两个黑客必须合作来实施攻击(假设WLAN覆盖内的一个黑客无法取得对以上讨论的任何路由器的访问权,因为如果黑客能获得访问权,那么既然黑客本来已经具有因特网访问权,则不会有实施攻击的问题)。
为了防止上述合作黑客攻击,图3的方法中执行步骤304。在步骤304,在WLAN AAA服务器和3G蜂窝网络的网关通用分组无线电业务(GPRS)在服务/支持节点(GGSN)之间建立安全IP信道(例如,因特网协议(IP)安全(IPSec)隧道)。因为路径在用户和3G蜂窝网络的GGSN之间也是安全的(因为通过3G网络安全性来确保),因此可以打击以上攻击。
根据本发明的说明性实施例,现在给出可与图3的方法一起使用的记帐方法的描述。图4是说明根据本发明的说明性实施例、用于为图3的方法的用户设备的用户执行记帐的记帐方法的流程图。
确定用户设备的3G蜂窝接口的IP地址是否是静态IP地址(步骤405)。如果是静态地址,则根据3G蜂窝接口的IP地址来确定用户身份(步骤410),并且方法进行到步骤450。否则(IP地址是动态的),从3G蜂窝接口的(临时)IP地址与用户实际ID之间的映射来确定用户身份(步骤415),并且方法进行到步骤450。在步骤450,根据3G蜂窝接口的IP地址(静态IP地址)或映射(动态IP地址),执行关于用户的记帐步骤。
可以理解,为了本发明的目的,将网络地址翻译(NAT)视为就象3G蜂窝接口的IP地址是动态的一样。而且,关于以上步骤415中提到的映射,可将这些映射存储在例如DHCP服务器,或者如果使用NAT的话,则存储在NAT服务器。还可以理解,本发明不限于在非静态IP地址的情况中使用映射来确定用户身份,而且因此可能使用其它方法,而保持本发明的实质和范围。
虽然在这里已经参照附图描述了说明性实施例,但是应当理解,本发明不限于那些确切的实施例,而且在不背离发明的范围或实质的情况下,本领域的技术人员可对本发明进行各种其它变更和修改。所有这些变更和修改都要包括在所属权利要求所定义的发明范围之内。

Claims (16)

1.一种用于允许用户设备获得对无线局域网的访问权的方法,包括以下步骤:
由无线局域网接收登记消息,该登记消息从用户设备经由蜂窝网络发送,其中该登记消息由所述无线局域网经由连接到所述蜂窝网络的互联网接收,该登记消息包括用户设备公钥,蜂窝网络已认证过所述用户设备,所述无线局域网与所述蜂窝网络具有预先建立的信任关系并且支持可传递认证、授权和记帐;
确定从所述蜂窝网络接收的与所述登记消息相关联的源因特网协议地址是否在源因特网协议地址的预定范围内,而且如果在该范围内;
产生会话密钥来响应所述用户设备公钥,所述会话密钥适合利用用户设备私钥进行解密;
将所述会话密钥从所述无线局域网经由所述因特网传送给所述蜂窝网络;以及
允许所述用户设备利用所述会话密钥访问所述无线局域网。
2.如权利要求1所述的方法,其特征在于,在接收步骤之前,还包括在所述无线局域网和所述蜂窝网络之间建立安全因特网协议信道的步骤。
3.如权利要求1所述的方法,其特征在于,所述登记消息还包括与所述用户设备相关联的接口的地址,以及在传送步骤之后在允许步骤之前还包括登记所述接口的地址和所述会话密钥之间的映射的步骤。
4.如权利要求3所述的方法,其特征在于,所述接口的地址包括媒体接入控制(MAC)地址和因特网协议(IP)地址其中之一。
5.如权利要求3所述的方法,其特征在于还包括以下步骤:由所述用户设备产生使用数据来响应对所述无线局域网的访问,以及将所述使用数据传送给所述蜂窝网络,其中响应所述使用数据而产生用于所述用户设备的记帐信息。
6.一种利用用户设备访问无线局域网的方法,包括以下步骤:
建立与蜂窝网络的通信以及通过所述蜂窝网络执行认证步骤;
将包括用户设备公钥的登记消息传送给所述蜂窝网络,其中所述登记消息被进一步从所述蜂窝网络传送给所述无线局域网,所述无线局域网与所述蜂窝网络具有预先建立的信任关系,而且所述无线局域网支持可传递认证、授权和记帐,其中所述无线局域网在确定与所述登记消息相关联的源因特网协议地址在预定的源因特网协议地址的范围内之后向所述蜂窝网络发送会话密钥;
从所述蜂窝网络接收所述会话密钥;以及
利用私钥对所述会话密钥进行解密;以及
利用所述会话密钥建立对所述无线局域网的访问。
7.如权利要求6所述的方法,其特征在于,所述登记消息包括用于与所述无线局域网通信的接口相关的地址,从而产生对于所述相关的地址和所述会话密钥的映射。
8.如权利要求7所述的方法,其特征在于,所述相关的地址包括媒体接入控制(MAC)地址和因特网协议(IP)地址其中之一。
9.如权利要求8所述的方法,其特征在于还包括以下步骤:经由所述无线局域网或所述蜂窝网络接收关于所述用户设备访问所述无线局域网的记帐信息。
10.如权利要求6所述的方法,其特征在于还包括以下步骤:最初确定所述蜂窝网络是否与所述无线局域网具有预先建立的信任关系。
11.一种用于允许与蜂窝网络进行通信的用户设备获得对无线局域网的访问权的方法,该无线局域网支持可传递认证、授权和记帐,所述蜂窝网络和所述无线局域网之间具有预先建立的信任关系,所述方法包括以下步骤:
在所述蜂窝网络内认证所述用户设备;
从所述用户设备接收包括用户设备公钥的登记消息;
经由因特网将包括所述用户设备公钥和落入分配给所述蜂窝网络的预定范围的源地址的消息发送给所述无线局域网;
经由因特网从所述无线局域网接收会话密钥;以及
经由因特网将所述会话密钥传送给所述用户设备,其中所述会话密钥允许所述用户设备访问所述无线局域网。
12.如权利要求11所述的方法,其特征在于,在认证所述用户设备的步骤之前还包括以下步骤:在所述蜂窝网络和所述无线局域网之间建立安全因特网协议信道来防止非法截听所述会话密钥。
13.如权利要求12所述的方法,其特征在于,所述登记消息还包括与所述用户设备相关联的接口的地址,以及在将所述会话密钥传送给所述用户设备的步骤之后还包括登记所述接口的地址与所述会话密钥之间的映射的步骤。
14.如权利要求13所述的方法,其特征在于,所述接口的所述地址包括媒体接入控制(MAC)地址和因特网协议(IP)地址其中之一。
15.如权利要求13所述的方法,其特征在于还包括以下步骤:从所述无线局域网接收指明所述无线局域网的用户设备访问的使用数据,并且根据所述使用数据产生与所述用户设备相关联的记帐信息。
16.如权利要求13所述的方法,其特征在于,所述会话密钥利用所述用户设备公钥进行加密,并且适合利用用户设备私钥进行解密。
CN038142988A 2002-04-26 2003-03-12 接入网之间互配中可传递的认证、授权和记帐 Expired - Fee Related CN1663168B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US37616002P 2002-04-26 2002-04-26
US60/376,160 2002-04-26
PCT/US2003/007623 WO2003092218A1 (en) 2002-04-26 2003-03-12 Transitive authentication authorization accounting in interworking between access networks

Publications (2)

Publication Number Publication Date
CN1663168A CN1663168A (zh) 2005-08-31
CN1663168B true CN1663168B (zh) 2010-06-16

Family

ID=29270772

Family Applications (1)

Application Number Title Priority Date Filing Date
CN038142988A Expired - Fee Related CN1663168B (zh) 2002-04-26 2003-03-12 接入网之间互配中可传递的认证、授权和记帐

Country Status (11)

Country Link
US (1) US7721106B2 (zh)
EP (1) EP1500223B1 (zh)
JP (1) JP4583167B2 (zh)
KR (1) KR101013523B1 (zh)
CN (1) CN1663168B (zh)
AU (1) AU2003213852A1 (zh)
BR (1) BRPI0309523B1 (zh)
CA (1) CA2482648C (zh)
MX (1) MXPA04010624A (zh)
MY (1) MY142197A (zh)
WO (1) WO2003092218A1 (zh)

Families Citing this family (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1215386C (zh) * 2002-04-26 2005-08-17 St微电子公司 根据量子软计算控制过程或处理数据的方法和硬件体系结构
EP1514208A4 (en) 2002-06-06 2010-11-17 Thomson Licensing INTERFUNCTION BASED ON A BROKER AND HIERARCHICAL CERTIFICATIONS
US7539856B2 (en) * 2003-05-27 2009-05-26 Microsoft Corporation Distributed authentication in a protocol-based sphere of trust in which a given external connection outside the sphere of trust may carry communications from multiple sources
ES2305469T3 (es) * 2003-06-18 2008-11-01 Telefonaktiebolaget Lm Ericsson (Publ) Una disposicion y un metodo relacionados con el acceso a redes ip.
US7593717B2 (en) * 2003-09-12 2009-09-22 Alcatel-Lucent Usa Inc. Authenticating access to a wireless local area network based on security value(s) associated with a cellular system
CN1617626A (zh) * 2003-11-10 2005-05-18 皇家飞利浦电子股份有限公司 使移动终端能够在无线广域网与无线局域网之间无缝切换的通信方法和装置
CN1265607C (zh) * 2003-12-08 2006-07-19 华为技术有限公司 无线局域网中业务隧道建立的方法
EP1657943A1 (en) * 2004-11-10 2006-05-17 Alcatel A method for ensuring secure access to a telecommunication system comprising a local network and a PLMN
EP1836860A4 (en) * 2004-11-18 2009-03-18 Azaire Networks Inc SERVICE AUTHORIZATION IN A WI-FI NETWORK INTERACTING WITH A 3G / GSM NETWORK
US8050656B2 (en) * 2005-01-04 2011-11-01 Motorola Mobility, Inc. Wireless communication device and method for making a secure transfer of a communication connection
KR100670010B1 (ko) 2005-02-03 2007-01-19 삼성전자주식회사 하이브리드 브로드캐스트 암호화 방법
RU2384981C2 (ru) * 2005-07-07 2010-03-20 Квэлкомм Инкорпорейтед Способы и устройства для обеспечения межсетевого обмена беспроводных глобальных сетей и беспроводных локальных сетей или беспроводных персональных сетей
CN101253738B (zh) * 2005-07-07 2014-06-11 高通股份有限公司 用于无线广域网和无线局域网或无线个域网的交互工作的方法和装置
US8364148B2 (en) * 2005-07-07 2013-01-29 Qualcomm Incorporated Methods and devices for interworking of wireless wide area networks and wireless local area networks or wireless personal area networks
US8311543B2 (en) 2005-07-07 2012-11-13 Qualcomm Incorporated Methods and devices for interworking of wireless wide area networks and wireless local area networks or wireless personal area networks
US8126477B2 (en) 2005-07-07 2012-02-28 Qualcomm Incorporated Methods and devices for interworking of wireless wide area networks and wireless local area networks or wireless personal area networks
KR100729447B1 (ko) * 2005-08-19 2007-06-15 (주)다산씨앤에스 네트워크 디바이스 작업 매니저
US7653037B2 (en) * 2005-09-28 2010-01-26 Qualcomm Incorporated System and method for distributing wireless network access parameters
JP4864797B2 (ja) * 2006-09-11 2012-02-01 Kddi株式会社 P−cscf高速ハンドオフシステム及びp−cscf高速ハンドオフ方法
DE102006042554B4 (de) * 2006-09-11 2009-04-16 Siemens Ag Verfahren und System zum kontinuierlichen Übertragen von verschlüsselten Daten eines Broadcast-Dienstes an ein mobiles Endgerät
JP4866802B2 (ja) * 2006-09-11 2012-02-01 Kddi株式会社 セキュリティ最適化システムおよびセキュリティ最適化方法
US10091648B2 (en) * 2007-04-26 2018-10-02 Qualcomm Incorporated Method and apparatus for new key derivation upon handoff in wireless networks
CN101414998B (zh) * 2007-10-15 2012-08-08 华为技术有限公司 一种基于认证机制转换的通信方法、系统及设备
WO2009126083A1 (en) 2008-04-11 2009-10-15 Telefonaktiebolaget L M Ericsson (Publ) Access through non-3gpp access networks
CN101299752B (zh) * 2008-06-26 2010-12-22 上海交通大学 基于信任的新鲜性建立密码协议安全性的方法
US8769257B2 (en) * 2008-12-23 2014-07-01 Intel Corporation Method and apparatus for extending transport layer security protocol for power-efficient wireless security processing
EP2484066A4 (en) * 2009-10-01 2015-04-08 Rambus Inc METHODS AND SYSTEMS FOR IMPROVING WIRELESS COVERAGE
CA2777098C (en) * 2009-10-09 2018-01-02 Tajinder Manku Using a first network to control access to a second network
US8458776B2 (en) 2009-10-21 2013-06-04 Microsoft Corporation Low-latency peer session establishment
CN102131191A (zh) * 2010-01-15 2011-07-20 中兴通讯股份有限公司 实现密钥映射的方法及认证服务器、终端、系统
EP2355439A1 (en) * 2010-02-02 2011-08-10 Swisscom AG Accessing restricted services
JP5091963B2 (ja) * 2010-03-03 2012-12-05 株式会社東芝 通信局、認証局及び認証方法
CA2696037A1 (en) 2010-03-15 2011-09-15 Research In Motion Limited Advertisement and dynamic configuration of wlan prioritization states
EP2418815B1 (en) 2010-08-12 2019-01-02 Deutsche Telekom AG Managing Session Initiation Protocol communications towards a user entity in a communication network
EP2418816B1 (en) 2010-08-12 2018-12-12 Deutsche Telekom AG Registering a user entity with a communication network via another communication network
EP2418818B1 (en) 2010-08-12 2018-02-14 Deutsche Telekom AG Network entity for managing communications towards a user entity over a communication network
EP2418817B1 (en) 2010-08-12 2018-12-12 Deutsche Telekom AG Application server for managing communications towards a set of user entities
ES2534046T3 (es) * 2010-11-12 2015-04-16 Deutsche Telekom Ag Método y dispositivos para acceder a una red de área local inalámbrica
US8750180B2 (en) 2011-09-16 2014-06-10 Blackberry Limited Discovering network information available via wireless networks
US20140289826A1 (en) * 2011-11-07 2014-09-25 Option Establishing a communication session
US9276810B2 (en) * 2011-12-16 2016-03-01 Futurewei Technologies, Inc. System and method of radio bearer management for multiple point transmission
US9942938B2 (en) * 2012-04-27 2018-04-10 Interdigital Patent Holdings, Inc. Registration for device-to-device (D2D) communications
US9763179B2 (en) 2012-04-27 2017-09-12 Interdigital Patent Holdings, Inc. Method and apparatus for supporting proximity discovery procedures
US9204299B2 (en) 2012-05-11 2015-12-01 Blackberry Limited Extended service set transitions in wireless networks
US10812964B2 (en) 2012-07-12 2020-10-20 Blackberry Limited Address assignment for initial authentication
US9137621B2 (en) 2012-07-13 2015-09-15 Blackberry Limited Wireless network service transaction protocol
US9769659B2 (en) 2012-08-23 2017-09-19 Telefonaktiebolaget Lm Ericsson (Publ) Access control for a wireless local area network
US9301127B2 (en) 2013-02-06 2016-03-29 Blackberry Limited Persistent network negotiation for peer to peer devices
JP2014191455A (ja) * 2013-03-26 2014-10-06 Fuji Xerox Co Ltd 情報処理装置、情報処理システム及び情報処理プログラム
US10148669B2 (en) * 2014-05-07 2018-12-04 Dell Products, L.P. Out-of-band encryption key management system
CN105338524A (zh) * 2014-07-28 2016-02-17 阿里巴巴集团控股有限公司 一种信息传输方法及装置
US20170063550A1 (en) * 2015-04-23 2017-03-02 Keith J Brodie Secure Digital Signature Apparatus and Methods
BR112018002544A2 (zh) * 2015-08-11 2018-09-18 Huawei Technologies Co., Ltd. An access authentication method and device
US10205709B2 (en) * 2016-12-14 2019-02-12 Visa International Service Association Key pair infrastructure for secure messaging
US10985915B2 (en) * 2017-04-12 2021-04-20 Blackberry Limited Encrypting data in a pre-associated state
US11159511B1 (en) 2019-01-10 2021-10-26 Microstrategy Incorporated Authentication protocol management
US11632672B2 (en) * 2019-12-30 2023-04-18 Texas Instruments Incorporated Systems and methods to support data privacy over a multi-hop network
CN113498055B (zh) * 2020-03-20 2022-08-26 维沃移动通信有限公司 接入控制方法及通信设备
US11825389B2 (en) * 2021-07-02 2023-11-21 Cisco Technology, Inc. Mechanism to deliver SMS meant for user's public or private 5G identity over WLAN network
CN115065559B (zh) * 2022-08-15 2022-12-27 浙江毫微米科技有限公司 一种身份认证系统、方法、装置、电子设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5539824A (en) * 1993-12-08 1996-07-23 International Business Machines Corporation Method and system for key distribution and authentication in a data communication network
EP0912027A2 (en) * 1997-10-14 1999-04-28 Lucent Technologies Inc. Inter-working function selection system in a network
US6115699A (en) * 1998-12-03 2000-09-05 Nortel Networks Corporation System for mediating delivery of a document between two network sites
CN1320344A (zh) * 1999-08-16 2001-10-31 诺基亚网络有限公司 移动通信系统的认证

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5371794A (en) * 1993-11-02 1994-12-06 Sun Microsystems, Inc. Method and apparatus for privacy and authentication in wireless networks
JPH08153072A (ja) * 1994-09-30 1996-06-11 Toshiba Corp 計算機システム及び計算機システム管理方法
US6377982B1 (en) * 1997-10-14 2002-04-23 Lucent Technologies Inc. Accounting system in a network
FI974341A7 (fi) * 1997-11-26 1999-05-27 Nokia Telecommunications Oy Datayhteyksien tietosuoja
US6535493B1 (en) * 1998-01-15 2003-03-18 Symbol Technologies, Inc. Mobile internet communication protocol
FI105965B (fi) * 1998-07-07 2000-10-31 Nokia Networks Oy Autentikointi tietoliikenneverkosssa
FI107486B (fi) * 1999-06-04 2001-08-15 Nokia Networks Oy Autentikaation ja salauksen järjestäminen matkaviestinjärjestelmässä
FI110224B (fi) * 1999-09-17 2002-12-13 Nokia Corp Valvontajärjestelmä
US7486952B1 (en) * 2000-02-09 2009-02-03 Alcatel-Lucent Usa Inc. Facilitated security for handoff in wireless communications
FI20000761A0 (fi) * 2000-03-31 2000-03-31 Nokia Mobile Phones Ltd Laskutus pakettidataverkossa
US6766160B1 (en) * 2000-04-11 2004-07-20 Nokia Corporation Apparatus, and associated method, for facilitating authentication of communication stations in a mobile communication system
US20030139180A1 (en) * 2002-01-24 2003-07-24 Mcintosh Chris P. Private cellular network with a public network interface and a wireless local area network extension
GB2402842B (en) * 2003-06-12 2005-06-08 Nec Technologies Mobile radio communications device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5539824A (en) * 1993-12-08 1996-07-23 International Business Machines Corporation Method and system for key distribution and authentication in a data communication network
EP0912027A2 (en) * 1997-10-14 1999-04-28 Lucent Technologies Inc. Inter-working function selection system in a network
US6115699A (en) * 1998-12-03 2000-09-05 Nortel Networks Corporation System for mediating delivery of a document between two network sites
CN1320344A (zh) * 1999-08-16 2001-10-31 诺基亚网络有限公司 移动通信系统的认证

Also Published As

Publication number Publication date
KR101013523B1 (ko) 2011-02-10
CA2482648A1 (en) 2003-11-06
MXPA04010624A (es) 2004-12-13
CA2482648C (en) 2012-08-07
US20050154895A1 (en) 2005-07-14
BRPI0309523B1 (pt) 2016-08-30
EP1500223A4 (en) 2010-07-07
CN1663168A (zh) 2005-08-31
MY142197A (en) 2010-10-15
WO2003092218A1 (en) 2003-11-06
KR20040102172A (ko) 2004-12-03
JP2006514447A (ja) 2006-04-27
US7721106B2 (en) 2010-05-18
EP1500223B1 (en) 2017-11-01
BR0309523A (pt) 2005-02-09
EP1500223A1 (en) 2005-01-26
AU2003213852A1 (en) 2003-11-10
JP4583167B2 (ja) 2010-11-17

Similar Documents

Publication Publication Date Title
CN1663168B (zh) 接入网之间互配中可传递的认证、授权和记帐
KR100494558B1 (ko) 공중 무선랜 서비스 시스템의 사용자 인증방법 및 시스템
US8347090B2 (en) Encryption of identifiers in a communication system
KR100759489B1 (ko) 이동통신망에서 공개키 기반구조를 이용한 아이피보안터널의 보안 방법 및 장치
US7461248B2 (en) Authentication and authorization in heterogeneous networks
US20020138635A1 (en) Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations
US20060073811A1 (en) System and method for authentication in a mobile communications system
RU2404520C2 (ru) Способ предоставления подписывающего ключа для цифрового подписания, верифицирования или шифрования данных, а также мобильный терминал
KR20110067127A (ko) 티켓-기반 스펙트럼 인가 및 액세스 제어
EP1999567A2 (en) Proactive credential distribution
US9548967B2 (en) Method and apparatus for interworking authorization of dual stack operation
US20080104678A1 (en) Method and apparatus for interworking authorization of dual stack operation
CN100591013C (zh) 实现认证的方法和认证系统
EP1514208A1 (en) Broker-based interworking using hierarchical certificates
CN101998405B (zh) 基于wlan接入认证的业务访问方法
KR20090014625A (ko) 사설 네트워크를 갖는 네트워크에서의 인증 시스템 및 방법
KR101272576B1 (ko) I-wlan에 접속할 수 있는 안드로이드 단말,및 안드로이드 단말의 i-wlan 접속 방법
JP7656065B2 (ja) セキュアキー管理デバイス、認証システム、広域ネットワーク、およびセッションキーを生成する方法
TWI448128B (zh) 用於雙堆疊操作互通授權的方法及裝置
JP2006148203A (ja) ユーザ認証方法、システム、認証サーバ及び通信端末
KR20060064507A (ko) 홈 네트워크 보안성 최적화 장치 및 그 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP02 Change in the address of a patent holder

Address after: I Si Eli Murli Nor, France

Patentee after: THOMSON LICENSING S.A.

Address before: French Boulogne

Patentee before: THOMSON LICENSING S.A.

CP02 Change in the address of a patent holder
TR01 Transfer of patent right

Effective date of registration: 20190530

Address after: Paris France

Patentee after: Interactive digital CE patent holding Co.

Address before: I Si Eli Murli Nor, France

Patentee before: THOMSON LICENSING S.A.

TR01 Transfer of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100616

Termination date: 20210312

CF01 Termination of patent right due to non-payment of annual fee