Aufnahme durch Verweis/PrioritätsbeanspruchungInclusion by reference / priority stress
Diese Anmeldung beansprucht die Priorität der vorläufigen US-Anmeldung Seriennr. 61/937,194 mit dem Titel ”System and Method for Using Credentials of a First Station to Authenticate a Second Station” (System und Verfahren zum Verwenden von Berechtigungsnachweisen einer ersten Station, um eine zweite Station zu authentifizieren), eingereicht am 7. Februar 2014, und der vorläufigen US-Anmeldung Seriennr. 62/005,933 mit dem Titel ”System and Method for Using Credentials of a first Station to Authenticate a Second Station” (System und Verfahren zum Verwenden von Berechtigungsnachweisen einer ersten Station, um eine zweite Station zu authentifizieren), eingereicht am 30. Mai 2014, welche beide hierin durch Verweis in ihrer Gesamtheit aufgenommen sind.This application claims the benefit of US Provisional Application Ser. No. 61 / 937,194 entitled "System and Method for Using Credentials of a First Station to Authenticate a Second Station" (system and method for using credentials of a first station to authenticate a second station) filed on February 7, 2014, and US provisional application Ser. No. 62 / 005,933 entitled "System and Method for Using Credentials of a First Station to Authenticate a Second Station" (system and method for using credentials of a first station to authenticate a second station), filed on May 30, 2014, both of which are incorporated herein by reference in their entirety.
Hintergrundbackground
Ein Client kann konfiguriert sein, um sich mit einer Vielzahl verschiedener Netzwerke zu verbinden auf der Grundlage der Hardware- und Softwarekonfigurationen davon. Zum Beispiel kann sich die Client-Station mit einem zellulären Netzwerk verbinden, wenn die Client-Station einen Sendeempfänger beinhaltet, der eingerichtet ist, um auf Frequenzbändern des zellulären Netzwerks betrieben zu werden. In einem anderen Beispiel kann sich die Client-Station mit einem WiFi-Netzwerk verbinden, wenn die Client-Station denselben Sendeempfänger beinhaltet, der weiterhin eingerichtet ist, um in den Frequenzbändern des WiFi-Netzwerks betrieben zu werden, oder einen weiteren Sendeempfänger, der eingerichtet ist, um in den Frequenzbändern des WiFi-Netzwerks betrieben zu werden. Das WiFi-Netzwerk kann ein HotSpot sein, der oft von einem Mobilfunkanbieter bereitgestellt wird. Der Hotspot kann von der Client-Station ein Authentifikationsverfahren verlangen, um sich damit zu verbinden. Zum Beispiel kann ein Benutzer der Client-Station einen vorregistrierten Login und ein Passwort als Teil der Authentifikation übertragen. Ein Server des Hotspots kann ebenso die Client-Station unter der Verwendung von Berechtigungsnachweisen davon authentifizieren.A client may be configured to connect to a variety of different networks based on the hardware and software configurations thereof. For example, the client station may connect to a cellular network if the client station includes a transceiver configured to operate on frequency bands of the cellular network. In another example, the client station may connect to a WiFi network if the client station includes the same transceiver that is further configured to operate in the frequency bands of the WiFi network, or another transceiver set up is to operate in the frequency bands of the WiFi network. The WiFi network can be a hotspot that is often provided by a wireless service provider. The hotspot may require an authentication procedure from the client station to connect to. For example, a user of the client station may transmit a pre-registered login and password as part of the authentication. A server of the hotspot can also authenticate the client station using credentials thereof.
Insbesondere können Informationen, die einer Teilnehmer-Identifikationsmodul(Subscriber Identity Module, SIM)-Karte der Client-Station entsprechen, verwendet werden, da diese Informationen für diese eindeutig sind.In particular, information corresponding to a subscriber identity module (Subscriber Identity Module, SIM) card of the client station can be used, since this information is unique to it.
ZusammenfassungSummary
In einer beispielhaften Ausführungsform führt eine Station ein Verfahren aus. Das Verfahren beinhaltet das Übertragen einer Verknüpfungsanfrage an ein Netzwerk, Empfangen einer Identifikationsanfrage von dem Netzwerk, Übertragen der Identifikationsanfrage an eine weitere Client-Station, wobei die weitere Client-Station Berechtigungsnachweisinformationen beinhaltet, wobei die Client-Station und die weitere Client-Station miteinander verknüpft werden, so dass die Berechtigungsnachweisinformationen autorisiert sind, um von der Client-Station verwendet zu werden, Empfangen einer Identifikationsantwort von der weiteren Client-Station, wobei die Identifikationsantwort als eine Funktion der Berechtigungsnachweisinformationen der weiteren Client-Station erzeugt werden, Übertragen der Identifikationsantwort an das Netzwerk und Einrichten einer Verbindung zwischen der Client-Station und dem Netzwerk unter Verwendung der Berechtigungsnachweisinformationen der weiteren Client-Station.In an exemplary embodiment, a station performs a method. The method includes transmitting a link request to a network, receiving an identification request from the network, transmitting the identification request to another client station, wherein the further client station includes credential information, wherein the client station and the further client station link together in such a way that the credential information is authorized to be used by the client station, receiving an identification response from the further client station, the identification response being generated as a function of the credential information of the further client station, transmitting the identification response to the client station Network and establishing a connection between the client station and the network using the credential information of the further client station.
In einer anderen beispielhaften Ausführungsform beinhaltet eine Client-Station einen Sendeempfänger und einen Prozessor. Der Sendeempfänger und der Prozessor sind eingerichtet, um eine Verbindung mit einem Netzwerk einzurichten durch Übertragen einer Verknüpfungsanfrage an ein Netzwerk, Empfangen einer Identifikationsanfrage von dem Netzwerk, Übertragen der Identifikationsanfrage an eine weitere Client-Station, wobei die weitere Client-Station Berechtigungsnachweisinformationen beinhaltet, wobei die Client-Station und die weitere Client-Station miteinander verknüpft werden, so dass die Berechtigungsnachweisinformationen autorisiert sind von der Client-Station verwendet zu werden, Empfangen einer Identifikationsantwort von der weiteren Client-Station, wobei die Identifikationsantwort als eine Funktion der Berechtigungsnachweisinformationen der weiteren Client-Station erzeugt wird, Übertragen der Identifikationsantwort an das Netzwerk und Einrichten einer Verbindung zwischen der Client-Station und dem Netzwerk unter Verwendung der Berechtigungsnachweisinformationen der weiteren Client-Station.In another exemplary embodiment, a client station includes a transceiver and a processor. The transceiver and the processor are configured to establish a connection to a network by transmitting a link request to a network, receiving an identification request from the network, transmitting the identification request to another client station, the further client station including credential information, wherein the client station and the further client station are linked together so that the credential information is authorized to be used by the client station, receiving an identification response from the further client station, the identification response as a function of the credential information of the further client Station, transmitting the identification reply to the network and establishing a connection between the client station and the network using the credential information of the further client station.
In einer weiteren beispielhaften Ausführungsform führt eine Client-Station ein weiteres Verfahren aus. Das Verfahren beinhaltet das Empfangen einer Identifikationsanfrage von einer weiteren Client-Station, um sich mit einem Netzwerk zu verbinden, wobei die Identifikationsanfrage durch das Netzwerk erzeugt wird, wobei die Client-Station und die weitere Client-Station miteinander verknüpft werden, so dass die Berechtigungsnachweisinformationen, die für die Client-Station eindeutig sind, von der weiteren Client-Station autorisiert werden, um von der weiteren Client-Station verwendet zu werden, um sich mit dem Netzwerk zu verbinden, Erzeugen einer Identifikationsantwort auf die Identifikationsanfrage, wobei die Identifikationsantwort eine Funktion der Berechtigungsnachweisinformationen ist, und Übertragen der Identifikationsantwort an die weitere Client-Station, wobei die Identifikationsantwort von der weiteren Client-Station an das Netzwerk weitergeleitet wird.In another exemplary embodiment, a client station performs another method. The method includes receiving an identification request from another client station to connect to a network, wherein the identification request is generated by the network, wherein the client station and the further client station are linked together such that the credential information which are unique to the client station, authorized by the further client station to be used by the further client station to connect to the network, generating an identification response to the identification request, the identification response being a function the credential information, and transmitting the identification response to the further client station, wherein the identification reply is forwarded by the further client station to the network.
In einer anderen beispielhaften Ausführungsform wird ein Verfahren von einer ersten Client-Station, einer zweiten Client-Station und einem Netzwerk, mit dem sich die Client-Stationen verbinden können, ausgeführt. Das Verfahren beinhaltet ein Verknüpfen einer ersten Client-Station mit einer zweiten Client-Station, wobei die erste Client-Station Berechtigungsnachweisinformationen beinhaltet, die für die erste Client-Station spezifisch sind, wobei das Verknüpfen das Autorisieren der zweiten Client-Station beinhaltet, um die Berechtigungsnachweisinformationen zu verwenden, Übertragen, von der zweiten Client-Station, einer Verknüpfungsanfrage an ein Netzwerk, wobei das Netzwerk die Berechtigungsnachweisinformationen verwendet, um eine Verbindung damit zu autorisieren, wobei die zweite Client-Station eingerichtet ist, um eine Proxy-Funktionalität für Anfragen, die von dem Netzwerk empfangen werden, um an die erste Client-Station weitergeleitet zu werden und für Antworten, die von der ersten Client-Station empfangen werden, um an das Netzwerk weitergeleitet zu werden, ausführt, Bestimmen, durch das Netzwerk, ob die Berechtigungsnachweisinformationen, die von der zweiten Client-Station empfangen worden sind, authentifiziert sind und Einrichten einer Verbindung zwischen der zweiten Client-Station und dem Netzwerk unter Verwendung der Berechtigungsnachweisinformationen der ersten Client-Station.In another exemplary embodiment, a method is executed by a first client station, a second client station, and a network to which the client stations can connect. The method includes associating a first client station with a second client station, the first client station including credential information specific to the first client station, the linking including authorizing the second client station to perform the first client station Using credential information, transmitting, from the second client station, a link request to a network, the network using the credential information to authorize a connection thereto, the second client station being adapted to provide proxy functionality for requests, which are received by the network to be forwarded to the first client station and for responses received from the first client station to be forwarded to the network, determining, by the network, whether the credential information that received from the second client station have been established, authenticated, and establishing a connection between the second client station and the network using the credential information of the first client station.
Kurze Beschreibung der ZeichnungenBrief description of the drawings
1 zeigt eine beispielhafte Netzwerkanordnung. 1 shows an exemplary network arrangement.
2 zeigt eine beispielhafte Netzwerkanordnung, um Berechtigungsnachweise einer ersten Client-Station zu verwenden, um eine zweite Client-Station zum Verbinden mit einem Netzwerk zu authentifizieren. 2 Fig. 10 shows an exemplary network arrangement for using credentials of a first client station to authenticate a second client station for connection to a network.
3 zeigt eine beispielhafte Client-Station, die eingerichtet ist, um sich mit einem Netzwerk unter Verwendung von Berechtigungsnachweisen einer weiteren Client-Station zu verbinden. 3 FIG. 10 shows an example client station configured to connect to a network using credentials of another client station. FIG.
4 zeigt ein erstes beispielhaftes Signalisierungsdiagramm, um Berechtigungsnachweise einer ersten Client-Station zu verwenden, um eine zweite Client-Station für ein Verbinden mit einem Netzwerk zu authentifizieren. 4 Figure 12 shows a first exemplary signaling diagram for using credentials of a first client station to authenticate a second client station for connection to a network.
5 zeigt ein zweites beispielhaftes Signalisierungsdiagramm, um Berechtigungsnachweise einer ersten Client-Station zu verwenden, um eine zweite Client-Station für ein Verbinden mit einem Netzwerk zu authentifizieren. 5 Figure 12 shows a second exemplary signaling diagram for using credentials of a first client station to authenticate a second client station for connection to a network.
Detaillierte BeschreibungDetailed description
Die beispielhaften Ausführungsformen können weiterhin verstanden werden mit Bezug zu der folgenden Beschreibung und den zugehörigen, angehängten Zeichnungen, wobei ähnliche Elemente mit denselben Bezugszeichen bereitgestellt werden. Die beispielhaften Ausführungsformen beziehen sich auf ein System und ein Verfahren zum Verwenden von Berechtigungsnachweisen einer ersten Client-Station, um eine Verbindung mit einem Netzwerk durch eine zweite Client-Station einzurichten. Insbesondere kann die erste Client-Station eine SIM-Karte aufweisen, die eindeutige Berechtigungsnachweisinformationen beinhaltet, die es der ersten Client-Station ermöglichen, sich mit dem Netzwerk zu verbinden. Die beispielhaften Ausführungsformen stellen einen Mechanismus für die zweite Client-Station bereit, um als eine Proxy-Vorrichtung zu agieren, um Anfragen und Antworten zwischen der ersten Client-Station und dem Netzwerk weiterzuleiten, aber um schließlich die Verbindung zwischen dem Netzwerk und der zweiten Client-Station einzurichten.The exemplary embodiments may be further understood by reference to the following description and the accompanying appended drawings, wherein like elements are provided with the same reference numerals. The exemplary embodiments relate to a system and method for using credentials of a first client station to establish a connection to a network through a second client station. In particular, the first client station may include a SIM card that includes unique credential information that allows the first client station to connect to the network. The exemplary embodiments provide a mechanism for the second client station to act as a proxy device to forward requests and responses between the first client station and the network, but ultimately the connection between the network and the second client Station.
1 zeigt eine beispielhafte Netzwerkanordnung 100. Die beispielhafte Netzwerkanordnung 100 beinhaltet Client-Stationen 110 bis 114. In diesem Beispiel wird angenommen, dass die Client-Stationen 100 bis 114 mit einem einzelnen Benutzer verknüpft sind. Zum Beispiel kann die Client-Station 110 das Mobiltelefon des Benutzers sein, die Client-Station 112 kann der Tablet Computer des Benutzers sein und die Client-Station 114 kann der Desktop Computer des Benutzers sein. Der Fachmann wird verstehen, dass, zusätzlich zu den oben bereitgestellten Beispielen, die Client-Stationen jede Art von elektronischer Komponente sein können, die eingerichtet sind, um über ein Netzwerk zu kommunizieren, z. B. Smartphones, Tablets, eingebettete Vorrichtungen usw. Es sollte ebenso verstanden werden, dass eine tatsächliche Netzwerkanordnung jegliche Anzahl von Client-Stationen beinhalten kann, die mit einer Anzahl von Benutzern verknüpft sind, und dass der Benutzer mit mehr oder weniger Client-Stationen verknüpft sein kann. Das Beispiel von drei (3) Client-Stationen, die mit einem (1) Benutzer verknüpft sind, wird nur für veranschaulichende Zwecke bereitgestellt. 1 shows an exemplary network arrangement 100 , The exemplary network arrangement 100 includes client stations 110 to 114 , In this example, it is assumed that the client stations 100 to 114 associated with a single user. For example, the client station 110 be the user's mobile phone, the client station 112 may be the user's tablet computer and the client station 114 can be the user's desktop computer. One skilled in the art will understand that, in addition to the examples provided above, the client stations may be any type of electronic component configured to communicate over a network, e.g. Smartphones, tablets, embedded devices, etc. It should also be understood that an actual network arrangement may include any number of client stations associated with a number of users and that the user associates with more or fewer client stations can be. The example of three (3) client stations associated with one (1) user is provided for illustrative purposes only.
Jede der Client-Stationen 110 bis 114 kann eingerichtet sein, um direkt mit einem oder mehreren Netzwerken zu kommunizieren. In diesem Beispiel sind die Netzwerke, mit denen die Client-Stationen 110 bis 114 kommunizieren können, ein altes Hochfrequenz-Zugriffsnetzwerk (Radio Access Network, RAN) 120, ein langfristiges Evolutionshochfrequenz-Zugriffsnetzwerk(Long Term Evolution Radio Access, LTE-RAN)-Netzwerk 122 und ein drahtloses lokales Netzwerk (Wireless Local Area Network, WLAN) 124. In diesem Beispiel ist jedes der Netzwerke 120 bis 124 ein drahtloses Netzwerk, mit dem die Client-Stationen 110 bis 114 drahtlos kommunizieren können. Jedoch sollte verstanden werden, dass die Client-Stationen 110 bis 114 ebenso mit anderen Arten von Netzwerken unter Verwendung einer drahtgebundenen Verbindung kommunizieren können. Es sollte auch verstanden werden, dass nicht alle der Client-Stationen 110 bis 114 direkt mit jedem der Netzwerke 120 bis 124 kommunizieren können. Zum Beispiel kann die Client-Station 114 keinen LTE-Chipsatz aufweisen und kann demzufolge die Fähigkeit mit dem LTE-RAN 122 zu kommunizieren nicht aufweisen. Wieder ist die Verwendung von drei (3) Netzwerken nur beispielhaft und es kann jede andere Anzahl von Netzwerken geben, mit denen die Client-Stationen 110 bis 114 kommunizieren können.Each of the client stations 110 to 114 can be set up to communicate directly with one or more networks. In this example, the networks that use the client stations 110 to 114 an old radio frequency access network (RAN) can communicate 120 , a long-term evolution radio frequency access network (LTE-RAN) network 122 and a wireless local area network (WLAN) 124 , In this example, each of the networks 120 to 124 a wireless network with which the Client stations 110 to 114 can communicate wirelessly. However, it should be understood that the client stations 110 to 114 can also communicate with other types of networks using a wired connection. It should also be understood that not all of the client stations 110 to 114 directly with each of the networks 120 to 124 to be able to communicate. For example, the client station 114 do not have an LTE chipset, and thus can use the LTE-RAN capability 122 do not have to communicate. Again, the use of three (3) networks is exemplary only and there may be any other number of networks that the client stations use 110 to 114 to be able to communicate.
Das alte RAN 120 und das LTE-RAN 122 sind Teile eines zellulären Netzwerks, das von Mobilfunkanbietern eingesetzt werden kann (z. B. Verizon, AT&T, Sprint, T-Mobile, usw.). Diese Netzwerke 120 und 122 können z. B. Basisstationen beinhalten (Node Bs, eNodeBs, HeNBs, usw.), die eingerichtet sind, Datenverkehr an die Client-Stationen zu senden und von ihnen zu empfangen, die mit dem entsprechenden zellulären Chipsatz ausgerüstet sind. Beispiele für das alte RAN können diese Netzwerke beinhalten, die im Allgemeinen als 2G- und/oder 3G-Netzwerke bezeichnet werden und können leitungsvermittelte Sprachanrufe und paketvermittelte Datenoperationen beinhalten. Der Fachmann wird verstehen, dass die Mobilfunkanbieter ebenso andere Arten von Netzwerken einsetzen können, einschließlich weiterer Weiterentwicklungen der zellulären Standards, innerhalb ihrer zellulären Netzwerke. Das WLAN 124 kann jede Art von drahtlosen lokalen Netzwerken beinhalten (WiFi, Hot Spot, IEEE 802.11x Netzwerke usw.). Der Fachmann wird verstehen, dass es Tausende, Hunderttausende oder mehr unterschiedliche WLANs geben kann, die allein nur in den USA eingesetzt werden. Zum Beispiel kann das WLAN 124 das Heimnetzwerk des Benutzers sein, das Arbeitsnetzwerk des Benutzers sein, ein öffentliches Netzwerk sein (z. B. in einem Stadtpark, Cafe usw.). Im Allgemeinen wird das WLAN 124 einen oder mehrere Zugangspunkte beinhalten, die es den Client-Stationen 110–114 erlauben, mit dem WLAN 124 zu kommunizieren.The old RAN 120 and the LTE RAN 122 are part of a cellular network that can be used by mobile operators (eg Verizon, AT & T, Sprint, T-Mobile, etc.). These networks 120 and 122 can z. B. Base stations (Node Bs, eNodeBs, HeNBs, etc.) that are arranged to send and receive data traffic to and from the client stations equipped with the appropriate cellular chipset. Examples of the legacy RAN may include these networks, commonly referred to as 2G and / or 3G networks, which may include circuit-switched voice calls and packet-switched data operations. It will be understood by those skilled in the art that mobile service providers may also use other types of networks, including further advances in cellular standards, within their cellular networks. The WLAN 124 can include any type of wireless local area network (WiFi, Hot Spot, IEEE 802.11x networks, etc.). One skilled in the art will understand that there may be thousands, hundreds of thousands or more different WLANs used solely in the US alone. For example, the WLAN can 124 be the user's home network, be the user's work network, be a public network (eg, in a city park, cafe, etc.). In general, the wifi 124 include one or more access points to the client stations 110 - 114 allow with the wifi 124 to communicate.
Zusätzlich zu den Netzwerken 120 bis 124 beinhaltet die Netzwerkanordnung ebenso ein zelluläres Kernnetzwerk 130 und das Internet 140. Das zelluläre Kernnetzwerk 130, das alte RAN 120 und das LTE-RAN 122 können als ein zelluläres Netzwerk betrachtet werden, das mit einem bestimmten Mobilfunkanbieter verbunden ist (z. B. Verizon, AT&T, Sprint, T-Mobile usw.). Das zelluläre Kernnetzwerk 130 kann als der untereinander verbundene Satz von Komponenten betrachtet werden, der die Handlungen und den Datenverkehr des zellulären Netzwerkes verwaltet. Die untereinander verbundenen Komponenten des Kernnetzwerks 130 können jede Anzahl von Komponenten beinhalten, wie z. B. Server, Switches, Router usw. Das zelluläre Kernnetzwerk 130 verwaltet ebenso den Datenverkehr, der zwischen dem zellulären Netzwerk und dem Internet 140 verläuft.In addition to the networks 120 to 124 The network arrangement also includes a cellular core network 130 and the internet 140 , The cellular core network 130 , the old RAN 120 and the LTE RAN 122 can be considered as a cellular network connected to a particular mobile service provider (eg, Verizon, AT & T, Sprint, T-Mobile, etc.). The cellular core network 130 can be viewed as the interconnected set of components that manages the actions and traffic of the cellular network. The interconnected components of the core network 130 can include any number of components, such as Servers, switches, routers, etc. The core cellular network 130 also manages the traffic that flows between the cellular network and the Internet 140 runs.
Die Netzwerkanordnung 100 beinhaltet ebenso ein IP-Multimedia-Untersystem (IP Multimedia Subsystem, IMS) 150. Das IMS 150 kann im Allgemeinen als eine Architektur zum Liefern von Multimediadiensten an die Client-Stationen 110 bis 114 unter Verwendung des IP-Protokolls beschrieben werden. Das IMS 150 kann eine Vielzahl von Komponenten beinhalten, um diese Aufgabe zu erfüllen. Zum Beispiel beinhaltet ein typisches IMS 150 einen Heim-Teilnehmer-(Home Subscriber, HS)-Server, der Teilnahmeinformationen eines Benutzers der Client-Stationen 110 bis 114 speichert. Diese Teilnahmeinformationen werden verwendet, um dem Benutzer die richtigen Multimedia-Dienste bereitzustellen. Andere beispielhafte Komponenten des IMS 150 werden nachfolgend beschrieben werden, soweit benötigt. Das IMS 150 kann mit dem zellulären Kernnetzwerk 130 und dem Internet 140 kommunizieren, um den Client-Stationen 110 bis 114 Multimediadienste bereitzustellen. Das IMS 150 wird in unmittelbarer Nähe zu dem zellulären Kernnetzwerk 130 gezeigt, weil der Mobilfunkanbieter typischerweise die Funktionalität des IMS 150 implementiert. Jedoch muss dies nicht der Fall sein. Das IMS 150 kann von einer anderen Partei bereitgestellt werden.The network arrangement 100 also includes an IP Multimedia Subsystem (IMS) 150 , The IMS 150 can generally be considered an architecture for delivering multimedia services to the client stations 110 to 114 using the IP protocol. The IMS 150 can include a variety of components to accomplish this task. For example, a typical IMS includes 150 a home subscriber (HS) server, the subscription information of a user of the client stations 110 to 114 stores. This participation information is used to provide the user with the right multimedia services. Other exemplary components of the IMS 150 will be described below, as needed. The IMS 150 can with the cellular core network 130 and the internet 140 communicate to the client stations 110 to 114 To provide multimedia services. The IMS 150 will be in close proximity to the cellular core network 130 shown because the mobile operator typically the functionality of the IMS 150 implemented. However, this does not have to be the case. The IMS 150 can be provided by another party.
Daher ermöglicht die Netzwerkanordnung 100 den Client-Stationen 110 bis 114 Funktionen auszuführen, die im Allgemeinen mit Computern und zellulären Netzwerken verbunden sind. Zum Beispiel können die Client-Stationen 110 bis 114 Anrufe an andere Parteien ausführen, im Internet 140 nach Informationen surfen, Multimediadaten an die Client-Vorrichtungen 110 bis 114 streamen usw.Therefore, the network arrangement allows 100 the client stations 110 to 114 Perform functions that are generally associated with computers and cellular networks. For example, the client stations 110 to 114 Make calls to other parties on the Internet 140 surfing for information, multimedia data to the client devices 110 to 114 stream etc.
Jedoch, wie zuvor beschrieben, muss nicht jede Client-Station 110 bis 114 dieselben Kommunikationsfähigkeiten mit den Netzwerken 120, 122, 124, 130, 140 aufweisen. Dieser Mangel an Kommunikation mit einem oder mehreren Netzwerken kann an den Fähigkeiten der Client-Vorrichtung 110 bis 114 liegen, z. B. beinhaltet die Client-Vorrichtung keinen zellulären Chip, oder kann an einer Beschränkung des Netzwerks liegen, z. B. weist ein zelluläres Netzwerk keine Basisstation innerhalb der Reichweite der Client-Station auf. Dieser Mangel an Kommunikation mit einem oder mehreren Netzwerken kann dazu führen, dass die Client-Station nicht in der Lage ist, von den Funktionalitäten Gebrauch zu machen, die über eines oder mehrere der Netzwerke verfügbar sind.However, as previously described, not every client station needs 110 to 114 the same communication skills with the networks 120 . 122 . 124 . 130 . 140 exhibit. This lack of communication with one or more networks may depend on the capabilities of the client device 110 to 114 lie, z. For example, the client device does not include a cellular chip, or may be constrained by the network, e.g. For example, a cellular network does not have a base station within the range of the client station. This lack of communication with one or more networks may result in the client station being unable to make use of the functionalities available over one or more of the networks.
Zusätzlich zu den bereits beschriebenen Elementen beinhaltet die Netzwerkanordnung 100 ebenso ein Netzwerkdienste-Backbone 160, welches entweder direkt oder indirekt in Kommunikation mit dem Internet 140 und dem zellulären Kernnetzwerk 130 befindet. Das Netzwerkdienste-Backbone 160 kann im Allgemeinen als ein Satz von Komponenten (z. B. Server, Netzwerkspeicheranordnungen usw.) beschrieben werden, die eine Folge von Diensten implementieren, die verwendet werden können, um die Funktionalitäten der Client-Stationen 110 bis 114 in Kommunikation mit den verschiedenen Netzwerken zu erweitern. Diese Erweiterungen können die Funktionalitäten beinhalten, auf die die Client-Vorrichtung 110 bis 114 keinen Zugriff hat aufgrund der Beschränkungen der Vorrichtung und/oder des Netzwerks, von denen einige Beispiele zuvor beschrieben worden sind. Das Netzwerkdienste-Backbone 160 interagiert mit den Client-Vorrichtungen 110 bis 114 und/oder den Netzwerken 120, 122, 124, 130, 140, um diese erweiterten Funktionalitäten bereitzustellen.In addition to the elements already described, the network arrangement includes 100 as well as a network services backbone 160 which is either directly or indirectly in communication with the Internet 140 and the cellular core network 130 located. The network services backbone 160 may generally be described as a set of components (eg, servers, network storage devices, etc.) that implement a sequence of services that may be used to service the client stations 110 to 114 to expand in communication with the various networks. These extensions may include the functionalities to which the client device 110 to 114 has no access due to the limitations of the device and / or the network, some examples of which have previously been described. The network services backbone 160 interacts with the client devices 110 to 114 and / or the networks 120 . 122 . 124 . 130 . 140 to provide these advanced features.
Das Netzwerkdienste-Backbone 160 kann von jeder Einheit oder einem Satz von Einheiten bereitgestellt werden. In einem Beispiel wird das Netzwerkdienste-Backbone 160 von dem Lieferanten der einen oder der mehreren der Client-Stationen 110 bis 114 bereitgestellt. In einem anderen Beispiel wird das Netzwerkdienste-Backbone 160 von dem Mobilfunkanbieter bereitgestellt. In noch einem weiteren Beispiel wird das Netzwerkdienste-Backbone 160 von einem Drittanbieter bereitgestellt, der nicht in Beziehung zu den Mobilfunkanbietern oder dem Lieferanten der Client-Stationen 110 bis 114 steht.The network services backbone 160 can be provided by any unit or set of units. In one example, the network services backbone 160 from the supplier of one or more of the client stations 110 to 114 provided. In another example, the network services backbone 160 provided by the mobile service provider. In yet another example, the network services backbone becomes 160 provided by a third party provider that is not related to the mobile service providers or the supplier of the client stations 110 to 114 stands.
Die hierin beschriebenen beispielhaften Ausführungsformen stellen ein Beispiel von unterschiedlichen Typen von Funktionalitäten bereit, die zu einer Client-Station 110 bis 114 erweitert werden können, und stellen ebenso ein Beispiel von Komponenten und Diensten bereit, die in dem Netzwerkdienste-Backbone 160 beinhaltet sein können. In diesem Beispiel wird das Netzwerkdienste-Backbone 160 verwendet, um Berechtigungsnachweise von einer ersten der Client-Stationen 110 bis 114 einer zweiten der Client-Stationen 110 bis 114 bereitzustellen, um auf ein Netzwerk zuzugreifen. Jedoch sollte verstanden werden, dass das Netzwerkdienste-Backbone 160 viele andere Komponenten und Dienste beinhalten kann, die verwendet werden können, um die Handlungen der Client-Stationen 110 bis 114 und der Netzwerke zu erweitern.The exemplary embodiments described herein provide an example of different types of functionality that may be provided to a client station 110 to 114 and provide an example of components and services included in the network services backbone 160 can be included. This example becomes the network services backbone 160 used to get credentials from a first of the client stations 110 to 114 a second of the client stations 110 to 114 to access a network. However, it should be understood that the network services backbone 160 Many other components and services that can be used to handle the actions of client stations 110 to 114 and expand the networks.
Einer der Dienste, die von dem Netzwerkdienste-Backbone 160 bereitgestellt werden kann, kann sein, Verknüpfungen zwischen den unterschiedlichen Client-Stationen 110 bis 114 zu speichern und zu aktualisieren. Wie zuvor beschrieben ist in diesem Beispiel jede der Client-Stationen 110 bis 114 mit demselben Benutzer verknüpft. Demzufolge kann das Netzwerkdienste-Backbone 160 Informationen speichern, die diese Verknüpfung des Benutzers mit jeder der Client-Stationen 110 bis 114 angeben und kann dann ebenso die Beziehung der Client-Stationen miteinander auf der Grundlage ihrer Verknüpfung mit dem Benutzer speichern (oder verlinken). Diese Verknüpfung zwischen Client-Stationen 110 bis 114 kann als eine der Grundlagen für das Netzwerkdienste-Backbone 160 verwendet werden, um erweiterte Handlungen der Client-Stationen 110 bis 114 bereitzustellen.One of the services provided by the network services backbone 160 can be provided, links between the different client stations 110 to 114 to save and update. As previously described, in this example, each of the client stations 110 to 114 linked to the same user. As a result, the network services backbone 160 Store information that links this user to each of the client stations 110 to 114 and may then also store (or link) the relationship of the client stations with each other based on their association with the user. This link between client stations 110 to 114 can be considered one of the foundations for the network services backbone 160 used to advanced actions of client stations 110 to 114 provide.
Eine Client-Station (z. B. die Client-Stationen 110 bis 114) kann einen Sendeempfänger beinhalten, der eingerichtet ist, um sich mit einem WiFi-Netzwerk zu verbinden (z. B. wie durch IEEE 802.11a/b/g/n/ac definiert). Das bedeutet, dass der Sendeempfänger in einem Frequenzbereich des WiFi-Netzwerks arbeiten kann. Wie zuvor beschrieben kann ein WiFi-Netzwerk eine Art des WLAN 124 sein. Demzufolge sollte der Begriff WiFi in der gesamten Beschreibung als jede Art von WLAN beinhaltend verstanden werden. Jedoch kann die Client-Station ein Authentifikationsverfahren ausführen müssen, um eine Verbindung mit dem WiFi-Netzwerk einzurichten. Daher kann die Client-Station Berechtigungsnachweisinformationen, benutzerspezifische Authentifikationsinformationen (z. B. einen Login-Namen und/oder ein Passwort), eine Kombination davon usw. an den Server des WiFi-Netzwerks übertragen, um eine Verknüpfunngsanfrage zu überprüfen.A client station (for example, the client stations 110 to 114 ) may include a transceiver configured to connect to a WiFi network (eg, as by IEEE 802.11a / b / g / n / ac Are defined). This means that the transceiver can operate in a frequency range of the WiFi network. As described above, a WiFi network can be a type of WLAN 124 be. Accordingly, the term WiFi should be understood throughout the specification as including any type of WLAN. However, the client station may need to perform an authentication procedure to establish a connection to the WiFi network. Therefore, the client station can transmit credential information, user-specific authentication information (eg, a login name and / or password), a combination thereof, etc., to the server of the WiFi network to check a link request.
In einem ersten Beispiel, wenn das WiFi-Netzwerk ein privates lokales Netzwerk (Local Area Network, LAN) ist, kann das Authentifikationsverfahren ein Auswählen des WiFi-Netzwerks beinhalten (insbesondere, wenn es versteckt ist) und optional ein Bereitstellen eines Passworts. Wenn die Berechtigungsnachweisinformationen an einen Server des privaten LAN übertragen und von ihm überprüft worden sind, kann ein Verknüpfungsverfahren von der Client-Station ausgeführt werden, um die Verbindung mit dem privaten LAN einzurichten.In a first example, if the WiFi network is a private local area network (LAN), the authentication method may include selecting the WiFi network (particularly if it is hidden) and optionally providing a password. When the credential information has been transmitted to and verified by a private LAN server, a link procedure may be performed by the client station to establish the connection to the private LAN.
In einem zweiten Beispiel und gemäß den beispielhaften Ausführungsformen, wenn das WiFi-Netzwerk ein HotSpot ist, kann das Authentifikationsverfahren ebenso ein Bereitstellen eines Login und/oder eines Passworts beinhalten, kann aber weiterhin ein Bereitstellen von Berechtigungsnachweisen beinhalten, die für die Client-Stationen eindeutig sind. Insbesondere können Informationen, die der SIM-Karte der Client-Station entsprechen, verwendet werden. Der HotSpot kann durch einen Mobilfunkanbieter bereitgestellt werden. Das bedeutet, dass der Mobilfunkanbieter verschiedene Hot-Spot-Orte für Benutzer bereitgestellt haben kann, die sich mit dem Mobilfunkanbieter registriert haben, um Zugriff auf diese WiFi-Netzwerke zu haben. Dementsprechend kann sich die Client-Station mit dem zellulären Netzwerk und den WiFi-Netzwerken verbinden, die von dem Mobilfunkanbieter bereitgestellt werden. Eine Art des Überprüfens, dass der Benutzer, der mit dem Mobilfunkanbieter registriert ist, ebenso versucht, sich mit dem HotSpot zu verbinden, der von dem Mobilfunkanbieter bereitgestellt wird, ist, die Informationen der SIM-Karte zu verwenden. Es ist jedoch ebenso möglich, ein anderes Verfahren des eindeutigen Identifizieren der Client-Stationen zu verwenden, z. B. ist es nicht nötig, dass die eindeutige Identifikation die Information einer SIM-Karte ist.In a second example, and in accordance with the exemplary embodiments, when the WiFi network is a hotspot, the authentication method may also include providing a login and / or password, but may further include providing credentials unique to the client stations are. In particular, information corresponding to the SIM card of the client station may be used. The HotSpot can be provided by a mobile service provider. This means that the mobile service provider may have provisioned various hot spot locations for users who have registered with the mobile service provider to access these WiFi networks. Accordingly, the client station may connect to the cellular network and the WiFi networks provided by the mobile service provider. One way of verifying that the user registered with the mobile operator is also trying to connect to the HotSpot provided by the mobile operator is to use the SIM card information. However, it is also possible to use another method of uniquely identifying the client stations, e.g. B. it is not necessary that the unique identification is the information of a SIM card.
Hinsichtlich der Art, mit der eine Client-Station authentifiziert wird, um dem HotSpot beizutreten, ist ein Problem, das auftritt, wenn der Benutzer, der ordnungsgemäß zur Verwendung einer ersten Client-Station registriert ist, versucht, dem HotSpot mit einer zweiten Client-Station beizutreten, insbesondere wenn die zweite Client-Station keine SIM-Karte oder andere eindeutige Identifikationskomponente aufweist, die von dem Mobilfunkanbieter verwendet werden könnte, um die Authentifikation zu überprüfen.In terms of the way a client station is authenticated to join the HotSpot, a problem that arises when the user properly registered to use a first client station attempts to connect the HotSpot to a second client station. Station, in particular if the second client station does not have a SIM card or other unique identification component that could be used by the mobile operator to verify the authentication.
Zum Beispiel kann ein Benutzer eine erste Client-Station besitzen, die eine Mobilfunkfähigkeit aufweist, und die mit einem Mobilfunkanbieter über eine SIM-Karte registriert ist, die der ersten Client-Station entspricht. Der Mobilfunkanbieter kann ebenso WiFi-Netzwerke bereitstellen, wie z. B. den HotSpot für den Benutzer. Der Benutzer kann weiterhin eine zweite Client-Station besitzen, die keine Mobilfunkfähigkeit, aber eine WiFi-Fähigkeit aufweist. Dementsprechend kann die zweite Client-Station nicht mit irgendeinem Mobilfunkanbieter registriert sein, insbesondere dem Mobilfunkanbieter der ersten mobilen Client-Station. Da jedoch die zweite Client-Station die WiFi-Fähigkeit aufweist, kann die zweite Client-Station sich möglicherweise mit dem Hot-Spot verbinden, der WiFi-Technologie verwendet.For example, a user may have a first client station having a mobile capability registered with a mobile operator via a SIM card corresponding to the first client station. The mobile service provider may also provide WiFi networks, such as: For example, the HotSpot for the user. The user may also have a second client station that has no mobile capability but WiFi capability. Accordingly, the second client station may not be registered with any mobile service provider, in particular the mobile service provider of the first mobile client station. However, since the second client station has the WiFi capability, the second client station may possibly connect to the hot spot using WiFi technology.
Wenn solch ein Szenario existiert, kann der Benutzer wünschen, die zweite Client-Station zu verwenden durch Verbinden mit dem HotSpot. Da jedoch die Berechtigungsnachweisinformationen, die der SIM-Karte entsprechen, nicht verfügbar sind, kann die zweite Client-Station nicht in der Lage sein, sich mit dem HotSpot zu verbinden, obwohl die erste Client-Station die geeigneten Berechtigungsnachweisinformationen aufweist und obwohl beide Client-Stationen demselben Benutzer gehören. Demzufolge ist es dem Benutzer, der sowohl die erste als auch die zweite Client-Station besitzt, nur erlaubt, sich unter Verwendung der ersten Client-Station mit dem HotSpot zu verbinden.If such a scenario exists, the user may wish to use the second client station by connecting to the HotSpot. However, because the credential information corresponding to the SIM card is not available, the second client station may not be able to connect to the HotSpot even though the first client station has the appropriate credential information, and although both client computers Stations belong to the same user. As a result, the user having both the first and second client stations is only allowed to connect to the HotSpot using the first client station.
Die beispielhaften Ausführungsformen stellen einen Mechanismus bereit, um zwei oder mehrere Client-Stationen eines gemeinsamen Benutzers zu paaren, um sich automatisch mit einem WiFi-Netzwerk zu verbinden, das von einem Mobilfunkanbieter bereitgestellt wird, in dem die SIM-Karten-Berechtigungsnachweise verwenden werden als eine Grundlage der Authentifikation für die Verknüpfungsanfrage. Insbesondere kann die erste Client-Station, die die SIM-Karte aufweist, ihre SIM-Berechtigungsnachweise auf eine sichere Weise der zweiten Client-Station bereitstellen, die keine SIM-Karte aufweist (oder irgendeine andere Komponente, die Berechtigungsnachweisinformationen der SIM-Karte der ersten Client-Station beinhaltet). Die zweite Client-Station kann die gepaarte erste Client-Station abfragen, um die SIM-Karten-Berechtigungsnachweisinformationen abzurufen und kann ebenso weiterhin die erste Client-Station abfragen (z. B. herausfordern), um ein Authentifikationsverfahren zu vervollständigen, um sich mit dem WiFi-Netzwerk zu verbinden.The exemplary embodiments provide a mechanism to pair two or more common user client stations to automatically connect to a WiFi network provided by a mobile operator in which the SIM card credentials will be used a basis of authentication for the link request. In particular, the first client station having the SIM card may provide its SIM credentials in a secure manner to the second client station that does not have a SIM card (or any other component, the credential information of the SIM card of the first Client station includes). The second client station may poll the paired first client station to retrieve the SIM card credential information, and may also query (eg, challenge) the first client station to complete an authentication procedure to communicate with the first client station WiFi network connect.
Wie nachfolgend in größerem Detail beschrieben werden wird, kann das Paaren der ersten und der zweiten Client-Station eine Proxy-Funktionalität für die zweite Client-Station beinhalten. Der Fachmann wird verstehen, dass in einer Netzwerkumgebung ein Proxy eine vermittelnde Komponente sein kann, die eingerichtet ist, um Daten zwischen weiteren Komponenten zu empfangen und weiterzuleiten. Zum Beispiel können Daten von einer Client-Station an einen Netzwerkserver übertragen werden unter Verwendung eines Proxy-Servers, so dass die Daten zuerst an den Proxy-Server übertragen werden und an den Netzwerkserver weitergeleitet werden. Die zweite Client-Station kann ebenso diese Proxy-Funktionalität beinhalten sowie die Daten, die dadurch ausgetauscht werden, verwenden, um eine Verbindung mit dem WiFi-Netzwerk für sich selbst einzurichten. Insbesondere können Berechtigungsnachweisinformationen von der ersten Client-Station an den Netzwerkserver zusammen mit anderen Daten weitergegeben werden, die zwischen der ersten Client-Station und dem Netzwerkserver für eine Verknüpfungsanfrage verwendet werden. Jedoch kann sich die zweite Client-Station schließlich mit dem WiFi-Netzwerk verbinden durch Verwenden dieser Berechtigungsnachweisinformationen, die weitergegeben werden.As will be described in greater detail below, the pairing of the first and second client stations may include proxy functionality for the second client station. One skilled in the art will understand that in a network environment, a proxy may be a mediating component configured to receive and forward data between other components. For example, data may be transmitted from a client station to a network server using a proxy server so that the data is first transmitted to the proxy server and forwarded to the network server. The second client station may also include this proxy functionality and use the data it exchanges to establish a connection to the WiFi network for itself. In particular, credential information may be passed from the first client station to the network server along with other data used between the first client station and the network server for a link request. However, the second client station may eventually connect to the WiFi network by using this credential information that is being relayed.
Es ist zu beachten, dass der Begriff ”paaren”, der hierin verwendet wird, sich auf jede autorisierte Verknüpfung zwischen der ersten und der zweiten Client-Station bezieht. Zum Beispiel können die erste und die zweite Client-Station von einem gemeinsamen Besitzer besessen werden. Eine Art, den gemeinsamen Besitz anzugeben, ist eine Verbindung zu einem Cloud-Netzwerk unter Verwendung eines gemeinsamen Login-Namens und Passworts, so dass ein Cloud-Server die Vorrichtungen miteinander ”paart”. Wie zuvor beschrieben, kann diese Paar-Funktionalität von dem Netzwerkdienste-Backbone 160 ausgeführt werden. Demzufolge kann der Cloud-Server in dem Netzwerkdienste-Backbone 160 beinhaltet sein. Es sollte ebenso beachtet werden, dass die Verwendung der ersten und der zweiten Client-Station nur beispielhaft ist, wobei der Begriff ”paaren” diesen Vorrichtungen entspricht. Jedoch wird der Fachmann verstehen, dass diese beispielhaften Ausführungsformen sich auf mehr als zwei Client-Stationen beziehen können, die eine autorisierte Verknüpfung aufweisen.It should be noted that the term "pairing" used herein refers to any authorized association between the first and second client stations. For example, the first and second client stations may be owned by a common owner. One way to specify shared ownership is to connect to a cloud network using a common login name and password so that a cloud server "twins" the devices together. As previously described, this pair functionality may be provided by the network services backbone 160 be executed. As a result, the cloud server in the network services backbone 160 includes his. It should also be noted that the use of the first and second client stations is exemplary only, with the term "pairing" corresponding to these devices. However, those skilled in the art will understand that these example embodiments may relate to more than two client stations having an authorized association.
2 zeigt eine beispielhafte Netzwerkanordnung 200, die detaillierter ist als die Netzwerkanordnung 100 der 1. Die Netzwerkanordnung 200 wird verwendet werden, um die Verwendung der Berechtigungsnachweise einer SIM-Client-Station 230 zu beschreiben, um eine Proxy-Client-Station 235 zum Verbinden mit einem WiFi-Netzwerk 205 zu authentifizieren. Mit Bezug auf 1 können die SIM-Client-Station 230 und die Proxy-Client-Station 235 jede der Client-Station 110 bis 114 sein. Das WiFi-Netzwerk 205 kann das WLAN 124 sein. Die beispielhaften Ausführungsformen beziehen sich auf ein Authentifikationsverfahren, um sich mit dem WiFi-Netzwerk 205 zu verbinden. Demzufolge kann die Netzwerkanordnung 200 eine Vielzahl unterschiedlicher Authentifikationsnetzwerkkomponenten beinhalten, die mit einem zellulären Kernnetzwerk 212 verbunden sind, wie z. B. ein Authentifikations-, Autorisations- und ein Konto-(Authentication, Authorization, Accounting, AAA)-Server 215, ein Heimteilnehmer-(Home Subscriber, HS)-Server 220 und ein Heimstandortregister-(Home Location Register, HLR)/Authentifikationscenter (AuC) 225. 2 shows an exemplary network arrangement 200 , which is more detailed than the network arrangement 100 of the 1 , The network arrangement 200 will be used to use the credentials of a SIM client station 230 to describe to a proxy client station 235 to connect to a WiFi network 205 to authenticate. Regarding 1 can the SIM client station 230 and the proxy client station 235 each of the client station 110 to 114 be. The WiFi network 205 can the wifi 124 be. The exemplary embodiments relate to an authentication method to connect to the WiFi network 205 connect to. As a result, the network arrangement 200 include a variety of different authentication network components that interface with a cellular core network 212 are connected, such. As an authentication, authorization and an account (Authentication, Authorization, Accounting, AAA) server 215 , a home subscriber (HS) server 220 and a Home Location Register (HLR) / Authentication Center (AuC) 225 ,
Wie zuvor beschrieben kann das WiFi-Netzwerk 205 in der Netzwerkanordnung 200 einen HotSpot darstellen, der Berechtigungsnachweise, die für die Client-Station spezifisch sind, verwendet, um eine Verknüpfungsanfrage zu authentifizieren. Jedoch sollte beachtet werden, dass die Verwendung eines HotSpots hierin nur beispielhaft ist, und dass das WiFi-Netzwerk 205, welches WiFi-Technologie verwendet, nur beispielhaft ist. Der Fachmann wird verstehen, dass jede Netzwerkart, die irgendeine Netzwerktechnologie verwendet, eine Authentifikationsart beinhalten kann, die Client-Stationsspezifische Informationen verwendet. Auch, wie zuvor beschrieben, können die Client-Stations-spezifischen Berechtigungsnachweise Informationen sein, die einer SIM-Karte der Client-Station entsprechen. Jedoch sollte beachtet werden, dass die Verwendung der SIM-Karte nur beispielhaft ist und jegliche Komponente darstellt, die Informationen beinhaltet, die eindeutig für eine Client-Station und/oder einen Benutzer der Client-Station sind.As previously described, the WiFi network 205 in the network arrangement 200 represent a HotSpot that uses credentials specific to the client station to authenticate a join request. However, it should be noted that the use of a hotspot is merely exemplary herein and that the WiFi network 205 which uses WiFi technology is only exemplary. One skilled in the art will understand that any type of network that uses any network technology may include an authentication type that uses client-station specific information. Also, as described above, the client station specific credentials may be information corresponding to a client station SIM card. However, it should be noted that the use of the SIM card is merely exemplary and representative of any component that includes information that is unique to a client station and / or a user of the client station.
Das WiFi-Netzwerk 205 kann eine Vielzahl von unterschiedlichen Authentifikations-Frameworks verwendet, um eine Client-Station zu authentifizieren, die eine Verknüpfungsanfrage zum Verbinden damit bereitstellt. Zum Beispiel kann das WiFi-Netzwerk 205 ein erweiterbares Authentifikationsprotokoll (Extensible Authentication Protocol, EAP) verwenden. Das EAP kann ein Authentifikations-Framework sein, das in drahtlosen Netzwerken und Punkt-zu-Punkt-Verbindungen verwendet wird. Das EAP hält ein Authentifikations-Framework bereit, das verwendet werden kann, um Nachrichtenformate für die Art des Kommunikationsprotokolls, das verwendet wird, zu definieren. Auf diese Weise kann die Vorrichtung das EAP verwenden, um Kapselungsverfahren für EAP-Nachrichten in Kommunikationen, die den gewünschten Protokolltyp verwenden, zu definieren. Das EAP kann z. B. in IEEE 802.11 verwendet werden, welches das WiFi-Netzwerk 205 definiert. In einem spezifischen Beispiel haben der WiFi-geschützte-Zugriff-(WiFi Protected Access, WPA)- und der WiFi-geschützte-Zugriff-II-(WiFi Protected Access II, WPA2)- Standard IEEE 802.1X mit fünf EAP-Typen als die offiziellen Authentifikationsmechanismen angenommen.The WiFi network 205 For example, a variety of different authentication frameworks may be used to authenticate a client station that provides a link request to connect to. For example, the WiFi network 205 Use an Extensible Authentication Protocol (EAP). The EAP may be an authentication framework used in wireless networks and point-to-point connections. The EAP provides an authentication framework that can be used to define message formats for the type of communication protocol that is being used. In this way, the device may use the EAP to define encapsulation techniques for EAP messages in communications using the desired protocol type. The EAP can z. In IEEE 802.11 to be used, which is the wifi network 205 Are defined. In a specific example, WiFi Protected Access (WPA) - and WiFi Protected Access II (WPA2) - Standard IEEE 802.1X adopted with five EAP types as the official authentication mechanisms.
Der AAA-Server 215 kann eine Netzwerkkomponente sein, die für Computersicherheit verwendet wird und die eine AAA-Funktionalität ausführt. Die AAA-Funktionalität kann verwendet werden, um den Zugriff von Benutzern auf Dienste zu steuern, wie z. B. ein Verbinden mit dem WiFi-Netzwerk 205. Der AAA-Server 215 kann ebenso aufzeichnen, mit welchen Ressourcen ein Benutzer zugegriffen hat. Der AAA-Server 215 kann eine Authentifikationsfunktionalität bereitstellen, um eine Identität der Client-Station zu authentifizieren. Zum Beispiel kann die Client-Station Informationen bereitstellen, die einer spezifischen digitalen Identität entsprechen, wie z. B. einen Identifikator und die entsprechenden Berechtigungsnachweise (z. B. Passwörter, Einmal-Token, digitale Zertifikate, digitale Signaturen, Telefonnummern (anrufen/angerufen) usw.). Der AAA-Server 215 kann ebenso eine Autorisierungsfunktionalität bereitstellen, um die Client-Station zu autorisieren, eine bestimmte Aktivität auszuführen. Die Autorisierung kann z. B. von der Authentifikationsfunktionalität geerbt sein beim Einloggen in eine Anwendung oder einen Dienst. Andere Beispiele der Autorisierungsfunktionalität können auf unterschiedlichen Beschränkungen basieren (z. B. Tageszeitpunktbeschränkungen, physische Ortsbeschränkungen, Beschränkungen gegen mehrfachen Zugriff durch dieselbe Einheit oder denselben Benutzer usw.). Der AAA-Server 215 kann ebenso eine Kontofunktionalität bereitstellen, um die Netzwerkverwendung zu verfolgen für den Zweck der Kapazitäts- und Trendanalyse, Kostenzuweisung, Abrechnung usw. Zusätzlich kann die Kontofunktionalität Authentifikations- und Autorisierungsversuche/Fehler aufzeichnen und kann überprüfen, dass Verfahren korrekt befolgt worden sind auf der Grundlage der Kontodaten.The AAA server 215 can be a network component that is used for computer security and that performs AAA functionality. The AAA functionality can be used to control users' access to services, such as: For example, connect to the WiFi network 205 , The AAA server 215 can also record what resources a user has accessed. The AAA server 215 may provide authentication functionality to authenticate an identity of the client station. For example, the client station may provide information that corresponds to a specific digital identity, such as: An identifier and the corresponding credentials (eg, passwords, one-time tokens, digital certificates, digital signatures, phone numbers (called / called), etc.). The AAA server 215 may also provide authorization functionality to authorize the client station to perform a particular activity. The authorization can z. B. inherited from the authentication functionality when logging into an application or service. Other examples of authorization functionality may be based on different constraints (eg, time of day restrictions, physical location restrictions, multiple access restrictions by the same or the same user, etc.). The AAA server 215 can also provide account functionality to track network usage for purposes of capacity and trend analysis, cost allocation, billing, etc. In addition, the account functionality can record authentication and authorization attempts / errors and can verify that procedures have been followed correctly based on the account information.
Der HS-Server 220 kann Teilnahme-bezogene Informationen speichern (z. B. Teilnehmerprofile), die von dem IMS 150 verwendet werden. Der HS-Server 220 kann ebenso eine User-/Client-Station authentifizieren und autorisieren und kann auch Orts- und IP-Informationen über den Benutzer bereitstellen (d. h. den Benutzer der Proxy-Client-Station 235). Der HS-Server 220 kann im Wesentlichen ähnlich zu dem HLR/AuC 225 des Globales System für Mobile Kommunikationen-(Global System for Mobile Communications, GSM)-Netzwerk sein. Weitere Handlungen des HS-Servers 220 hinsichtlich der Authentifikations- und Autorisierungsfunktionalitäten werden nachfolgend beschrieben.The HS server 220 can store participation-related information (eg Subscriber profiles) provided by the IMS 150 be used. The HS server 220 may also authenticate and authorize a user / client station and may also provide location and IP information about the user (ie the user of the proxy client station 235 ). The HS server 220 may be substantially similar to the HLR / AuC 225 Global System for Mobile Communications (GSM) network. Further actions of the HS server 220 in terms of the authentication and authorization functionalities are described below.
Das HLR/AuC 225 kann den HLR-Anteil und den AuC-Anteil beinhalten. Das AuC kann als eine Komponente des HLR angesehen werden. Insbesondere ist das AuC die Komponente, die eine SIM-Karte validiert, die versucht, sich mit dem WiFi-Netzwerk 205 zu verbinden. Die Sicherheit, die von dem AuC bereitgestellt wird, kann Dritte daran hindern auf Netzwerkteilnehmerdienste zuzugreifen, wie z. B. einen HotSpot-Zugriff, der den Netzwerkteilnehmern bereitgestellt wird. Das HLR beinhaltet Informationen, die mit jedem Teilnehmer verknüpft sind, der autorisiert ist, um das GSM-Netzwerk zu verwenden. Die Informationen können den eindeutigen Identifikator von jeder SIM-Karte, die von dem Mobilfunkanbieter herausgegeben worden ist, beinhalten. Sobald eine Authentifikation von dem AuC als erfolgreich bestimmt worden ist, verwaltet das HLR die SIM und die Dienste, die dieser bereitgestellt werden. Das HLR kann ebenso einen Verschlüsselungsschlüssel erzeugen, der anschließend verwendet wird, um alle drahtlosen Kommunikationen (z. B. Stimme, SMS, usw.) zwischen der Client-Station und dem GSM-Netzwerk zu verschlüsseln. Wenn die Authentifikation fehlschlägt, sind keine Dienste für die Client-Station möglich.The HLR / AuC 225 may include the HLR share and the AuC share. The AuC can be considered as a component of the HLR. In particular, the AuC is the component that validates a SIM card that tries to connect to the WiFi network 205 connect to. The security provided by the AuC may prevent third parties from accessing network subscriber services, such as e.g. For example, a HotSpot access provided to network subscribers. The HLR includes information associated with each subscriber authorized to use the GSM network. The information may include the unique identifier of each SIM card issued by the mobile operator. Once authentication from the AuC has been determined to be successful, the HLR manages the SIM and the services that are provided to it. The HLR may also generate an encryption key which is subsequently used to encrypt all wireless communications (e.g., voice, SMS, etc.) between the client station and the GSM network. If the authentication fails, no services are possible for the client station.
Es sollte beachtet werden, dass das AuC nicht direkt in den Authentifikationsprozess eingreifen kann, sondern stattdessen Daten erzeugt, die als Tripel definiert sind, zur Verwendung durch ein mobiles Vermittlungscenter (Mobile Switching Center, MSC) während des Verfahrens. Das AuC und die SIM weisen einen geteilten geheimen Schlüssel auf, der als ein Ki bezeichnet wird, welcher während der Herstellung sicher in die SIM eingebrannt wird, und der ebenso sicher auf dem AuC wiederholt ist. Dieser Ki wird mit der IMSI kombiniert, um eine Herausforderung/Antwort für Identifikationszwecke und einen Verschlüsselungsschlüssel, der als ein Kc bezeichnet wird, zur Verwendung bei Kommunikationen herzustellen. Diese besondere Ausführungsform wird nachfolgend mit mehr Detail beschrieben werden. Der Fachmann wird verstehen, dass die im Wesentlichen ähnliche Funktionalität, die von dem HS-Server 120 bereitgestellt wird, unterschiedliche Signalisierungskomponenten verwenden kann. Insbesondere kann der HS-Server 220 Quintupel verwenden.It should be noted that the AuC can not directly interfere with the authentication process, but instead generates data that is defined as a triple for use by a Mobile Switching Center (MSC) during the procedure. The AuC and the SIM have a shared secret key, referred to as a K i , which is securely burned into the SIM during manufacture, and which is just as surely repeated on the AuC. This K i is combined with the IMSI to produce a challenge / response for identification purposes and an encryption key called a K c for use in communications. This particular embodiment will be described below in more detail. The skilled person will understand that the substantially similar functionality provided by the HS server 120 can use different signaling components. In particular, the HS server can 220 Use quintuple.
Wie oben besprochen beziehen sich die beispielhaften Ausführungsformen auf einen Benutzer, der eine erste Client-Station mit einem Mobilfunkanbieter registriert, der ebenso das WiFi-Netzwerk 205 bereitstellt und der wünscht, eine zweite Client-Station mit dem WiFi-Netzwerk 205 zu verbinden. Demzufolge können sowohl die SIM-Client-Station 230 als auch die Proxy-Client-Station 235 mit einem gemeinsamen Benutzer verknüpft sein. Obwohl nicht spezifisch hinsichtlich des Kommunikationsmechanismus gezeigt, können die SIM-Client-Station 230 und die Proxy-Client-Station 235 eingerichtet sein, um miteinander zu kommunizieren, damit Daten zwischen ihnen weitergegeben werden. Wie nachfolgend in größerem Detail beschrieben werden wird, kann die Proxy-Client-Station 235 eine Verknüpfungsanfrage mit dem WiFi-Netzwerk 205 einleiten. Die Proxy-Client-Station 235 kann als der Empfangspunkt für Signalisierung von dem WiFi-Netzwerk 205 dienen. Die Proxy-Client-Station 235 kann ebenso diese Signalisierung an die SIM-Client-Station 230 weiterleiten und kann Daten davon empfangen, die an das WiFi-Netzwerk 205 weiterzuleiten sind.As discussed above, the exemplary embodiments relate to a user who registers a first client station with a mobile service provider who also owns the WiFi network 205 and wishes, a second client station with the WiFi network 205 connect to. As a result, both the SIM client station 230 as well as the proxy client station 235 be linked to a common user. Although not specific with regard to the communication mechanism, the SIM client station 230 and the proxy client station 235 be set up to communicate with each other so that data is shared between them. As will be described in more detail below, the proxy client station 235 a link request to the WiFi network 205 initiate. The proxy client station 235 can as the receiving point for signaling from the WiFi network 205 serve. The proxy client station 235 can also do this signaling to the SIM client station 230 forward and can receive data from it to the wifi network 205 be forwarded.
3 zeigt die Proxy-Client-Station 235, die eingerichtet ist, um sich mit dem WiFi-Netzwerk 205 zu verbinden unter Verwendung der Berechtigungsnachweise der SIM-Client-Station 230. Obwohl sich 2 auf die Proxy-Client-Station 235 bezieht, kann die SIM-Client-Station 230 ebenso im Wesentlichen ähnliche Komponenten, die hierin beschrieben werden, beinhalten. Insbesondere kann die SIM-Client-Station 230 eine im Wesentlichen ähnliche Anwendung beinhalten, die ausgeführt wird, um Proxy-Funktionalität zu ermöglichen, die von der Proxy-Client-Station 235 auszuführen ist. Die Proxy-Client-Station 235 kann jede elektronische Vorrichtung sein, die eingerichtet ist, um sich mit dem WiFi-Netzwerk 205 zu verbinden, wie z. B. eine tragbare Vorrichtung (z. B. ein Mobiltelefon, ein Smartphone, ein Tablet, ein Phablet, ein Laptop usw.) oder eine stationäre Vorrichtung (z. B. ein Desktop Terminal, ein VoIP-Telefon usw.). Die Client-Station 235 kann einen Prozessor 305, eine Speicheranordnung 310, eine Anzeigevorrichtung 315, eine Eingabe/Ausgabe-(Input/Output, I/O)-Vorrichtung 320, einen Sendeempfänger 325, und andere Komponenten 330 beinhalten. 3 shows the proxy client station 235 which is set up to connect to the wifi network 205 connect using the credentials of the SIM client station 230 , Although himself 2 to the proxy client station 235 refers to the SIM client station 230 Also, substantially similar components described herein include. In particular, the SIM client station 230 include an essentially similar application that is executed to enable proxy functionality by the proxy client station 235 is to execute. The proxy client station 235 can be any electronic device that is set up to connect to the wifi network 205 to connect, such. A portable device (eg, a mobile phone, a smartphone, a tablet, a phablet, a laptop, etc.) or a stationary device (eg, a desktop terminal, a VoIP phone, etc.). The client station 235 can be a processor 305 , a storage arrangement 310 , a display device 315 , an input / output (I / O) device 320 , a transceiver 325 , and other components 330 include.
Der Prozessor 305 kann eingerichtet sein, um eine Vielzahl von Anwendungen der Client-Station 235 auszuführen. Zum Beispiel können die Anwendungen eine Webbrowser-Anwendung beinhalten, um Daten mit einem öffentlichen Netzwerk auszutauschen, wie z. B. dem Internet, wenn sie mit dem WiFi-Netzwerk 305 verbunden ist. In einem anderen Beispiel können die Anwendungen eine Proxy-Authentifikationsanwendung 335 beinhalten, die die Proxy-Authentifikationsfunktionalität ausführt, in der die Berechtigungsnachweisinformationen der SIM-Client-Station 230 verwendet werden, um die Proxy-Client-Station 235 zu authentifizieren, um sich mit dem WiFi-Netzwerk 205 zu verbinden, wie nachfolgend in größerem Detail beschrieben werden wird. Es sollte beachtet werden, dass die Anwendungen, die ein Programm sind, die von dem Prozessor 305 ausgeführt wird, nur beispielhaft sind. Die Anwendungen können ebenso als eine getrennte, integrierte Komponente der Proxy-Client-Station 235 dargestellt sein oder können eine modulare Komponente sein, die mit der Proxy-Client-Station 235 gekoppelt ist.The processor 305 can be set up to a variety of client station applications 235 perform. For example, the applications may include a web browser application for exchanging data with a public network, such as: For example, the Internet when connected to the WiFi network 305 connected is. In another example, the applications may be a proxy authentication application 335 include the Proxy authentication functionality that performs the authentication credentials of the SIM client station 230 used to be the proxy client station 235 to authenticate yourself with the WiFi network 205 as will be described in greater detail below. It should be noted that the applications that are a program are those of the processor 305 is executed, are exemplary only. The applications can also act as a separate, integrated component of the proxy client station 235 or may be a modular component associated with the proxy client station 235 is coupled.
Die Proxy-Authentifikationsanwendung 335 kann auch in der SIM-Client-Station 230 beinhaltet sein. Insbesondere, wenn sie auf der SIM-Client-Station 230 ausgeführt wird, kann die Proxy-Authentifikationsanwendung 335 die Antworten auf die weitergeleiteten Anfragen zusammenpacken, um sicher an die Proxy-Client-Station 235 übertragen zu werden. Demzufolge kann die Proxy-Client-Station 235 die Anfragen an die SIM-Client-Station 230 weiterleiten, aber kann sich bewusst sein, dass die Anfragen für das Authentifikationsverfahren gemäß den beispielhaften Ausführungsformen sind anstatt für ein Authentifikationsverfahren für die SIM-Client-Station 230, um sich mit dem WiFi-Netzwerk 205 zu verbinden.The proxy authentication application 335 can also be in the sim client station 230 includes his. Especially if they are on the SIM client station 230 the proxy authentication application can run 335 Pack the replies to the forwarded requests securely to the proxy client station 235 to be transferred. As a result, the proxy client station 235 the requests to the SIM client station 230 but may be aware that the requests for the authentication method are according to the example embodiments rather than an authentication method for the SIM client station 230 to connect to the wifi network 205 connect to.
Die Speicheranordnung 310 kann eine Hardwarekomponente sein, die eingerichtet ist, um Daten zu speichern, die sich auf Handlungen beziehen, die von der Client-Station 235 ausgeführt werden. Zum Beispiel kann die Speicheranordnung 310 Cloud-Daten speichern, die einem Cloud-Netzwerk entsprechen, mit dem sowohl die SIM-Client-Station 230 als auch die Proxy-Client-Station 235 verknüpft sind. In einem anderen Beispiel kann die Speicheranordnung 310 ebenso (temporär) die Daten speichern, die von dem WiFi-Netzwerk 205 und der SIM-Client-Station 230 empfangen werden, um die Weiterleitungsfunktionalität in ihrer Proxy-Rolle auszuführen. Die Anzeigevorrichtung 315 kann eine Hardwarekomponente sein, die eingerichtet ist, um dem Benutzer Daten zu zeigen, während die I/O-Vorrichtung 320 eine Hardwarekomponente sein kann, die eingerichtet ist, um Eingaben von dem Benutzer zu empfangen und um entsprechende Daten auszugeben. Die anderen Komponenten 330 können eine tragbare Leistungsversorgung (z. B. Batterie), eine Datenerfassungsvorrichtung, Anschlüsse, um die Client-Station 235 elektrisch mit anderen elektronischen Vorrichtungen zu verbinden, eine Audio-I/O-Vorrichtung usw. sein. Insbesondere können die anderen Komponenten 330 die SIM-Karte beinhalten.The memory arrangement 310 may be a hardware component configured to store data relating to actions taken by the client station 235 be executed. For example, the memory arrangement 310 Save cloud data that corresponds to a cloud network that both the SIM client station 230 as well as the proxy client station 235 are linked. In another example, the memory arrangement 310 as well (temporarily) store the data from the wifi network 205 and the SIM client station 230 received to perform the forwarding functionality in its proxy role. The display device 315 may be a hardware component configured to show data to the user while the I / O device 320 may be a hardware component configured to receive input from the user and to output corresponding data. The other components 330 can be a portable power supply (eg battery), a data acquisition device, connections to the client station 235 to be electrically connected to other electronic devices, an audio I / O device, etc. In particular, the other components 330 include the SIM card.
Die SIM kann eine integrierte Schaltung sein, die sicher die Internationale Mobile Teilnehmer Identität (International Mobile Subscriber Identity, IMSI) und den verwandten Schlüssel speichert, der verwendet wird, um Teilnehmer auf mobilen Telefonvorrichtungen zu identifizieren und zu authentifizieren. Eine SIM-Schaltung ist in eine entfernbare Plastikkarte eingebettet, um eine ”SIM-Karte” zu erzeugen, und kann zwischen unterschiedlichen mobilen Vorrichtungen übertragen werden. Die SIM-Karte beinhaltet ihre eindeutige Seriennummer (ICCID), IMSI, Sicherheitsauthentifikation und Verschlüsselungsinformationen, temporäre Informationen, die sich auf das lokale Netzwerk beziehen, eine Liste von Diensten, auf die der Benutzer Zugriff hat, und Passwörter, wie z. B. eine persönliche Identifikationsnummer (Personal Identification Number, PIN) für gewöhnliche Verwendung und einen persönlichen Freigabecode (Personal Unblocking Code, PUK) zum Freigeben des Pins. Auf diese Weise kann die SIM-Karte eine Vielzahl von Berechtigungsnachweisinformationen beinhalten, die für die Benutzer- und/oder Client-Station spezifisch sind, die von dem WiFi-Netzwerk 205 für Authentifikationszwecke bei einer Verknüpfungsanfrage verwendet werden können.The SIM may be an integrated circuit that securely stores the International Mobile Subscriber Identity (IMSI) and the related key that is used to identify and authenticate subscribers on mobile telephone devices. A SIM circuit is embedded in a removable plastic card to create a "SIM card" and can be transferred between different mobile devices. The SIM card includes its unique serial number (ICCID), IMSI, security authentication and encryption information, temporary information related to the local area network, a list of services that the user has access to, and passwords such as: For example, a Personal Identification Number (PIN) for ordinary use and a Personal Unblocking Code (PUK) to release the pin. In this way, the SIM card may include a plurality of credential information specific to the user and / or client station that is from the WiFi network 205 can be used for authentication purposes in a link request.
Der Sendeempfänger 325 kann eine Hardwarekomponente sein, die eingerichtet ist, um Daten mit dem WiFi-Netzwerk 205 zu übertragen und/oder zu empfangen. Der Sendeempfänger 325 kann ebenso eine Kommunikation mit der SIM-Client-Station 230 ermöglichen. Die Kommunikation zwischen der Proxy-Client-Station 235 und der SIM-Client-Station 230 kann ausgeführt werden unter Verwendung von Kommunikationstechnologie. Zum Beispiel kann ein Cloud-Netzwerk verwendet werden, wobei das Cloud-Netzwerk als eine Zwischenspeicherkomponente für Daten agiert, die zwischen der Proxy-Client-Station 235 und der SIM-Client-Station 230 geteilt werden. Dementsprechend kann der Sendeempfänger 325 verwendet werden, um mit dem Cloud-Netzwerk auf dessen Betriebsfrequenz zu kommunizieren. In einem anderen Beispiel können die Proxy-Client-Station 235 und die SIM-Client-Station 230 eine direkte Verbindung untereinander einrichten unter Verwendung einer drahtgebundenen (z. B. Universal Serial Bus-(USB)-Kabel) oder einer drahtlosen Weise (z. B. Bluetooth, Infrarot (IR) usw.). Dementsprechend kann der Sendeempfänger 325 eine Sendeempfängeranordnung darstellen, die Hardwarekomponenten beinhaltet, die die Kommunikation unter Verwendung der jeweiligen Art ermöglichen.The transceiver 325 can be a hardware component that is set up to share data with the WiFi network 205 to transmit and / or receive. The transceiver 325 can also communicate with the SIM client station 230 enable. The communication between the proxy client station 235 and the SIM client station 230 can be performed using communication technology. For example, a cloud network may be used wherein the cloud network acts as a caching component for data passing between the proxy client station 235 and the SIM client station 230 to be shared. Accordingly, the transceiver can 325 used to communicate with the cloud network at its operating frequency. In another example, the proxy client station 235 and the SIM client station 230 establish a direct connection with each other using a wired (eg Universal Serial Bus (USB) cable) or wireless (eg Bluetooth, Infrared (IR), etc.). Accordingly, the transceiver can 325 represent a transceiver assembly that includes hardware components that enable communication using the particular type.
Gemäß den beispielhaften Ausführungsformen kann die Client-Station 235 ein Verknüpfungsverfahren einleiten, um sich mit dem WiFi-Netzwerk 205 beim Erkennen davon zu verbinden. Wiederum kann die Proxy-Client-Station 235 nicht die Berechtigungsnachweisinformationen beinhalten, die verwendet werden, um die SIM-Client-Station 230 mit dem WiFi-Netzwerk 205 zu verbinden. Insbesondere kann die Proxy-Client-Station 235 nicht dieselbe SIM-Karte beinhalten, die mit der SIM-Client-Station 230 verwendet wird. Demzufolge, wenn der Benutzer der Proxy-Client-Station 235 (und der SIM-Client-Station 230) wünscht, die Proxy-Client-Station 235 mit dem WiFi-Netzwerk 205 zu verbinden, stellen die beispielhaften Ausführungsformen einen Mechanismus bereit, damit die Berechtigungsnachweisinformationen (z. B. die SIM-Karte) der SIM-Client-Station 230 von der Proxy-Client-Station 235 verwendet werden, um die Proxy-Client-Station 235 zu authentifizieren. Insbesondere, nachdem das Verknüpfungsverfahren eingeleitet worden ist, stellt die Proxy-Client-Station 235 eine Proxy-Funktionalität eines Signalweiterleitens bereit, bis die Proxy-Client-Station 235 authentifiziert ist und mit dem WiFi-Netzwerk 205 verbunden ist. Gemäß den beispielhaften Ausführungsformen kann die Proxy-Client-Station 235 eine erste Anfrage von dem WiFi-Netzwerk 205 für Identifikationsinformationen empfangen und kann diese Anfrage an die SIM-Client-Station 230 weiterleiten, um die Identifikationsantwort zu empfangen, welche an das WiFi-Netzwerk 105 übertragen wird. Die Proxy-Client-Station 235 kann ebenso eine zweite Anfrage von dem WiFi-Netzwerk 205 empfangen, die eine Herausforderung sein kann, dass nur die SIM-Client-Station 230 eingerichtet ist, um korrekt diese Anfrage zu beantworten und sie an die SIM-Client-Station 230 weiterzuleiten, um die Herausforderungsfrageantwort zu empfangen, welche an das WiFi-Netzwerk 205 übertragen wird. Nachfolgende Bestätigungssignale, die einen Erfolg der Verbindung angeben, können ebenso ausgetauscht werden.According to the exemplary embodiments, the client station 235 initiate a linking process to log in to the WiFi network 205 to connect in recognizing it. Again, the proxy client station 235 does not include the credential information that will be used by the SIM client station 230 with the wifi network 205 connect to. In particular, the proxy client station 235 do not contain the same SIM card as the SIM client station 230 is used. Consequently, if the user of the proxy client station 235 (and the SIM client station 230 ) wants the proxy client station 235 with the wifi network 205 For example, the exemplary embodiments provide a mechanism to enable the credentials information (eg, the SIM card) of the SIM client station 230 from the proxy client station 235 used to be the proxy client station 235 to authenticate. Specifically, after the linking process has been initiated, the proxy client station stops 235 a signal forwarding proxy functionality ready until the proxy client station 235 is authenticated and connected to the wifi network 205 connected is. According to the example embodiments, the proxy client station 235 a first request from the WiFi network 205 for identification information received and can this request to the SIM client station 230 forward to receive the identification reply sent to the WiFi network 105 is transmitted. The proxy client station 235 can also do a second request from the WiFi network 205 that can be a challenge, that only the SIM client station 230 is set up to correctly answer this request and send it to the SIM client station 230 to receive the challenge request response sent to the WiFi network 205 is transmitted. Subsequent acknowledgment signals indicating success of the connection may also be exchanged.
4 zeigt ein erstes beispielhaftes Signalisierungsdiagramm 400, um Berechtigungsnachweise der SIM-Client-Station 230 zu verwenden, um die Proxy-Client-Station 235 zu authentifizieren zum Verbinden mit dem WiFi-Netzwerk 205. Insbesondere bezieht sich das Signalisierungsdiagramm 400 darauf, wenn das WiFi-Netzwerk 205 den AAA-Server 215 und den HS-Server 220 verwendet, um das Authentifikationsverfahren auszuführen. Wie zuvor besprochen, kann dies die Verwendung von Quintupeln beinhalten. Wie nachfolgend besprochen werden wird, kann dies ebenso die Verwendung einer Authentifikations- und Schlüsselvereinbarungs(Authentication and Key Agreement, AKA)-Herausforderung beinhalten. 4 shows a first exemplary signaling diagram 400 to credentials of the SIM client station 230 to use the proxy client station 235 to authenticate to connect to the WiFi network 205 , In particular, the signaling diagram relates 400 on it, if the wifi network 205 the AAA server 215 and the HS server 220 used to perform the authentication procedure. As previously discussed, this may involve the use of quintuples. As will be discussed below, this may also include the use of an Authentication and Key Agreement (AKA) challenge.
Das Signalisierungsdiagramm 400 veranschaulicht eine Vielzahl von unterschiedlichen Komponenten, die gemäß den beispielhaften Ausführungsformen in dem Authentifikationsverfahren involviert sind. Wie gezeigt kann das Authentifikationsverfahren die SIM-Client-Station 230, die Proxy-Client-Station 235, die WiFi-Basisstation 210, den AAA-Server 215 und den HS-Server 220 involvieren. Wie der Fachmann verstehen wird, können die SIM-Client-Station 230 und die Proxy-Client-Station 235 Handlungen beinhalten, die von einer unterschiedlichen Einheit ausgeführt werden, als die Handlungen, die von der WiFi-Basisstation 210, dem AAA-Server 215 und dem HS-Server 220 ausgeführt werden. Zum Beispiel kann angenommen werden, dass die SIM-Client-Station 230 ein iPhone ist, und dass die Proxy-Client-Station 235 ein iPod ist, die von Apple Inc. bereitgestellt werden. In solch einem Beispiel kann die Einheit, die verschiedene Handlungen zwischen ihnen ausführt, Netzwerkdienste-Backbone-160-Komponenten sein, die von Apple Inc. verwaltet werden. Weiterhin, wenn die WiFi-Basisstation 210, der AAA-Server 215 und der HS-Server 220 Netzwerkkomponenten sein können, die von einem Mobilfunkanbieter verwaltet werden, wie z. B. T-Mobile, AT&T, Verizon, etc.The signaling diagram 400 FIG. 12 illustrates a variety of different components involved in the authentication method according to the exemplary embodiments. As shown, the authentication method can be the SIM client station 230 , the proxy client station 235 , the WiFi base station 210 , the AAA server 215 and the HS server 220 to involve. As the expert will understand, the SIM client station 230 and the proxy client station 235 Include actions that are performed by a different entity than the acts performed by the WiFi base station 210 , the AAA server 215 and the HS server 220 be executed. For example, it can be assumed that the SIM client station 230 an iPhone is, and that the proxy client station 235 An iPod is provided by Apple Inc. In such an example, the entity performing various actions between them may have network services backbone 160 Components managed by Apple Inc. Furthermore, if the WiFi base station 210 , the AAA server 215 and the HS server 220 Network components managed by a wireless service provider, such as T-Mobile, AT & T, Verizon, etc.
Anfänglich kann sich der Benutzer der SIM-Client-Station 230 und der Proxy-Client-Station 235 in einen gemeinsamen Account einloggen 405. Zum Beispiel, während eine Plattform, die von Apple Inc. bereitgestellt wird, sowohl auf der SIM-Client-Station 230 als auch der Proxy-Client-Station 235 läuft, kann auf ein Cloud-Netzwerk zugegriffen werden, wie z. B. iCloud oder iTunes. Beim Verbinden mit dem Cloud-Netzwerk kann eine Synchronisationsfunktionalität 410 ausgeführt werden. Insbesondere wenn die SIM-Client-Station 230 und/oder die Proxy-Client-Station 235 sich mit dem Cloud-Netzwerk zum ersten Mal verbinden, können die Client-Stationen gepaart werden und mit demselben Benutzer verknüpft werden. Es ist zu beachten, dass diese Schritte des Signalisierungsdiagramms zu jedem Zeitpunkt vor einer Verknüpfungsanfrage ausgeführt werden können, die von der Proxy-Client-Station 235 übertragen wird. Wieder kann diese Synchronisationsfunktionalität bei dem Netzwerkdienste-Backbon 160 ausgeführt werden.Initially, the user of the SIM client station 230 and the proxy client station 235 log into a common account 405 , For example, while a platform provided by Apple Inc. is on both the SIM client station 230 as well as the proxy client station 235 is running, can be accessed on a cloud network, such. ICloud or iTunes. When connecting to the cloud network, a synchronization functionality can be used 410 be executed. Especially if the SIM client station 230 and / or the proxy client station 235 Connecting to the cloud network for the first time, the client stations can be paired and linked to the same user. It should be noted that these steps of the signaling diagram may be performed at any time prior to a link request made by the proxy client station 235 is transmitted. Again, this synchronization functionality may be at the network services backbon 160 be executed.
Die Synchronisationsfunktionalität kann ebenso ein Teilen von Daten, die sich auf Dienstsatzidentifikationen (Service Set Identifications, SSIDs) beziehen, beinhalten. Zum Beispiel kann sich die SIM-Client-Station 230 mit verschiedenen WiFi-Netzwerken verbunden haben, einschließlich dem WiFi-Netzwerk 205, in dem die SIM-Berechtigungsnachweisinformationen zur Authentifikation verwendet werden. Die SIM-Client-Station 230 kann die SSID-Informationen an das Cloud-Netzwerk übermitteln. Diese SSID-Informationen können dann an die Proxy-Client-Station 235 weitergeleitet werden, um sie in der Speicheranordnung 310 zu speichern. Dementsprechend kann die Proxy-Client-Station 235 sich der WiFi-Netzwerke bewusst sein, in denen die SIM-Berechtigungsnachweisinformationen verwendet werden. Demzufolge, wenn die Proxy-Client-Station 235 ein WiFi-Netzwerk erkennt und die SSID einer der SSIDs entspricht, die hinweisend sind auf die Verwendung von SIM-Berechtigungsnachweisinformationen, kann sich die Proxy-Client-Station 235 bewusst sein, dass das Authentifikationsverfahren gemäß den beispielhaften Ausführungsformen verwendet werden kann.The synchronization functionality may also include sharing data related to service set identifications (SSIDs). For example, the SIM client station may 230 connected to various WiFi networks, including the WiFi network 205 in which the SIM credential information is used for authentication. The SIM client station 230 can submit the SSID information to the cloud network. This SSID information can then be sent to the proxy client station 235 be forwarded to them in the memory array 310 save. Accordingly, the proxy client station 235 Be aware of the WiFi networks that use the SIM credential information. Consequently, if the proxy client station 235 If a WiFi network detects and the SSID matches one of the SSIDs that are indicative of the use of SIM credential information, the proxy client station may become aware of this 235 be aware of that Authentication method according to the exemplary embodiments may be used.
Die Proxy-Client-Station 235 kann ein Erkennungsverfahren ausführen, um verfügbare Netzwerke zu bestimmen. Insbesondere kann die Proxy-Client-Station 235 einen Scan in Frequenzbereichen ausführen für Beacons verfügbarer Netzwerke. Die Frequenzbereiche können jene beinhalten, in denen der Sendeempfänger 325 betriebsbereit eingerichtet ist. Die Proxy-Client-Station 235 kann in Handlung 415 bestimmen, dass eine SSID eines der erkannten Netzwerke einer SSID eines Netzwerks entspricht, mit dem die SIM-Client-Station 230 zuvor verbunden war (z. B. WiFi-Netzwerk 205) auf der Grundlage der Liste, die über das Cloud-Netzwerk synchronisiert wurde.The proxy client station 235 can perform a discovery process to determine available networks. In particular, the proxy client station 235 perform a scan in frequency ranges for beacons of available networks. The frequency ranges may include those in which the transceiver 325 is ready for use. The proxy client station 235 can in action 415 determine that an SSID of one of the discovered networks corresponds to an SSID of a network to which the SIM client station 230 previously connected (eg WiFi network 205 ) based on the list synchronized through the cloud network.
Beim Erkennen des WiFi-Netzwerks 105 kann die Proxy-Client-Station 135 eine offene Verknüpfungsanfrage 420 an die WiFi-Basisstation 210 erzeugen. Die WiFi-Basisstation 210 kann mit einer Anfrage 425 für eine Identität der Client-Station antworten, die die offene Verknüpfungsanfrage 420 gesendet hat. Zum Beispiel kann die Identitätsanfrage unter Verwendung von EAP definiert sein. Da die Proxy-Client-Station 235 sich bewusst ist, dass die SIM-Berechtigungsnachweisinformationen für die Authentifikation in dem WiFi-Netzwerk 205 verwendet worden sind, kann die Proxy-Authentifikationsanwendung 335 der Proxy-Client-Station 235 die Identitätsanfrage 430 an die SIM-Client-Station 230 weiterleiten. Überall in dieser Beschreibung wurde der Begriff weiterleiten verwendet, um die Handlung der Proxy-Client-Station 235 zu beschreiben. Dieser Begriff sollte verstanden werden zu bedeuten, dass die Proxy-Client-Station 235 die beschriebene Kommunikation (z. B. die Identitätsanfrage 430) im Wesentlichen in der Form überträgt, in der die Kommunikation von der Proxy-Client-Station 235 empfangen wurde. Jedoch sollte verstanden werden, dass die Proxy-Client-Station 235 die Kommunikation für geeignete Übertragung an die empfangende Vorrichtung/Einheit formatieren kann (z. B. wenn die Kommunikation über das TCP/IP-Protokoll gesendet wird, kann die Proxy-Client-Station Header und Leitungsinformationen hinzufügen, wie benötigt). Das Weiterleiten der Identitätsanfrage von der Proxy-Client-Station 235 an die SIM-Client-Station kann, wie zuvor beschrieben, auf jede bekannte Art der Kommunikation zwischen den Client-Stationen erreicht werden.When detecting the WiFi network 105 can be the proxy client station 135 an open link request 420 to the WiFi base station 210 produce. The WiFi base station 210 can with a request 425 answer for an identity of the client station containing the open link request 420 sent. For example, the identity request may be defined using EAP. Because the proxy client station 235 is aware that the SIM credentials information for authentication in the WiFi network 205 can be used, the proxy authentication application 335 the proxy client station 235 the identity request 430 to the SIM client station 230 hand off. Throughout this description, the term forward was used to describe the act of the proxy client station 235 to describe. This term should be understood to mean that the proxy client station 235 the described communication (eg the identity request 430 ) transmits essentially in the form in which the communication from the proxy client station 235 was received. However, it should be understood that the proxy client station 235 can format the communication for appropriate transmission to the receiving device / unit (e.g., when communication is sent over the TCP / IP protocol, the proxy client station can add headers and line information as needed). Forwarding the identity request from the proxy client station 235 to the SIM client station, as described above, can be achieved in any known manner of communication between the client stations.
Die SIM-Client-Station 230 kann die Identitätsanfrage 430 empfangen und kann die Identitätsantwort erzeugen. Insbesondere kann die Identitätsantwort den Informationen entsprechen, die in der SIM-Karte beinhaltet sind. Zum Beispiel kann die Identitätsantwort durch EAP definiert sein und kann die IMSI beinhalten. Die Identitätsantwort 435 kann an die Proxy-Client-Station 235 übertragen werden, die die Identitätsantwort 440 an den AAA-Server 215 des zellulären Kernnetzwerks 212 über die WiFi-Netzwerkbasisstation 110 und das WiFi-Netzwerk 105 weiterleitet.The SIM client station 230 can the identity request 430 receive and can generate the identity response. In particular, the identity response may correspond to the information contained in the SIM card. For example, the identity response may be defined by EAP and may include the IMSI. The identity answer 435 can to the proxy client station 235 which are the identity response 440 to the AAA server 215 of the cellular core network 212 via the WiFi network base station 110 and the WiFi network 105 forwards.
Wenn der AAA-Server 215 die Identitätsantwort 440 auf der Grundlage von EAP und einschließlich der IMSI empfängt, kann der AAA-Server 215 Authentifikationsvektoren 445 anfordern, die der IMSI des HS-Servers 220 entsprechen. Der HS-Server 220 kann die Authentifikationsvektoren 450 erzeugen. Wie zuvor besprochen, kann der AAA-Server 215 ebenso die Quintupel empfangen, die den Authentifikationsvektoren entsprechen, die nachfolgend zu verwenden sind. Zum Beispiel können die Quintupel AT_RAND, AT_AUTN, AT_MAC, S-RES und Kc beinhalten.If the AAA server 215 the identity answer 440 On the basis of EAP and including the IMSI receiving, the AAA server can 215 authentication vectors 445 request the IMSI of the HS server 220 correspond. The HS server 220 can the authentication vectors 450 produce. As previously discussed, the AAA server can 215 also receive the quintuplets corresponding to the authentication vectors to be subsequently used. For example, the quintuple AT_RAND, AT_AUTN, AT_MAC, S-RES, and K c may include.
Beim Empfang der Quintupel 455 kann der AAA-Server 215 eine Anfrage 460 erzeugen, die eine AKA-Herausforderung beinhaltet auf der Grundlage der Quintupel. Zum Beispiel kann die Anfrage/AKA-Herausforderung 460 durch EAP definiert sein. Weil die Anfrage/AKA-Herausforderung 460 auf der Grundlage der Quitupel erzeugt wird, die aus der IMSI der SIM-Karte der SIM-Client-Station 230 gebildet wird, kann die korrekte Antwort nur von der SIM-Client-Station 230 erzeugt werden. Beim Erzeugen der Anfrage/AKA-Herausforderung 460 kann der AAA-Server 215 sie an die Proxy-Client-Station 230 übertragen. Die Proxy-Client-Station 135 kann diese Anfrage/AKA-Herausforderung 465 an die SIM-Client-Station 230 weiterleiten.When receiving the quintuple 455 can the AAA server 215 a request 460 generate an AKA challenge based on the Quintuple. For example, the request / AKA challenge 460 be defined by EAP. Because the request / AKA challenge 460 Based on the Quitupel generated from the IMSI of the SIM card of the SIM client station 230 is formed, the correct answer can only be from the SIM client station 230 be generated. When generating the request / AKA challenge 460 can the AAA server 215 to the proxy client station 230 transfer. The proxy client station 135 can this request / AKA challenge 465 to the SIM client station 230 hand off.
Die SIM-Client-Station 230 kann einen AKA-Algorithmus 470 ausführen, um die Antwort darauf zu erzeugen. Zum Beispiel kann der AKA-Algorithmus 470 die AUTN und die MAC verifizieren, um die RES und Ks abzuleiten. Dies kann in einer Antwort/AKA-Herausforderung 475 beinhaltet sein, welche die AT_RES und AT_MAC beinhaltet. Die Antwort kann ebenso durch EAP definiert sein. Die Antwort/AKA-Herausforderung 475 kann an die Proxy-Client-Station 235 übertragen werden, welche die Antwort/AKA-Herausforderung 480 an den AAA-Server 215 weiterleitet. Der AAA-Server 215 kann die Antwort überprüfen 485, um das Authentifikationsverfahren zu vervollständigen. Insbesondere kann der AAA-Server 215 eine Bestätigung 490 übertragen, dass das Authentifikationsverfahren erfolgreich war. Zu diesem Zeitpunkt kann die Proxy-Client-Station 235 mit dem WiFi-Netzwerk 205 verbunden sein und Kommunikationen 495 können zwischen der Proxy-Client-Station 235 und dem WiFi-Netzwerk 205 durchgeführt werden. Für die Vervollständigung und um die SIM-Client-Station 230 zu benachrichtigen, kann die Proxy-Client-Station 235 die Erfolgsbestätigung 497 an die SIM-Client-Station 230 weiterleiten.The SIM client station 230 can use an AKA algorithm 470 execute to generate the answer. For example, the AKA algorithm 470 verify the AUTN and the MAC to derive the RES and K s . This may be in a response / AKA challenge 475 including AT_RES and AT_MAC. The answer may also be defined by EAP. The answer / AKA challenge 475 can to the proxy client station 235 which are the answer / AKA challenge 480 to the AAA server 215 forwards. The AAA server 215 can check the answer 485 to complete the authentication process. In particular, the AAA server can 215 a confirmation 490 transmit that the authentication process was successful. At this time, the proxy client station 235 with the wifi network 205 be connected and communications 495 can be between the proxy client station 235 and the WiFi network 205 be performed. For the completion and the SIM client station 230 to notify the proxy client station 235 the confirmation of success 497 to the SIM client station 230 hand off.
5 zeigt ein zweites beispielhaftes Signalisierungsdiagramm 500, um Berechtigungsnachweise der SIM-Client-Station 230 zu verwenden, um die Proxy-Client-Station 235 zum Verbinden mit dem WiFi-Netzwerk 205 zu authentifizieren. Insbesondere bezieht sich das Signalisierungsdiagramm 500 darauf, wenn das WiFi-Netzwerk 205 den AAA-Server 215 und das HLR/AuC 225 verwendet, um das Authentifikationsverfahren auszuführen. Wie zuvor besprochen, kann dies die Verwendung von Tripeln beinhalten. Wie nachfolgend besprochen werden wird, kann dies ebenso die Verwendung einer Nonce beinhalten. 5 shows a second exemplary signaling diagram 500 to credentials of the SIM client station 230 to use the proxy client station 235 to connect to the wifi network 205 to authenticate. In particular, the signaling diagram relates 500 on it, if the wifi network 205 the AAA server 215 and the HLR / AuC 225 used to perform the authentication procedure. As previously discussed, this may involve the use of triples. As will be discussed below, this may also include the use of a nonce.
Anfänglich ist zu beachten, dass das Signalisierungsdiagramm 500 einen anfänglichen Satz von Schritten beinhalten kann, die im Wesentlichen ähnlich zu dem anfänglichen Satz von Schritten des Signalisierungsdiagramms 400 ist, z. B. Signalisierungsschritte 405 bis 435. Demzufolge beginnt die Beschreibung, die sich auf das Signalisierungsdiagramm 500 bezieht, bei der Identitätsantwort 505, die die IMSI beinhaltet, wie nach EAP definiert, die von der Proxy-Client-Station 135 an den AAA-Server 115 weitergeleitet wird, z. B. ein Signalisierungsschritt, der dem Signalisierungsschritt 440 der 4 entspricht.Initially, note that the signaling diagram 500 may include an initial set of steps substantially similar to the initial set of steps of the signaling diagram 400 is, for. B. signaling steps 405 to 435 , As a result, the description starting on the signaling diagram begins 500 refers to the identity response 505 that includes the IMSI, as defined by EAP, by the proxy client station 135 to the AAA server 115 is forwarded, z. B. a signaling step, the signaling step 440 of the 4 equivalent.
Wie zuvor besprochen, wenn das HLR/AuC 225 für die Authentifikation verwendet wird, können Tripel anstelle von Quintupeln verwendet werden, wie zuvor hinsichtlich des Signalisierungsdiagramms 400 besprochen unter Verwendung des HS-Servers 220. Demzufolge, sobald der AAA-Server 215 die Identitätsantwort 505 empfängt, kann der AAA-Server 215 die Tripel, die der IMSI der SIM-Client-Station 230 entsprechen, von dem HLR/AuC 225 anfordern 510. Das HLR/AuC 225 kann die Authentifikationsvektoren erzeugen 515, die die Tripel beinhalten, und kann die Tripel an den AAA-Server 215 weiterleiten.As previously discussed, when the HLR / AuC 225 For authentication, triples can be used instead of quintuplets, as previously with regard to the signaling diagram 400 discussed using the HS server 220 , As a result, once the AAA server 215 the identity answer 505 can receive, the AAA server 215 the triple, which is the IMSI of the SIM client station 230 correspond from the HLR / AuC 225 request 510 , The HLR / AuC 225 can generate the authentication vectors 515 that include the triples, and can send the triples to the AAA server 215 hand off.
Wenn der AAA-Server 215 die Tripel empfängt, kann der AAA-Server 215 eine Anfrage/SIM/Start 525 zur Übertragung an die Proxy-Client-Station 235 erzeugen. Zum Beispiel kann die Anfrage/SIM/Start 525 nach EAP definiert sein. Wiederum, da die Proxy-Client-Station 235 sich bewusst ist, dass die SIM-Client-Station 230 sich zuvor mit dem WiFi-Netzwerk 205 verbunden hatte unter Verwendung der SIM-Berechtigungsnachweisinformationen zur Authentifikation, kann die Anfrage/SIM/Start 530 an die SIM-Client-Station 230 weitergeleitet werden.If the AAA server 215 The triple can receive the AAA server 215 a request / SIM / Start 525 for transmission to the proxy client station 235 produce. For example, the request / SIM / Start 525 be defined according to EAP. Again, because the proxy client station 235 is aware that the SIM client station 230 previously with the WiFi network 205 Using the SIM credential authentication information, the request / SIM / Start 530 to the SIM client station 230 to get redirected.
Wenn die SIM-Client-Station 230 die Anfrage/SIM/Start empfängt, kann die SIM-Client-Station 230 eine Nonce 535 erzeugen. Demzufolge kann die SIM-Client-Station 230 eine Antwort 540 auf die Anfrage SIM/Start erzeugen, um die Nonce zu beinhalten. Insbesondere erzeugt die SIM-Client-Station 230 die Antwort/SIM/Start 540 (einschließlich der Nonce [N]) und überträgt sie an die Proxy-Client-Station 230, die die Antwort/SIM/Start [N] 545 an den AAA-Server 215 weiterleitet. Der AAA-Server 215 kann die Antwort/SIM/Start [N] 545 empfangen und kann ein MAC unter Verwendung des KC und der Nonce berechnen. Der AAA-Server 215 kann eine Anfrage/SIM/Herausforderung 555 erzeugen, die den MAC und eine RAND (auf der Grundlage der Nonce) beinhaltet. Diese Anfrage kann ebenso nach EAP definiert sein. Der AAA-Server 215 kann diese Anfrage/SIM/Herausforderung 555 an die Proxy-Client-Station 235 erzeugen, welche die Anfrage/SIM/Herausforderung 560 an die SIM-Client-Station 230 weiterleitet.When the SIM client station 230 the request / SIM / Start receives, the SIM client station 230 a nonce 535 produce. As a result, the SIM client station 230 an answer 540 on the request generate SIM / Start to include the nonce. In particular, the SIM client station generates 230 the answer / SIM / Start 540 (including the nonce [N]) and transmits it to the proxy client station 230 that the answer / SIM / Start [N] 545 to the AAA server 215 forwards. The AAA server 215 can the answer / SIM / Start [N] 545 receive and can compute a MAC using the K C and the Nonce. The AAA server 215 can make a request / sim / challenge 555 which contains the MAC and a RAND (based on nonce). This request can also be defined according to EAP. The AAA server 215 can this request / sim / challenge 555 to the proxy client station 235 generate the request / sim / challenge 560 to the SIM client station 230 forwards.
Die SIM-Client-Station 230 kann den MAC überprüfen 565 und kann einen GSM-Algorithmus für den RAND ausführen, um eine SRES und ein MAC2 zu erzeugen. Wiederum kann das HLR/AuC mit einem GSM-Netzwerk verknüpft sein. Sobald verifiziert, kann die SIM-Client-Station 230 eine Antwort 570 auf die Anfrage/SIM/Herausforderung erzeugen, die den MAC2 beinhaltet. Das bedeutet, dass die SIM-Client-Station 230 die Antwort/SIM/Herausforderung 570 erzeugen kann, die den MAC2 beinhaltet, und die nach EAP definiert ist. Die SIM-Client-Station 230 kann die Antwort/SIM/Herausforderung 570 an die Proxy-Client-Station 235 übertragen, welche die Antwort/SIM/Herausforderung an den AAA-Server 215 weiterleitet.The SIM client station 230 can check the MAC 565 and may execute a GSM algorithm for the RAND to generate an SRES and a MAC2. Again, the HLR / AuC can be linked to a GSM network. Once verified, the SIM client station can 230 an answer 570 to generate the request / SIM / challenge that includes the MAC2. That means the SIM client station 230 the answer / SIM / challenge 570 which includes the MAC2 and which is defined by EAP. The SIM client station 230 may be the answer / sim / challenge 570 to the proxy client station 235 transmit the response / SIM / challenge to the AAA server 215 forwards.
Wenn der AAA-Server 215 die Antwort/SIM/Herausforderung 575 mit der MAC2 empfangt, überprüft 580 der AAA-Server 215 den MAC2, um das Authentifikationsverfahren zu vervollständigen. Insbesondere kann der AAA-Server 215 eine Bestätigung 585 übertragen, dass das Authentifikationsverfahren erfolgreich war. Zu diesem Zeitpunkt kann die Proxy-Client-Station 235 mit dem WiFi-Netzwerk 205 verbunden sein und Kommunikationen 590 können zwischen der Proxy-Client-Station 235 und dem WiFi-Netzwerk 205 durchgeführt werden. Zur Vervollständigung und um die SIM-Client-Station 230 zu benachrichtigen, kann die Proxy-Client-Station 135 die Erfolgsbestätigung an die SIM-Client-Stationen 230 weiterleiten.If the AAA server 215 the answer / SIM / challenge 575 with the MAC2 received, checked 580 the AAA server 215 the MAC2 to complete the authentication process. In particular, the AAA server can 215 a confirmation 585 transmit that the authentication process was successful. At this time, the proxy client station 235 with the wifi network 205 be connected and communications 590 can be between the proxy client station 235 and the WiFi network 205 be performed. To complete and to the SIM client station 230 to notify the proxy client station 135 the confirmation of success to the SIM client stations 230 hand off.
Es sollte beachtet werden, dass die obigen Signalisierungsdiagramme 400, 500 einschließlich der verschiedenen Schritte nur beispielhaft sind. Der Fachmann wird verstehen, dass das Authentifikationsverfahren jede Anzahl von Schritten beinhalten kann. Zum Beispiel kann die Authentifikation nicht nur erfordern, dass die SIM-Berechtigungsnachweisinformationen für eine Verbindung mit dem WiFi-Netzwerk 205 bereitgestellt werden ohne eine anschließende Herausforderung. In solch einer Ausführungsform kann die Proxy-Client-Station 235 die SIM-Berechtigungsnachweisinformationen der SIM-Client-Station 230 in der Speicheranordnung vorspeichern. Demzufolge kann die Proxy-Client-Station 235 eine Verknüpfungsanfrage übertragen und kann die Identitätsanfrage von dem WiFi-Netzwerk 205 empfangen, wobei die SIM-Berechtigungsnachweisinformationen weitergeleitet werden können ohne zu erfordern, dass die SIM-Client-Station 230 danach abgefragt wird.It should be noted that the above signaling diagrams 400 . 500 including the various steps are only examples. One skilled in the art will understand that the authentication method may involve any number of steps. For example, the authentication may not only require the SIM credential information to connect to the WiFi network 205 be provided without a subsequent challenge. In such an embodiment, the proxy client station 235 the SIM credentials information of the SIM client station 230 pre-store in the memory arrangement. As a result, the proxy client station 235 transmit a link request and can request the identity from the WiFi network 205 receive, wherein the SIM credential information can be forwarded without requiring that the SIM client station 230 is queried afterwards.
Die beispielhaften Ausführungsformen stellen ein System und ein Verfahren bereit zum Verwenden von Berechtigungsnachweisinformationen einer ersten Client-Station, um eine zweite Client-Station zu authentifizieren, so dass die zweite Client-Station sich mit einem Netzwerk verbinden kann, mit dem die erste Client-Station erlaubt ist, sich zu verbinden unter Verwendung der Berechtigungsnachweisinformationen. Die erste und die zweite Client-Station können gepaart sein, so dass die zweite Client-Station eine autorisierte Vorrichtung ist, der es erlaubt ist, die Berechtigungsnachweisinformationen zu verwenden. Die erste Client-Station kann Identifikationsinformationen, die für die Client-Station spezifisch sind, beinhalten, die die Berechtigungsnachweisinformationen erzeugen. Die zweite Client-Station kann diese Berechtigungsnachweisinformationen nicht aufweisen. Weiterhin kann die erste Client-Station die einzige Vorrichtung sein, die eingerichtet ist, um korrekt auf eine Herausforderungsanfrage zu antworten. Das bedeutet, dass die zweite Client-Station nicht korrekt antworten kann.The exemplary embodiments provide a system and method for using credential information of a first client station to authenticate a second client station so that the second client station can connect to a network to which the first client station is allowed to connect using the credential information. The first and second client stations may be paired so that the second client station is an authorized device that is allowed to use the credential information. The first client station may include identification information specific to the client station that generates the credential information. The second client station can not have this credential information. Furthermore, the first client station may be the only device configured to respond correctly to a challenge request. This means that the second client station can not respond correctly.
Daher kann die zweite Client-Station eine Verknüpfungsanfrage mit dem Netzwerk einleiten. Nach dem Ausführen dieses Schrittes kann die zweite Client-Station als eine Proxy-Vorrichtung agieren, die Daten zwischen der ersten Client-Station und dem Netzwerk austauscht, damit das Authentifikationsverfahren ausgeführt wird. Wenn das Authentifikationsverfahren abgeschlossen ist, kann die zweite Client-Station sich erfolgreich mit dem Netzwerk verbinden unter Verwendung der Berechtigungsnachweise der ersten Client-Station.Therefore, the second client station can initiate a link request to the network. After performing this step, the second client station may act as a proxy device, exchanging data between the first client station and the network to perform the authentication procedure. When the authentication process is complete, the second client station can successfully connect to the network using the credentials of the first client station.
Der Fachmann wird verstehen, dass die zuvor beschriebenen beispielhaften Ausführungsformen mit jeder geeigneten Software oder Hardwarekonfiguration oder Kombinationen davon implementiert werden können. Eine beispielhafte Hardware-Plattform zum Implementieren der beispielhaften Ausführungsformen kann z. B. eine Intel x86-basierte Plattform mit kompatiblen Betriebssystemen, eine Mac-Plattform, MAC OS, iOS, Android OS usw. sein. In einem weiteren Beispiel können die beispielhaften Ausführungsformen der zuvor beschriebenen Verfahren als ein Programm ausgeführt sein, welches Codezeilen beinhaltet, die auf einem nichtflüchtigen computerlesbaren Speichermedium gespeichert sind, welche, wenn sie kompiliert werden, von einem Prozessor oder Mikroprozessor ausgeführt werden können.Those skilled in the art will understand that the exemplary embodiments described above may be implemented with any suitable software or hardware configuration or combinations thereof. An example hardware platform for implementing the example embodiments may be e.g. For example, an Intel x86-based platform with compatible operating systems, a Mac platform, MAC OS, iOS, Android OS, and so on. In another example, the exemplary embodiments of the methods described above may be embodied as a program that includes lines of code stored on a non-transitory computer-readable storage medium that, when compiled, may be executed by a processor or microprocessor.
Es wird dem Fachmann offensichtlich sein, dass verschiedene Modifikationen an der vorliegenden Erfindung vorgenommen werden können, ohne sich von dem Geist und dem Umfang der Erfindung zu entfernen. Demzufolge ist es beabsichtigt, dass die vorliegende Erfindung Modifikationen und Variationen dieser Erfindung abdeckt, vorausgesetzt sie kommen innerhalb des Umfangs der angehängten Ansprüche und ihrer Äquivalente.It will be apparent to those skilled in the art that various modifications can be made to the present invention without departing from the spirit and scope of the invention. Accordingly, it is intended that the present invention cover modifications and variations of this invention provided they come within the scope of the appended claims and their equivalents.
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte Nicht-PatentliteraturCited non-patent literature
-
IEEE 802.11a/b/g/n/ac [0025] IEEE 802.11a / b / g / n / ac [0025]
-
IEEE 802.11 [0036] IEEE 802.11 [0036]
-
Standard IEEE 802.1X [0036] Standard IEEE 802.1X [0036]
