DE102004040466B4 - Verfahren und Vorrichtung zum sicheren Roamen - Google Patents

Verfahren und Vorrichtung zum sicheren Roamen Download PDF

Info

Publication number
DE102004040466B4
DE102004040466B4 DE102004040466A DE102004040466A DE102004040466B4 DE 102004040466 B4 DE102004040466 B4 DE 102004040466B4 DE 102004040466 A DE102004040466 A DE 102004040466A DE 102004040466 A DE102004040466 A DE 102004040466A DE 102004040466 B4 DE102004040466 B4 DE 102004040466B4
Authority
DE
Germany
Prior art keywords
access point
station
port
communication system
wireless communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102004040466A
Other languages
English (en)
Other versions
DE102004040466A1 (de
Inventor
Max Fudum
Boris Ginzburg
Marc Jalfon
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE102004040466A1 publication Critical patent/DE102004040466A1/de
Application granted granted Critical
Publication of DE102004040466B4 publication Critical patent/DE102004040466B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/0005Control or signalling for completing the hand-off
    • H04W36/0011Control or signalling for completing the hand-off for data sessions of end-to-end connection
    • H04W36/0033Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
    • H04W36/0038Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W52/00Power management, e.g. TPC [Transmission Power Control], power saving or power classes
    • H04W52/02Power saving arrangements
    • H04W52/0203Power saving arrangements in the radio access network or backbone network of wireless communication networks
    • H04W52/0206Power saving arrangements in the radio access network or backbone network of wireless communication networks in access points, e.g. base stations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Verfahren zum sicheren Roamen einer Station von einem ersten Zugriffspunkt zu einem zweiten Zugriffspunkt, das folgendes umfaßt:
Betreiben einer gesicherten Verbindung an einem ersten Port der Station mit dem ersten Zugriffspunkt;
Anzeigen eines ersten Energiesparmodus an dem ersten Zugriffspunkt, während eine gesicherte Verbindung an einem zweiten Port der Station mit dem zweiten Zugriffspunkt aufgebaut wird;
Anzeigen eines zweiten Energiesparmodus an dem zweiten Zugriffspunkt von dem zweiten Port der Station, während die Verbindung zum ersten Zugriffspunkt gelöst wird; und
Verlassen des zweiten Energiesparmodus am zweiten Port der Station.

Description

  • Hintergrund der Erfindung
  • In drahtlosen Nahbereichsnetzen (Wireless Local Area Networks, WLAN) können einige Datenübertragungen zwischen Einrichtungen einer Basisdienstgruppe (Basic Service Set, BSS) gesichert sein. Sicherheitsvorkehrungen für einen WLAN, beispielsweise einen WLAN, der den IEEE Standard 802.11 erfüllt, können mindestens drei Komponenten umfassen: einen Authentifizierungs-Mechanismus oder -Rahmensystem, einen Authentifizierungsalgorithmus und Datenrahmen-Verschlüsselung.
  • Der IEEE Standard 802.1 X-2001 „Port Based Network Access Control” kann als Authentifizierungs-Mechanismus oder Authentifizierungs-Rahmensystem für das WLAN verwendet werden und kann dem WLAN ein Authentifizierungsprotokoll basierend auf dem IEEE 802.11 Standard zur Verfügung stellen. Der IEEE 802.1X Standard erlaubt das Skalieren von WLANs, indem die drahtlosen Benutzer oder Stationen zentralisiert authentifiziert werden können. Der IEEE 802.1 X Standard kann verschiedene Authentifikationsalgorithmen ermöglichen und kann die Einrichtungen der BSS mit einem gewünschten Authentifizierungsalgorithmus konfigurieren.
  • US 5,991,287 offenbart ein Handover-Verfahren in einem WLAN-System, insbesondere gemäß dem IEEE 802.11-Protokoll. Die mobile Station umfasst eine Scan-Schaltung und eine Detektions-Schaltung. Während des Handover-Vorgangs wird über eine Suspension-Schaltung, welche mit der Detektions-Schaltung verbunden ist, ein Read-to-Scan-Signal gesandt, welches zeitweise die Datenübertragung zu der mobilen Station unterbricht.
  • CA 2 413 944 A1 offenbart eine Netzwerktechnik, die es einem WLAN ermöglicht, ein Webbasiertes Authentifizierungsverfahren für große WLAN-Netze vorzunehmen. Ein Authentifizierungsserver bindet eine Web-Seite zum Initialisieren einer Authentifizierung ein.
  • EP 1 322 091 A1 offenbart ein Kommunikationssystem, welches einen Server mit einem Client in einem Netz verbindet. Wenn der Client auf einen Zugriffspunkt im Netz zugreift, wird eine Authentifizierung über einen Authentifizierungsserver ausgelöst, welcher dem Zugriffspunkt einen Schlüssel zum Dechiffrieren übersendet. Wenn der Client in den Bereich eines zweiten Zugriffspunkts wandert, erzeugt der Server keinen neuen Schlüssel, informiert jedoch den nächsten Zugriffspunkt über den vorhandenen Schlüssel.
  • EP 1 311 086 A2 offenbart einen verbesserten Energiesparmodus in einem WLAN-System.
  • EP 0 851 633 A2 offenbart ein Verfahren zum Roamen in einem WLAN-System. Während des Roamen werden Daten gepuffert und nachfolgend an den nächsten Zugriffspunkt übertragen.
  • US 2003/0063584 A1 offenbart einen Handover-Vorgang in einem Handynetz. Das Verfahren unterstützt einen Handover-Vorgang in einem Ruhezustand.
  • WO 03/061221 A1 offenbart einen Handover-Vorgang in einem Handy-Netz. Wenn ein Handover einer mobilen Station von einer Basisstation zu der nächsten Basisstation auftritt, werden von der ersten Basisstation Parameter bezüglich der Paketdaten-Session an die mobile Station weitergeleitet, die ihrerseits die Daten an die nächste Basisstation weiterleitet.
  • Aufgabe der Erfindung ist es, ein sicheres Roamen in einem Netz, insbesondere in einem WLAN, zu ermöglichen, wenn eine Station von einem ersten Zugriffspunkt zu einem zweiten Zugriffspunkt wechselt.
  • Die Erfindung löst das Problem durch ein Verfahren nach Anspruch 1, eine Vorrichtung nach Anspruch 5 bzw. durch ein drahtloses Kommunikationssystem nach Anspruch 9.
  • Kurzbeschreibung der Zeichnungen
  • Der als Erfindung betrachtete Gegenstand ist im abschließenden Abschnitt der Beschreibung im einzelnen dargelegt und detailliert beansprucht. Am besten kann die Erfindung sowohl hinsichtlich der Organisation als auch hinsichtlich ihrer Betriebsweise, zusammen mit den entsprechenden Zielen, Merkmalen, und Vorteilen mit Bezug auf die folgende detaillierte Beschreibung verstanden werden, wenn diese zusammen mit den beigefügten Zeichnungen berücksichtigt wird, wobei
  • 1 eine schematische Darstellung eines drahtlosen Kommunikationssystems gemäß einer beispielhaften Ausführung der vorliegenden Erfindung ist;
  • 2 ein Blockdiagramm einer Station gemäß einiger beispielhafter Ausführungen der vorliegenden Erfindung ist;
  • 3 ein Blockdiagramm eines Zugriffspunkts (Access Point, AP) eines WLANs gemäß einer beispielhaften Ausführung der vorliegenden Erfindung ist; und
  • 4 ein Flußdiagramm eines Roaming-Verfahrens gemäß einiger beispielhafter Ausführungen der Erfindung ist.
  • Es sollte klar sein, daß zum Zwecke der einfachen und klaren Darstellung die in den Figuren dargestellten Elemente nicht notwendigerweise maßstabsgetreu dargestellt sind. Beispielsweise können die Abmessungen einiger Elemente der Klarheit wegen gegenüber anderen Elementen vergrößert dargestellt sein. Ferner können innerhalb der Figuren die Bezugszeichen, falls zweckdienlich, wiederholt sein, um entsprechende oder analoge Elemente zu kennzeichnen.
  • Detaillierte Beschreibung der Ausführungsformen der Erfindung
  • In der folgenden detaillierten Beschreibung werden zahlreiche spezifischen Details dargelegt, um ein gründliches Verständnis der Erfindung zu ermöglichen. Jedoch ist es für den Fachmann verständlich, daß die vorliegende Erfindung ohne diese spezifischen Details ausgeführt werden kann. Ferner werden wohlbekannte Verfahren, Prozeduren, Komponenten und Schaltkreise nicht im Detail beschrieben, um die Klarheit der vorliegenden Erfindung nicht zu beeinträchtigen.
  • Einige Abschnitte der folgenden detaillierten Beschreibung sind in Form von Algorithmen und symbolischen Darstellungen von Operationen bezüglich Datenbits oder binären digitalen Signalen innerhalb eines Computerspeichers dargestellt. Diese algorithmischen Beschreibungen und Darstellungen können die von einem Fachmann auf dem Gebiet der Datenverarbeitung verwendete Art und Weise sein, um den Gegenstand seiner Arbeit anderen Fachleuten zu vermitteln.
  • Es wird davon ausgegangen, daß in der gesamten Beschreibung Erörterungen, welche Begriffe wie „Verarbeiten”, „Berechnen”, „Kalkulieren”, „Ermitteln” oder ähnlich verwenden, Die Tätigkeit und/oder Prozesse eines Computers oder Computersystems oder eine ähnliche elektronische Verarbeitungseinheit betreffen, die Daten, welche als physikalische, beispielsweise elektronische Größen innerhalb der Register des Computersystems und/oder in Speichern in andere, gleichermaßen als physikalische Größen innerhalb der Speicher des Computersystems, Registers oder in anderen Informationsspeicher-, Übertragungs- oder Anzeigeeinrichtungen dargestellte Daten manipulieren und/oder transformieren, falls nicht konkret etwas anderes gesagt ist, wie aus den folgenden Erörterungen ersichtlich.
  • Die Erfindung kann in einer Vielzahl von Anwendungen verwendet werden. Obgleich die vorliegende Erfindung in dieser Hinsicht nicht beschränkt ist, können die hierin offenbarten Schaltungen und Techniken in vielen Vorrichtungen verwendet werden, beispielsweise in Stationen eines drahtlosen Kommunikationssystems. Stationen, die in den Umfang der vorliegenden Erfindung fallen sollen, sind, lediglich beispielsweise, Stationen drahtloser Nahbereichsnetzen (WLANs), Zweiwege-Funkstationen, Stationen eines digitalen Systems, Stationen eines analogen Systems, Mobiltelefonstationen und ähnliches.
  • WLAN-Stationstypen, die in den Umfang der vorliegenden Erfindung fallen sollen, umfassen mobile Stationen, Zugriffspunkte, Stationen zum Empfangen und Übertragen von Signalen mit gespreiztem Spektrum, beispielsweise Frequenzsprungverfahren mit gespreiztem Spektrum (Frequency Hopping Spread Spectrum, FHSS), Direct Sequence Spread Spectrum (DSSS), Complementary Code-Verschlüsselung (Complementary Code Keying, CCK), orthogonale Frequenzmultiplexing (Orthogonal Frequency-Division Multiplexing, OFDM) und ähnliches, sind jedoch nicht darauf beschränkt.
  • In der 1 ist zunächst ein drahtloses Kommunikationssystem 100 dargestellt, beispielsweise ein WLAN-Kommunikationssystem. Obgleich der Gegenstand der folgenden Erfindung diesbezüglich nicht beschränkt ist, kann das beispielhafte WLAN-Kommunikationssystem 100 beispielsweise durch den IEEE 802.11-1999 Standard als Basisdienstgruppe (Basic Service Set, BSS) definiert sein. Beispielsweise kann die BSS zumindest eine Station umfassen, beispielsweise einen Zugriffspunkt (Access Point, AP) 120 und zumindest eine zusätzliche Station 110, beispielsweise eine mobile Einheit (mobile unit, MU). In einigen Ausführungsformen kann die Station 110 und der AP 120 ein oder mehrere Datenpakete über das WLAN-Kommunikationssystem 100 übertragen und/oder empfangen. Die Datenpakete können Daten, Steuerungsnachrichten, Netzinformationen und ähnliches umfassen. Zusätzlich oder alternativ kann in anderen Ausführungen der vorliegenden Erfindung das WLAN-Kommunikationssystem 100 ein gesichertes Netz sein und einen Authentisierungsserver 130 umfassen, um einem AP 120 und/oder einem AP 140 einen gewünschten Authentifizierungsalgorithmus bereitzustellen, falls dies gewünscht ist. In dieser beispielhaften Ausführungsform können Verbindungen 125 und 145 gesicherte Verbindungen sein. Die Station 110 kann von dem AP 120 zu dem AP 140 roamen und in der gesicherten Verbindung verbleiben.
  • Obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, können beispielsweise in einem gesicherten WLAN das WLAN-Kommunikationssystem 100, die APs 120 und 140 als „Authentifikatoren” (authentificators) bezeichnet werden, und die Station 110 kann als „Anfrager” (supplicant) bezeichnet werden. In einigen Ausführungsformen kann der IEEE Standard 802.1X-2001 verwendet werden, um die Verbindungen 125 und 145 zu sichern. Der IEEE 802.1 X Standard kann ein Authentifizierungsprotokoll verwenden, das als erweiterbares Authentifizierungsprotokoll (Extensible Authentication Protocol, EAP) bekannt ist, und kann EAP-Nachrichten über das WLAN verkapseln.
  • In einigen Ausführungsformen der vorliegenden Erfindung kann die Station 110 Anfrage-(Supplicant)-Software und/oder -Hardware umfassen, und die APs 120 und 140 können Authentifizierungs-Software und/oder -Hardware umfassen. Obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, kann der Authentifizierungsserver 130 beispielsweise einen Fernauthentifizierungs-Dial-In-Benutzerdienstserver (Remote Authentication Dial-In User Service Server, RADIUS) umfassen, und kann Sicherheitsprotokolle betreiben, beispielsweise das Internetprotokoll-Sicherheitsprotokoll (IPsec), das Transportschicht-Sicherheitsprotokoll (TLS) oder ähnliches.
  • Obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, kann ein Beispiel für das Aufbauen einer sicheren Kommunikation mit einem einzelnen AP, beispielsweise AP 120, wie folgt durchgeführt werden: Die Station 110 kann versuchen, eine Verbindung mit dem AP 120 aufzubauen. Der AP 120 kann die Station 110 detektieren und kann einen Port der Station 110 aktivieren. Der AP 120 kann den Port der Station 110 dazu veranlassen, in einen nicht authentifiziert Zustand zu treten, so daß ein gewünschter autentifizierter Verkehr weitergeleitet wird, während nicht authentifizierter Verkehr geblockt wird, beispielsweise Verkehr eines dynamischen Host-Konfigurationsprotokolls, HTTP, FTP, SMTP, POP, und ähnliches. Die Station 110 kann dann eine EAP-Startnachricht an den AP 120 senden. Der AP 120 kann mit einer EAP-Nachricht bezüglich einer Identitätsanfrage antworten, um eine Identität des Client zu erhalten. Daraufhin kann an den Authentifizierungsserver 130 ein EAP-Antwortpaket weitergeleitet werden, das die Identität des Client enthält.
  • Obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, kann der Authentifizierungsserver 130 konfiguriert sein, Clients, beispielsweise die Station 110, mittels eines gewünschten Authentifizierungsalgorithmus zu authentifizieren. Das Ergebnis kann in der Form eines „Annahme-” oder „Zurückweisungs-” Pakets sein, daß von dem Authentifizierungsserver 130 an den AP 120 gesendet wird. Beim Empfang eines Annahme-Pakets kann der AP 120 den Port der Station 110 in einen authentifizierten Zustand überleiten, wodurch Verkehr weitergeleitet werden kann.
  • Obgleich der Umfang der Erfindung nicht in dieser Hinsicht beschränkt ist, kann die Station 120 erste und zweite Ports umfassen, um mit dem jeweiligen ersten und zweiten Port der ersten und zweiten APs, beispielsweise AP 120 und AP 140, zu kommunizieren. Die Station 110 kann von AP 120 zu AP 140 roamen. In diesem Szenario kann die Station 110 dem AP 120 einen Energiesparmodus anzeigen und kann damit beginnen, eine sichere Verbindung mit dem AP 140 wie oben beschrieben aufzubauen. Vor dem Übergang des AP 140-Ports in den authentifizierten Modus, kann die Station 110 dem AP 140 jedoch einen Energiesparmodus anzeigen und von dem AP 120 getrennt werden. Beispielsweise kann die Station 110 dem AP 120 eine EAP-Logoff-Nachricht senden. In Reaktion darauf kann der AP 120 den ersten Port der Station 110 in einen nicht authentifizierten Zustand überleiten. Die Station 110 kann mit dem AP 140 den Energiesparmodus verlassen und der AP 140 kann den zweiten Port der Station 110 in einen authentifizierten Zustand überleiten, wodurch Verkehr weitergeleitet werden kann.
  • Mit Bezug auf 2 ist ein Blockdiagramm einer Station 200 gemäß einiger beispielhafter Ausführungsformen der vorliegenden Erfindung dargestellt. Obwohl der Gegenstand der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, kann die Station 200 eine Antenne 210, einen Sender (TX) 220, einen Empfänger (RX) 230, einen ersten Port 240, einen zweiten Port 245, eine Anfrageeinheit 260 und eine Energiesparmodus-Aktivierungseinheit 270 umfassen. Zusätzlich und/oder alternativ kann in einigen Ausführungsformen der Erfindung die Station 200 einen Authentifizierungsserver 250 (in gestrichelten Linien dargestellt) umfassen.
  • Obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, kann. die Antenne 210 verwendet werden, um eine sichere Kommunikation mit einem Zugriffspunkt, beispielsweise AP 120 und/oder AP 140, zu ermöglichen. Die Antenne 210 kann eine interne Antenne, eine omnidirektionale Antenne, eine Monopol-Antenne, eine Dipol-Antenne, eine Antenne mit End-Einspeisung, eine zirkular polarisierte Antenne, eine Mikrostreifenantenne oder eine Diversity-Antenne oder änliches sein.
  • Obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, kann die Station 200 einen Sender (TX) 220 und einen Empfänger (RX) 230 umfassen, um Signale zu übertragen bzw. zu empfangen. In einigen Ausführungen kann die Anfrageeinheit 260 ein Softwaremodul umfassen, um eine gesicherte Verbindung mit einem AP aufzubauen. Jedoch kann in einer anderen Ausführungsform der Erfindung die Anfrageeinheit 260 in Hardware und/oder in einer Kombination von Hardware und Software implementiert sein, falls dies gewünscht ist. Die Anfrageeinheit 260 kann der Station 200 eine gesicherte Verbindung zu dem AP 120 und/oder dem AP 140 zur Verfügung stellen.
  • Obgleich der Umfang der Erfindung diesbezüglich nicht beschränkt ist, kann die Station 200 von dem AP 120 zu dem AP 140 roamen, und die Anfrageeinheit 260 kann die Energiesparmodus-Aktivierungseinheit 270 aktivieren, um dem AP 120 einen Energiesparmodus anzuzeigen, während mit dem AP 140 eine gesicherte Verbindung aufgebaut wird. Die Anfrageeinheit 260 kann den Port 245 steuern, um nur authentifizierte Datenpakete an den TX 220 und/oder von dem RX 230 zu übertragen und um nicht authentifizierte Datenpakete abzublocken. Die Anfrageeinheit 260 kann am Port 245 Portauthentifizierungs-Einrichtungen (Port Authentication Entities, PAE) erzeugen.
  • In einigen Ausführungen der vorliegenden Erfindung können die Anfrageeinheit 260 und der Authentisierungsserver 250 in die Erstellung der PAEs miteinbezogen werden, falls dies gewünscht ist. Beispielsweise kann die Anfrageeinheit 260 den Port 240 authentifizieren, während sie sich in einer gesicherten Verbindung mit dem AP 120 befindet, und kann den Port 245 deauthentifizieren, oder umgekehrt. Während die Anfrageeinheit 260 dem AP 120 einen Energiesparmodus anzeigt, kann die Anfrageeinheit 260 die Station 200 über den Port 245 mit dem AP 140 assoziieren und kann eine authentifizierte Verbindung aufbauen, beispielsweise Verbindung 145. Der AP 120 kann die Datenpakete Puffern, die zu der Station 200 übertragen werden können. Nach einem erfolgreichen Aufbau einer gesicherten Verbindung mit dem AP 140 kann die Anfrageeinheit 260 die gepufferten Daten von dem AP 120 abholen, sich von dem AP 120 trennen, den Port 240 in einen nicht authentifizierten Zustand versetzen, sich mit dem AP 140 assoziieren und Port 245 authorisieren, falls dies gewünscht ist.
  • Bezugnehmend auf die 3 ist ein Blockdiagramm eines APs 300 gemäß einiger beispielhafter Ausführungsformen der vorliegenden Erfindung dargestellt. Obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, kann der AP 300 zumindest eine Antenne 310, einen Sender (TX) 320, einen Empfänger (RX) 330, einen Port 340 und eine Authentifikatoreinheit 350 umfassen.
  • Obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, kann die Antenne 310 eine interne Antenne, eine omnidirektionale Antenne, eine Monopol-Antenne, eine Dipol-Antenne, eine Antenne mit Endeinspeisung, eine zirkular polarisierte Antenne, eine Mikrostreifenantenne oder eine Diversity-Antenne oder ähnliches sein.
  • Obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, können der TX 320 und der RX 330 Datenpakete senden bzw. empfangen.
  • Obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, kann in einigen Ausführungsformen die Authentifikatoreinheit 350 ein Software- und/oder Hardwaremodul umfassen, um eine gesicherte Verbindung mit Stationen, beispielsweise Station 200, aufzubauen, falls dies gewünscht ist. Die Authentifikatoreinheit 350 kann die gesicherte Verbindung mit der Station 200 vorsehen, indem am Port 340 eine PAE erzeugt wird und die Anfrageeinheit 260 angewiesen wird, eine PAE an zumindest einem der Ports 240, 245 zu erzeugen, wobei der Umfang der Erfindung diesbezüglich nicht beschränkt ist.
  • In 4 ist ein Flußdiagramm eines Verfahrens zum Roamen von einem AP zu einem anderen AP gemäß einiger beispielhafter Ausführungsformen der vorliegenden Erfindung dargestellt. Obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, kann das Roamen von AP 120 zu AP 140 an einer Station beginnen, beispielsweise Station 110, die dem AP 120 einen Energiesparmodus anzeigt (Kasten 400). Daraufhin kann der AP 120 die an die Station 110 übertragenen Datenpakete Puffern (Kasten 405), obwohl der Umfang der Erfindung diesbezüglich nicht beschränkt ist. Die Station 110 kann mit dem AP 140 assoziiert werden (Kasten 410) und der AP 140 kann Portauthentifizierungs-Einheiten (PAEs) an dem zweiten Port der Station 110 und an einem Port des AP 140 erzeugen (Kasten 415). In einigen Ausführungsformen der vorliegenden Erfindung können die Anfrageeinheit der Station 110, die Authentifikatoreinheit des AP 140 und der Authentifizierungsserver 130 in die PAE-Erzeugung eingebunden sein, falls dies gewünscht ist.
  • In einigen Ausführungsformen kann der Authentifizierungsserver 130 wechselseitige Authentifizierungen mit der Station 110 und AP 140 vorsehen (Kasten 420). In einigen anderen Ausführungsformen der Erfindung kann die Station 110 einen Authentifizierungsserver, beispielsweise den Authentifizierungsserver 250 der Station 200 (2) umfassen, um die wechselseitige Authentifizierung mit Station 110 und dem AP 140 vorzusehen, dies falls gewünscht ist. Der Authentifikationsprozeß kann sich mit dem Austausch von paarweisen Schlüsseln und Gruppenschlüsseln zwischen der Station 110 und dem AP 140 fortsetzen (Kasten 425), obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist.
  • Obgleich der Umfang der Erfindung nicht in diesbezüglich beschränkt ist, kann nach der Initiierung einer sicheren Verbindung mit dem AP 140, beispielsweise der Verbindung 145, der zweite Port der Station 110 in einem authentifizierten Modus sein. Die Station 110 kann dem AP 140 einen Energiesparmodus anzeigen. Die Station 110 kann den Energiesparmodus mit AP 120 verlassen (Kasten 430) und der erste Port der Station 110 kann authentifiziert werden. Die Station 110 kann gepufferte Datenpakete von dem AP 110 empfangen (Kasten 435), kann sich von dem AP 120 trennen (Kasten 440) und kann den Energiesparmodus mit AP 140 verlassen (Kasten 450). Der AP 140 kann eine gesicherte Verbindung auftauen, indem der den zweiten Port der Station 110 sowie seinen eigenen Port authentifiziert (Kasten 460).
  • Obgleich der Umfang der vorliegenden Erfindung nicht diesbezüglich beschränkt ist, kann das Anzeigen und/oder das Verlassen des Energiesparmodus durchgeführt werden, indem von der Station 110 an einem gewünschten AP, beispielsweise AP 120 oder AP 140, eine Nachricht gesandt wird. In einigen Ausführungsformen der Erfindung kann die Nachricht Leerdaten (null-data) umfassen, deren Energiespar (Power Saving, PS)-Bit auf „an” oder „aus” gesetzt ist.
  • Während bestimmte Merkmale der Erfindung hier dargestellt und beschrieben wurden, werden dem Fachmann viele Modifikationen, Substitutionen, Änderungen und Äquivalente einfallen. Die angefügten Ansprüche sind daher so zu verstehen, daß diese jegliche Modifikationen und Änderungen umfassen sollen, die unter den wirklichen Erfindungsgedanken fallen.

Claims (23)

  1. Verfahren zum sicheren Roamen einer Station von einem ersten Zugriffspunkt zu einem zweiten Zugriffspunkt, das folgendes umfaßt: Betreiben einer gesicherten Verbindung an einem ersten Port der Station mit dem ersten Zugriffspunkt; Anzeigen eines ersten Energiesparmodus an dem ersten Zugriffspunkt, während eine gesicherte Verbindung an einem zweiten Port der Station mit dem zweiten Zugriffspunkt aufgebaut wird; Anzeigen eines zweiten Energiesparmodus an dem zweiten Zugriffspunkt von dem zweiten Port der Station, während die Verbindung zum ersten Zugriffspunkt gelöst wird; und Verlassen des zweiten Energiesparmodus am zweiten Port der Station.
  2. Verfahren nach Anspruch 1, wobei das Aufbauen der sicheren Verbindung umfaßt: Assoziieren mit dem zweiten Zugriffspunkt; und Erzeugen eines Portauthentifizierungseintrags an dem zweiten Port der Station mit dem zweiten Zugriffspunkt.
  3. Verfahren nach Anspruch 2, das ferner die Schritte umfaßt: nach einem Verlassen des ersten Energiesparmodus mit dem ersten Zugriffspunkt, Empfangen von gepufferten Daten von dem ersten Zugriffspunkt.
  4. Verfahren nach Anspruch 2, das ferner umfaßt: Trennen von dem ersten Zugriffspunkt; Auflösen der Authentifizierung des ersten Ports der Station; Assoziieren mit dem zweiten Zugriffspunkt; und Authentifizieren des zweiten Ports der Station.
  5. Vorrichtung zum sicheren Roamen einer Station von einem ersten Zugriffspunkt zu einem zweiten Zugriffspunkt mit: einer Anfrageeinheit, um eine erste und zweite gesicherte Verbindung mit einem ersten und einem zweiten Zugriffspunkt jeweils an einem ersten und zweiten Port der Station zu bilden und um dem ersten Zugriffspunkt einen Energiesparmodus anzuzeigen, während die zweite gesicherte Verbindung mit dem zweiten Zugriffspunkt aufgebaut wird, wobei die Anfrageeinheit in der Lage ist, den Energiesparmodus dem zweiten Zugriffspunkt anzuzeigen, während einer Trennung von dem ersten Zugriffspunkt.
  6. Vorrichtung nach Anspruch 5, wobei die Anfrageeinheit in der Lage ist, dem zweiten Zugriffspunkt einen Energiesparmodus anzuzeigen und gepufferte Daten von dem ersten Zugriffspunkt zu empfangen.
  7. Vorrichtung nach Anspruch 5, wobei der erste Port der Station authentisiert ist und der zweite Port der Station sich in einem nicht-authentisierten Modus befindet, während eine gesicherte Kommunikation mit dem ersten Zugriffspunkt durchgeführt wird.
  8. Vorrichtung nach Anspruch 5, wobei der zweite Port der Station authentisiert ist und der erste Port der Station sich in einem nicht authentisierten Modus befindet, während einer gesicherter Kommunikation mit dem zweiten Zugriffspunkt.
  9. Drahtloses Kommunikationssystem mit: einer Station, um von einer ersten gesicherten Verbindung an einem ersten Port der Station mit einem ersten Zugriffspunkt zu einer zweiten gesicherten Verbindung an einem zweiten Port der Station mit einem zweiten Zugriffspunkt zu roamen, wobei die Station eine Anfrageeinheit umfaßt, um dem ersten Zugriffspunkt einen ersten Energiesparmodus anzuzeigen, während die gesicherte Verbindung mit dem zweiten Zugriffspunkt aufgebaut wird, und dem zweiten Zugriffspunkt einen zweiten Energiesparmodus anzuzeigen, währen die Verbindung mit dem ersten Zugriffspunkt getrennt wird.
  10. Drahtloses Kommunikationssystem nach Anspruch 9, wobei die Anfrageeinheit in der Lage ist, mit dem zweiten Zugriffspunkt assoziiert zu werden, während sie dem ersten Zugriffspunkt den ersten Energiesparmodus anzeigt, und ferner eine authentisierte Verbindung mit dem zweiten Zugriffspunkt aufzubauen.
  11. Drahtloses Kommunikationssystem nach Anspruch 10, wobei die Anfrageeinheit in der Lage ist, dem zweiten Zugriffspunkt den zweiten Energiesparmodus anzuzeigen, um von dem ersten Zugriffspunkt gepufferte Daten zu empfangen.
  12. Drahtloses Kommunikationssystem nach Anspruch 9, das ferner umfaßt: einen Authentifizierungsserver, um ein Authentifizierungsprotokoll für die erste und zweite Verbindung zwischen der Station und dem ersten bzw. zweiten Zugriffspunkt bereitzustellen.
  13. Drahtloses Kommunikationssystem nach Anspruch 9, wobei die Station eine Anfrageeinheit umfaßt, um Authentifizierung zu ermöglichen.
  14. Drahtloses Kommunikationssystem nach Anspruch 9, wobei der erste und der zweite Zugriffspunkt eine Authentifikatoreinheit umfaßt, um der Station die Aufrechterhaltung einer gesicherten Verbindung mit zumindest einem der ersten und zweiten Zugriffspunkte zu ermöglichen.
  15. Drahtloses Kommunikationssystem nach Anspruch 12, wobei der Authentifizierungsserver als Server für Fernauthentifizierung-Einwahlbenutzerdienste (RADIUS) zu konfigurieren ist.
  16. Drahtloses Kommunikationssystem nach Anspruch 12, wobei das Authentifizierungsprotokoll ein erweiterbares Authentifizierungsprotokoll umfaßt.
  17. Drahtloses Kommunikationssystem nach Anspruch 12, das ein drahtloses Nahbereichsnetz umfaßt.
  18. Drahtloses Kommunikationssystem nach Anspruch 9, wobei der erste Port der Station während des Ausführens der gesicherten Verbindung mit dem ersten Zugriffspunkt authentisiert ist und der zweite Port der Station nicht authentisiert ist.
  19. Drahtloses Kommunikationssystem nach Anspruch 9, wobei der zweite Port der Station authentisiert ist, während mit dem zweiten Zugriffspunkt eine gesicherte Kommunikation durchgeführt wird, und der erste Port der Station nicht authentisiert ist.
  20. Vorrichtung nach Anspruch 5 in Form einer mobilen Einrichtung mit weiterhin: einer internen Antenne, um gesicherten Nachrichtenverkehr zu senden und zu empfangen.
  21. Vorrichtung nach Anspruch 20, wobei die Anfrageeinheit in der Lage ist, dem zweiten Zugriffspunkt einen Energiesparmodus vorzulegen, um von dem ersten Zugriffspunkt gepufferte Daten zu empfangen.
  22. Vorrichtung nach Anspruch 20, wobei der erste Port der Station authentisiert ist und der zweite Port der Station sich in einem nicht authentisierten Modus befindet, während eine gesicherte Kommunikation mit dem ersten Zugriffspunkt durchgeführt wird.
  23. Vorrichtung nach Anspruch 20, wobei der zweite Port der Station authentisiert ist und der erste Port der Station sich in einem nicht authentisierten Modus befindet, während einer gesicherter Kommunikation mit dem zweiten Zugriffspunkt.
DE102004040466A 2003-08-26 2004-08-20 Verfahren und Vorrichtung zum sicheren Roamen Expired - Fee Related DE102004040466B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/647,212 US7447177B2 (en) 2003-08-26 2003-08-26 Method and apparatus of secure roaming
US10/647,212 2003-08-26

Publications (2)

Publication Number Publication Date
DE102004040466A1 DE102004040466A1 (de) 2005-04-21
DE102004040466B4 true DE102004040466B4 (de) 2011-03-31

Family

ID=33132054

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102004040466A Expired - Fee Related DE102004040466B4 (de) 2003-08-26 2004-08-20 Verfahren und Vorrichtung zum sicheren Roamen

Country Status (6)

Country Link
US (1) US7447177B2 (de)
CN (1) CN100571460C (de)
DE (1) DE102004040466B4 (de)
GB (1) GB2407459B (de)
MY (1) MY137110A (de)
WO (1) WO2005025139A1 (de)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7742444B2 (en) * 2005-03-15 2010-06-22 Qualcomm Incorporated Multiple other sector information combining for power control in a wireless communication system
US7526308B2 (en) * 2005-04-28 2009-04-28 Intel Corporation Adaptive control physical carrier sense parameters in wireless networks
US20060270412A1 (en) * 2005-05-25 2006-11-30 Willins Bruce A System and method for resilient coverage in a wireless environment
US9055552B2 (en) * 2005-06-16 2015-06-09 Qualcomm Incorporated Quick paging channel with reduced probability of missed page
US8750908B2 (en) * 2005-06-16 2014-06-10 Qualcomm Incorporated Quick paging channel with reduced probability of missed page
US20070026818A1 (en) * 2005-07-29 2007-02-01 Willins Bruce A Signal detection arrangement
US8675549B2 (en) * 2005-10-27 2014-03-18 Qualcomm Incorporated Method of serving sector maintenance in a wireless communication systems
US20070147226A1 (en) * 2005-10-27 2007-06-28 Aamod Khandekar Method and apparatus for achieving flexible bandwidth using variable guard bands
US20090207790A1 (en) * 2005-10-27 2009-08-20 Qualcomm Incorporated Method and apparatus for settingtuneawaystatus in an open state in wireless communication system
US7522571B2 (en) * 2006-02-14 2009-04-21 Intel Corporation Techniques to enable direct link discovery in a wireless local area network
GB0606071D0 (en) * 2006-03-27 2006-05-03 Siemens Ag Indication of dtm handover command
US7826427B2 (en) * 2007-08-22 2010-11-02 Intel Corporation Method for secure transfer of data to a wireless device for enabling multi-network roaming
US20110099280A1 (en) * 2009-10-28 2011-04-28 David Thomas Systems and methods for secure access to remote networks utilizing wireless networks
CN101741726B (zh) * 2009-12-18 2012-11-14 西安西电捷通无线网络通信股份有限公司 一种支持多受控端口的访问控制方法及其系统
WO2012162894A1 (zh) * 2011-06-02 2012-12-06 Deng Fangbo 变址漫游
WO2015137855A1 (en) * 2014-03-13 2015-09-17 Telefonaktiebolaget L M Ericsson (Publ) Establishment of secure connections between radio access nodes of a wireless network
WO2015174968A1 (en) * 2014-05-13 2015-11-19 Hewlett-Packard Development Company, L.P. Network access control at controller

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0851633A2 (de) * 1996-12-30 1998-07-01 Lucent Technologies Inc. System und Verfahren zur Weiterreichen in einem schnurloses LAN durch Datenpufferung in dem anschliessenden Zugriffspunkt
US5991287A (en) * 1996-12-30 1999-11-23 Lucent Technologies, Inc. System and method for providing seamless handover in a wireless computer network
US20030063584A1 (en) * 2001-10-03 2003-04-03 Sayeedi Shahab M. Method and apparatus for facilitating dormant mode, packet data mobile handoffs
EP1311086A2 (de) * 2001-11-07 2003-05-14 Symbol Technologies, Inc. Verbesserte Energiesparfunktion für drahtloses lokales Netzwerk (WLAN)
CA2413944A1 (en) * 2001-12-12 2003-06-12 At&T Corp. A zero-configuration secure mobility networking technique with web-base authentication method for large wlan networks
EP1322091A1 (de) * 2001-12-19 2003-06-25 Canon Kabushiki Kaisha Kommunikationssystem, Servervorrichtung, Client-Einrichtung und Verfahren zur Steuerung derselben
WO2003061221A1 (en) * 2002-01-08 2003-07-24 Motorola, Inc. Packet data serving node initiated updates for a mobile communication system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6587680B1 (en) * 1999-11-23 2003-07-01 Nokia Corporation Transfer of security association during a mobile terminal handover
US7177637B2 (en) * 2002-03-01 2007-02-13 Intel Corporation Connectivity to public domain services of wireless local area networks

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0851633A2 (de) * 1996-12-30 1998-07-01 Lucent Technologies Inc. System und Verfahren zur Weiterreichen in einem schnurloses LAN durch Datenpufferung in dem anschliessenden Zugriffspunkt
US5991287A (en) * 1996-12-30 1999-11-23 Lucent Technologies, Inc. System and method for providing seamless handover in a wireless computer network
US20030063584A1 (en) * 2001-10-03 2003-04-03 Sayeedi Shahab M. Method and apparatus for facilitating dormant mode, packet data mobile handoffs
EP1311086A2 (de) * 2001-11-07 2003-05-14 Symbol Technologies, Inc. Verbesserte Energiesparfunktion für drahtloses lokales Netzwerk (WLAN)
CA2413944A1 (en) * 2001-12-12 2003-06-12 At&T Corp. A zero-configuration secure mobility networking technique with web-base authentication method for large wlan networks
EP1322091A1 (de) * 2001-12-19 2003-06-25 Canon Kabushiki Kaisha Kommunikationssystem, Servervorrichtung, Client-Einrichtung und Verfahren zur Steuerung derselben
WO2003061221A1 (en) * 2002-01-08 2003-07-24 Motorola, Inc. Packet data serving node initiated updates for a mobile communication system

Also Published As

Publication number Publication date
GB2407459B (en) 2007-04-11
WO2005025139A1 (en) 2005-03-17
GB2407459A (en) 2005-04-27
CN1602106A (zh) 2005-03-30
DE102004040466A1 (de) 2005-04-21
US7447177B2 (en) 2008-11-04
GB0418886D0 (en) 2004-09-29
CN100571460C (zh) 2009-12-16
US20050047361A1 (en) 2005-03-03
MY137110A (en) 2008-12-31

Similar Documents

Publication Publication Date Title
DE102004040466B4 (de) Verfahren und Vorrichtung zum sicheren Roamen
DE112006002200B4 (de) Gerät für die drahtlose Kommunikation und Verfahren zum Schützen rundgesendeter Verwaltungssteuernachrichten in drahtlosen Netzwerken
CA2602581C (en) Secure switching system for networks and method for secure switching
DE112005002651B4 (de) Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen
DE102013224330B4 (de) Verfahren und System zum Erkennen von Annäherung eines Endgeräts an ein Fahrzeug, das auf der Information über eine Signalstärke basiert, die über einen Bluetooth-Sendekanal von geringer Energie (BLE) empfangen wird
DE112009000416B4 (de) Zweiwege-Authentifizierung zwischen zwei Kommunikationsendpunkten unter Verwendung eines Einweg-Out-Of-Band(OOB)-Kanals
DE102016123276A1 (de) Bluetooth low energy (ble)-kommunikation zwischen einer mobilen vorrichtung und einem fahrzeug
DE112006001219T5 (de) Systeme und Verfahren zum Austauschen von Sicherheitsparametern zum Schützen von Verwaltungs-Datenübertragungsblöcken in drahtlosen Netzwerken
DE102015106778A1 (de) Ein Verfahren und Technisches Gerät für die Nahbereichsdatenübertragung
DE112008001844B4 (de) Verhandlung über Ressourcen für schnelle Übergänge
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
DE112020003892T5 (de) Adaptives öffentliches terrestrisches mobilfunknetz management für schwankende netzbedingungen
DE60037390T2 (de) Authentifikation in einem mobilen kommunikationssystem
DE112018003798T5 (de) Erzeugen und analysieren von netzprofildaten
DE112006001736T5 (de) Vorrichtung und Verfahren zur Mehrfach-Medien-Zugriffssteuerung
DE102021111633A1 (de) Verfahren und Vorrichtungen für eine Mehrfachverbindungsvorrichtungs- (MLD-) Adressenermittlung in einem Funknetzwerk
EP1406464B1 (de) Verfahren sowie Kommunikationsendgerät zum gesicherten Aufbau einer Kommunikationsverbindung
DE60224391T2 (de) Sicherer Zugang zu einem Teilnehmermodul
DE102017010546A1 (de) Kanal-frei-prüfung zum gleichzeitigen übertragen und empfangen
DE112013000764T5 (de) Band-Steering für Mehrband-Funkclients
EP1351536B1 (de) Anmeldesystem und -verfahren in einem drahtlosen lokalen Netzwerk
DE102022115558A1 (de) Verbesserte Übertragungszuverlässigkeitsübertragung für zeitsensible Funknetzwerke
DE102010011656B4 (de) Verfahren und Vorrichtung zum kryptographischen Sichern einer Datenübertragung zwischen Netzwerkknoten
DE102021120405A1 (de) Mechanismus für erweiterte leistungsmessfunktion (pmf) mit jittermessung und steering-modus-verfahren
DE102020135159A1 (de) Linkspezifische blockbestätigung für multilink-kommunikation

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
R020 Patent grant now final
R020 Patent grant now final

Effective date: 20110817

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee