DE102015201433B4 - System and method for using credentials of a first client station to authenticate a second client station - Google Patents
System and method for using credentials of a first client station to authenticate a second client station Download PDFInfo
- Publication number
- DE102015201433B4 DE102015201433B4 DE102015201433.9A DE102015201433A DE102015201433B4 DE 102015201433 B4 DE102015201433 B4 DE 102015201433B4 DE 102015201433 A DE102015201433 A DE 102015201433A DE 102015201433 B4 DE102015201433 B4 DE 102015201433B4
- Authority
- DE
- Germany
- Prior art keywords
- client station
- network
- request
- sim
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/40—Security arrangements using identity modules
- H04W12/43—Security arrangements using identity modules using shared identity modules, e.g. SIM sharing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
Verfahren, umfassend:
bei einer Client-Station (235):
Einloggen in einen Account, der die Client-Station (235) mit einer weiteren Client-Station (230) verknüpft, wobei das Einloggen in den Account die Client-Station (235) autorisiert, Berechtigungsnachweisinformationen der weiteren Client-Station (230) zu verwenden;
Empfangen von Informationen von dem Account, die Netzwerke beinhalten, für welche die Berechtigungsnachweisinformationen verwendet werden, um sich mit ihnen zu verbinden;
Übertragen einer Verknüpfungsanfrage an ein Netzwerk (205);
Empfangen einer Identifikationsanfrage von dem Netzwerk (205);
Übertragen der Identifikationsanfrage an die weitere Client-Station (230),
wobei die weitere Client-Station (230) die Berechtigungsnachweisinformationen beinhaltet, wobei die Client-Station (235) und die weitere Client-Station (230) miteinander verknüpft werden, so dass die
Berechtigungsnachweisinformationen autorisiert sind, um von der Client-Station (235) verwendet zu werden;
Empfangen einer Identifikationsantwort von der weiteren Client-Station (230),
wobei die Identifikationsantwort erzeugt wird als eine Funktion der Berechtigungsnachweisinformationen der weiteren Client-Station (230);
Übertragen der Identifikationsantwort an das Netzwerk (205); und
Einrichten einer Verbindung zwischen der Client-Station (235) und dem Netzwerk (205) unter Verwendung der Berechtigungsnachweisinformationen
der weiteren Client-Station (230).
at a client station (235):
Logging into an account that associates the client station (235) with another client station (230), wherein logging into the account authorizes the client station (235) to use the other client station's (230) credential information ;
receiving information from the account including networks for which the credentials information is used to connect to them;
transmitting a link request to a network (205);
receiving an identification request from the network (205);
Transmission of the identification request to the further client station (230),
wherein the further client station (230) includes the credential information, wherein the client station (235) and the further client station (230) are linked together so that the
credential information is authorized to be used by the client station (235);
receiving an identification response from the further client station (230),
wherein the identification response is generated as a function of the credential information of the further client station (230);
transmitting the identification response to the network (205); and
establishing a connection between the client station (235) and the network (205) using the credential information
the further client station (230).
Description
Aufnahme durch Verweis/PrioritätsbeanspruchungInclusion by reference/priority claim
Diese Anmeldung beansprucht die Priorität der vorläufigen US-Anmeldung Seriennr. 61/937,194 mit dem Titel „System and Method for Using Credentials of a First Station to Authenticate a Second Station“ (System und Verfahren zum Verwenden von Berechtigungsnachweisen einer ersten Station, um eine zweite Station zu authentifizieren), eingereicht am 7. Februar 2014, und der vorläufigen US-Anmeldung Seriennr. 62/005,933 mit dem Titel „System and Method for Using Credentials of a first Station to Authenticate a Second Station“ (System und Verfahren zum Verwenden von Berechtigungsnachweisen einer ersten Station, um eine zweite Station zu authentifizieren), eingereicht am 30. Mai 2014, welche beide hierin durch Verweis in ihrer Gesamtheit aufgenommen sind.This application claims priority to US provisional application serial no. 61/937,194, entitled "System and Method for Using Credentials of a First Station to Authenticate a Second Station," filed February 7, 2014; and US provisional application serial no. 62/005,933, entitled "System and Method for Using Credentials of a first Station to Authenticate a Second Station," filed May 30, 2014; both of which are incorporated herein by reference in their entirety.
Hintergrundbackground
Ein Client kann konfiguriert sein, um sich mit einer Vielzahl verschiedener Netzwerke zu verbinden auf der Grundlage der Hardware- und Softwarekonfigurationen davon. Zum Beispiel kann sich die Client-Station mit einem zellulären Netzwerk verbinden, wenn die Client-Station einen Sendeempfänger beinhaltet, der eingerichtet ist, um auf Frequenzbändern des zellulären Netzwerks betrieben zu werden. In einem anderen Beispiel kann sich die Client-Station mit einem WiFi-Netzwerk verbinden, wenn die Client-Station denselben Sendeempfänger beinhaltet, der weiterhin eingerichtet ist, um in den Frequenzbändern des WiFi-Netzwerks betrieben zu werden, oder einen weiteren Sendeempfänger, der eingerichtet ist, um in den Frequenzbändern des WiFi-Netzwerks betrieben zu werden. Das WiFi-Netzwerk kann ein HotSpot sein, der oft von einem Mobilfunkanbieter bereitgestellt wird. Der Hotspot kann von der Client-Station ein Authentifikationsverfahren verlangen, um sich damit zu verbinden. Zum Beispiel kann ein Benutzer der Client-Station einen vorregistrierten Login und ein Passwort als Teil der Authentifikation übertragen. Ein Server des Hotspots kann ebenso die Client-Station unter der Verwendung von Berechtigungsnachweisen davon authentifizieren. A client can be configured to connect to a variety of different networks based on the hardware and software configurations thereof. For example, the client station may connect to a cellular network if the client station includes a transceiver configured to operate on cellular network frequency bands. In another example, the client station may connect to a WiFi network if the client station includes the same transceiver that is further configured to operate in the WiFi network's frequency bands or another transceiver that is configured is to operate in the WiFi network frequency bands. The WiFi network can be a HotSpot, often provided by a cellular service provider. The hotspot may require an authentication procedure from the client station in order to connect to it. For example, a user of the client station can transmit a pre-registered login and password as part of the authentication. A server of the hotspot can also authenticate the client station using credentials from it.
Insbesondere können Informationen, die einer Teilnehmer-Identifikationsmodul-(Subscriber Identity Module, SIM)-Karte der Client-Station entsprechen, verwendet werden, da diese Informationen für diese eindeutig sind.In particular, information corresponding to a Subscriber Identity Module (SIM) card of the client station can be used since this information is unique to it.
J. V. Franklin, K. Paramasivam: Enhanced Authentication Protocol for Improving Security in 3GPP LTE Networks, in International Conference an Information and Network Technology, 2011, vol. 4, pp. 28 to 33 beschreibt ein Protokoll, dass Elliptic Curve Doffie-Hellman (ECDH) mit einem Kryptosystem mit symmetrischem Schlüssel verwendet, um Schwachstellen im Extensible Authentication Protocol-Authentication and Key Agreement (EAP-AKA) zu überwinden.Franklin JV, Paramasivam K: Enhanced Authentication Protocol for Improving Security in 3GPP LTE Networks, in International Conference on Information and Network Technology, 2011, vol. 4, pp. 28 to 33 describes a protocol that uses Elliptic Curve Doffie-Hellman (ECDH) with a symmetric key cryptosystem to overcome weaknesses in Extensible Authentication Protocol-Authentication and Key Agreement (EAP-AKA).
Zusammenfassungsummary
Die Erfindung wird durch die unabhängigen Ansprüche definiert. Bevorzugte Ausführungen werden durch die abhängigen Ansprüche beschrieben.The invention is defined by the independent claims. Preferred embodiments are described by the dependent claims.
In einem Beispiel führt eine Station ein Verfahren aus. Das Verfahren beinhaltet das Übertragen einer Verknüpfungsanfrage an ein Netzwerk, Empfangen einer Identifikationsanfrage von dem Netzwerk, Übertragen der Identifikationsanfrage an eine weitere Client-Station, wobei die weitere Client-Station Berechtigungsnachweisinformationen beinhaltet, wobei die Client-Station und die weitere Client-Station miteinander verknüpft werden, so dass die Berechtigungsnachweisinformationen autorisiert sind, um von der Client-Station verwendet zu werden, Empfangen einer Identifikationsantwort von der weiteren Client-Station, wobei die Identifikationsantwort als eine Funktion der Berechtigungsnachweisinformationen der weiteren Client-Station erzeugt werden, Übertragen der Identifikationsantwort an das Netzwerk und Einrichten einer Verbindung zwischen der Client-Station und dem Netzwerk unter Verwendung der Berechtigungsnachweisinformationen der weiteren Client-Station.In one example, a station is executing a method. The method includes transmitting an association request to a network, receiving an identification request from the network, transmitting the identification request to another client station, the other client station including credential information, wherein the client station and the other client station associate such that the credential information is authorized to be used by the client station, receiving an identification response from the other client station, the identification response being generated as a function of the credential information of the other client station, transmitting the identification response to the network and establishing a connection between the client station and the network using the credentials information of the other client station.
In einem weiteren Beispiel beinhaltet eine Client-Station einen Sendeempfänger und einen Prozessor. Der Sendeempfänger und der Prozessor sind eingerichtet, um eine Verbindung mit einem Netzwerk einzurichten durch Übertragen einer Verknüpfungsanfrage an ein Netzwerk, Empfangen einer Identifikationsanfrage von dem Netzwerk, Übertragen der Identifikationsanfrage an eine weitere Client-Station, wobei die weitere Client-Station Berechtigungsnachweisinformationen beinhaltet, wobei die Client-Station und die weitere Client-Station miteinander verknüpft werden, so dass die Berechtigungsnachweisinformationen autorisiert sind von der Client-Station verwendet zu werden, Empfangen einer Identifikationsantwort von der weiteren Client-Station, wobei die Identifikationsantwort als eine Funktion der Berechtigungsnachweisinformationen der weiteren Client-Station erzeugt wird, Übertragen der Identifikationsantwort an das Netzwerk und Einrichten einer Verbindung zwischen der Client-Station und dem Netzwerk unter Verwendung der Berechtigungsnachweisinformationen der weiteren Client-Station.In another example, a client station includes a transceiver and a processor. The transceiver and processor are configured to interface with a establish a network by transmitting an association request to a network, receiving an identification request from the network, transmitting the identification request to a further client station, the further client station including authentication information, the client station and the further client station being linked together such that the credential information is authorized to be used by the client station, receiving an identification response from the other client station, wherein the identification response is generated as a function of the credential information of the other client station, transmitting the identification response to the network, and setting up a connection between the client station and the network using the credentials information of the other client station.
In einem weiteren Beispiel führt eine Client-Station ein weiteres Verfahren aus. Das Verfahren beinhaltet das Empfangen einer Identifikationsanfrage von einer weiteren Client-Station, um sich mit einem Netzwerk zu verbinden, wobei die Identifikationsanfrage durch das Netzwerk erzeugt wird, wobei die Client-Station und die weitere Client-Station miteinander verknüpft werden, so dass die Berechtigungsnachweisinformationen, die für die Client-Station eindeutig sind, von der weiteren Client-Station autorisiert werden, um von der weiteren Client-Station verwendet zu werden, um sich mit dem Netzwerk zu verbinden, Erzeugen einer Identifikationsantwort auf die Identifikationsanfrage, wobei die Identifikationsantwort eine Funktion der Berechtigungsnachweisinformationen ist, und Übertragen der Identifikationsantwort an die weitere Client-Station, wobei die Identifikationsantwort von der weiteren Client-Station an das Netzwerk weitergeleitet wird.In another example, a client station performs another method. The method includes receiving an identification request from another client station to connect to a network, the identification request being generated by the network associating the client station and the other client station with one another such that the credential information , which are unique to the client station, are authorized by the further client station to be used by the further client station to connect to the network, generating an identification response to the identification request, the identification response having a function the credential information, and transmitting the identification response to the further client station, the identification response being forwarded from the further client station to the network.
In einem anderen Beispiel wird ein Verfahren von einer ersten Client-Station, einer zweiten Client-Station und einem Netzwerk, mit dem sich die Client-Stationen verbinden können, ausgeführt. Das Verfahren beinhaltet ein Verknüpfen einer ersten Client-Station mit einer zweiten Client-Station, wobei die erste Client-Station Berechtigungsnachweisinformationen beinhaltet, die für die erste Client-Station spezifisch sind, wobei das Verknüpfen das Autorisieren der zweiten Client-Station beinhaltet, um die Berechtigungsnachweisinformationen zu verwenden, Übertragen, von der zweiten Client-Station, einer Verknüpfungsanfrage an ein Netzwerk, wobei das Netzwerk die Berechtigungsnachweisinformationen verwendet, um eine Verbindung damit zu autorisieren, wobei die zweite Client-Station eingerichtet ist, um eine Proxy-Funktionalität für Anfragen, die von dem Netzwerk empfangen werden, um an die erste Client-Station weitergeleitet zu werden und für Antworten, die von der ersten Client-Station empfangen werden, um an das Netzwerk weitergeleitet zu werden, ausführt, Bestimmen, durch das Netzwerk, ob die Berechtigungsnachweisinformationen, die von der zweiten Client-Station empfangen worden sind, authentifiziert sind und Einrichten einer Verbindung zwischen der zweiten Client-Station und dem Netzwerk unter Verwendung der Berechtigungsnachweisinformationen der ersten Client-Station.In another example, a method is performed by a first client station, a second client station, and a network to which the client stations can connect. The method includes associating a first client station with a second client station, the first client station including credential information specific to the first client station, wherein the associating includes authorizing the second client station to using credential information, transmitting, from the second client station, an association request to a network, the network using the credential information to authorize a connection thereto, the second client station being arranged to provide proxy functionality for requests, received from the network to be forwarded to the first client station and for replies received from the first client station to be forwarded to the network, determining, by the network, whether the credentials information , which have been received from the second client station are authenticated and establishing a connection between the second client station and the network using the credential information of the first client station.
Figurenlistecharacter list
-
1 zeigt eine beispielhafte Netzwerkanordnung.1 shows an example network arrangement. -
2 zeigt eine beispielhafte Netzwerkanordnung, um Berechtigungsnachweise einer ersten Client-Station zu verwenden, um eine zweite Client-Station zum Verbinden mit einem Netzwerk zu authentifizieren.2 Figure 12 shows an example network arrangement for using credentials of a first client station to authenticate a second client station for connecting to a network. -
3 zeigt eine beispielhafte Client-Station, die eingerichtet ist, um sich mit einem Netzwerk unter Verwendung von Berechtigungsnachweisen einer weiteren Client-Station zu verbinden.3 Figure 12 shows an example client station set up to connect to a network using another client station's credentials. -
4 zeigt ein erstes beispielhaftes Signalisierungsdiagramm, um Berechtigungsnachweise einer ersten Client-Station zu verwenden, um eine zweite Client-Station für ein Verbinden mit einem Netzwerk zu authentifizieren.4 12 shows a first example signaling diagram for using credentials of a first client station to authenticate a second client station for connecting to a network. -
5 zeigt ein zweites beispielhaftes Signalisierungsdiagramm, um Berechtigungsnachweise einer ersten Client-Station zu verwenden, um eine zweite Client-Station für ein Verbinden mit einem Netzwerk zu authentifizieren.5 12 shows a second example signaling diagram for using credentials of a first client station to authenticate a second client station for connecting to a network.
Detaillierte BeschreibungDetailed description
Die beispielhaften Ausführungsformen können weiterhin verstanden werden mit Bezug zu der folgenden Beschreibung und den zugehörigen, angehängten Zeichnungen, wobei ähnliche Elemente mit denselben Bezugszeichen bereitgestellt werden. Die beispielhaften Ausführungsformen beziehen sich auf ein System und ein Verfahren zum Verwenden von Berechtigungsnachweisen einer ersten Client-Station, um eine Verbindung mit einem Netzwerk durch eine zweite Client-Station einzurichten. Insbesondere kann die erste Client-Station eine SIM-Karte aufweisen, die eindeutige Berechtigungsnachweisinformationen beinhaltet, die es der ersten Client-Station ermöglichen, sich mit dem Netzwerk zu verbinden. Die beispielhaften Ausführungsformen stellen einen Mechanismus für die zweite Client-Station bereit, um als eine Proxy-Vorrichtung zu agieren, um Anfragen und Antworten zwischen der ersten Client-Station und dem Netzwerk weiterzuleiten, aber um schließlich die Verbindung zwischen dem Netzwerk und der zweiten Client-Station einzurichten.The exemplary embodiments can be further understood with reference to the following description and associated attached drawings, wherein like elements are provided with the same reference numbers. The example embodiments relate to a system and method for using credentials of a first client station to establish a connection to a network through a second client station. In particular, the first client station may have a SIM card that includes unique credential information that enables the first client station to connect to the network. The exemplary embodiments provide a mechanism for the second client station to act as a proxy device to forward requests and responses between the first client station and the network, but ultimately the connection between the network and the second client set up station.
Jede der Client-Stationen 110 bis 114 kann eingerichtet sein, um direkt mit einem oder mehreren Netzwerken zu kommunizieren. In diesem Beispiel sind die Netzwerke, mit denen die Client-Stationen 110 bis 114 kommunizieren können, ein altes Hochfrequenz-Zugriffsnetzwerk (Radio Access Network, RAN) 120, ein langfristiges Evolutionshochfrequenz-Zugriffsnetzwerk (Long Term Evolution Radio Access, LTE-RAN)-Netzwerk 122 und ein drahtloses lokales Netzwerk (Wireless Local Area Network, WLAN) 124. In diesem Beispiel ist jedes der Netzwerke 120 bis 124 ein drahtloses Netzwerk, mit dem die Client-Stationen 110 bis 114 drahtlos kommunizieren können. Jedoch sollte verstanden werden, dass die Client-Stationen 110 bis 114 ebenso mit anderen Arten von Netzwerken unter Verwendung einer drahtgebundenen Verbindung kommunizieren können. Es sollte auch verstanden werden, dass nicht alle der Client-Stationen 110 bis 114 direkt mit jedem der Netzwerke 120 bis 124 kommunizieren können. Zum Beispiel kann die Client-Station 114 keinen LTE-Chipsatz aufweisen und kann demzufolge die Fähigkeit mit dem LTE-RAN 122 zu kommunizieren nicht aufweisen. Wieder ist die Verwendung von drei (3) Netzwerken nur beispielhaft und es kann jede andere Anzahl von Netzwerken geben, mit denen die Client-Stationen 110 bis 114 kommunizieren können.Each of the client stations 110-114 may be configured to communicate directly with one or more networks. In this example, the networks with which the client stations 110-114 can communicate are a legacy radio access network (RAN) 120, a Long Term Evolution radio access network (LTE-RAN)- network 122 and a wireless local area network (WLAN) 124. In this example, each of networks 120-124 is a wireless network with which client stations 110-114 can communicate wirelessly. However, it should be understood that the client stations 110-114 can also communicate with other types of networks using a wired connection. It should also be understood that not all of the client stations 110-114 can communicate directly with each of the networks 120-124. For example, the
Das alte RAN 120 und das LTE-RAN 122 sind Teile eines zellulären Netzwerks, das von Mobilfunkanbietern eingesetzt werden kann (z.B. Verizon, AT&T, Sprint, T-Mobile, usw.). Diese Netzwerke 120 und 122 können z.B. Basisstationen beinhalten (Node Bs, eNodeBs, HeNBs, usw.), die eingerichtet sind, Datenverkehr an die Client-Stationen zu senden und von ihnen zu empfangen, die mit dem entsprechenden zellulären Chipsatz ausgerüstet sind. Beispiele für das alte RAN können diese Netzwerke beinhalten, die im Allgemeinen als 2G- und/oder 3G-Netzwerke bezeichnet werden und können leitungsvermittelte Sprachanrufe und paketvermittelte Datenoperationen beinhalten. Der Fachmann wird verstehen, dass die Mobilfunkanbieter ebenso andere Arten von Netzwerken einsetzen können, einschließlich weiterer Weiterentwicklungen der zellulären Standards, innerhalb ihrer zellulären Netzwerke. Das WLAN 124 kann jede Art von drahtlosen lokalen Netzwerken beinhalten (WiFi, Hot Spot, IEEE 802.11X Netzwerke usw.). Der Fachmann wird verstehen, dass es Tausende, Hunderttausende oder mehr unterschiedliche WLANs geben kann, die allein nur in den USA eingesetzt werden. Zum Beispiel kann das WLAN 124 das Heimnetzwerk des Benutzers sein, das Arbeitsnetzwerk des Benutzers sein, ein öffentliches Netzwerk sein (z.B. in einem Stadtpark, Cafe usw.). Im Allgemeinen wird das WLAN 124 einen oder mehrere Zugangspunkte beinhalten, die es den Client-Stationen 110-114 erlauben, mit dem WLAN 124 zu kommunizieren.Legacy RAN 120 and LTE RAN 122 are parts of a cellular network that can be deployed by cellular carriers (e.g., Verizon, AT&T, Sprint, T-Mobile, etc.). These
Zusätzlich zu den Netzwerken 120 bis 124 beinhaltet die Netzwerkanordnung ebenso ein zelluläres Kernnetzwerk 130 und das Internet 140. Das zelluläre Kernnetzwerk 130, das alte RAN 120 und das LTE-RAN 122 können als ein zelluläres Netzwerk betrachtet werden, das mit einem bestimmten Mobilfunkanbieter verbunden ist (z.B. Verizon, AT&T, Sprint, T-Mobile usw.). Das zelluläre Kernnetzwerk 130 kann als der untereinander verbundene Satz von Komponenten betrachtet werden, der die Handlungen und den Datenverkehr des zellulären Netzwerkes verwaltet. Die untereinander verbundenen Komponenten des Kernnetzwerks 130 können jede Anzahl von Komponenten beinhalten, wie z.B. Server, Switches, Router usw. Das zelluläre Kernnetzwerk 130 verwaltet ebenso den Datenverkehr, der zwischen dem zellulären Netzwerk und dem Internet 140 verläuft.In addition to the networks 120-124, the network arrangement also includes a
Die Netzwerkanordnung 100 beinhaltet ebenso ein IP-Multimedia-Untersystem (IP Multimedia Subsystem, IMS) 150. Das IMS 150 kann im Allgemeinen als eine Architektur zum Liefern von Multimediadiensten an die Client-Stationen 110 bis 114 unter Verwendung des IP-Protokolls beschrieben werden. Das IMS 150 kann eine Vielzahl von Komponenten beinhalten, um diese Aufgabe zu erfüllen. Zum Beispiel beinhaltet ein typisches IMS 150 einen Heim-Teilnehmer-(Home Subscriber, HS)-Server, der Teilnahmeinformationen eines Benutzers der Client-Stationen 110 bis 114 speichert. Diese Teilnahmeinformationen werden verwendet, um dem Benutzer die richtigen Multimedia-Dienste bereitzustellen. Andere beispielhafte Komponenten des IMS 150 werden nachfolgend beschrieben werden, soweit benötigt. Das IMS 150 kann mit dem zellulären Kernnetzwerk 130 und dem Internet 140 kommunizieren, um den Client-Stationen 110 bis 114 Multimediadienste bereitzustellen. Das IMS 150 wird in unmittelbarer Nähe zu dem zellulären Kernnetzwerk 130 gezeigt, weil der Mobilfunkanbieter typischerweise die Funktionalität des IMS 150 implementiert. Jedoch muss dies nicht der Fall sein. Das IMS 150 kann von einer anderen Partei bereitgestellt werden. The network arrangement 100 also includes an IP multimedia subsystem (IMS) 150. The
Daher ermöglicht die Netzwerkanordnung 100 den Client-Stationen 110 bis 114 Funktionen auszuführen, die im Allgemeinen mit Computern und zellulären Netzwerken verbunden sind. Zum Beispiel können die Client-Stationen 110 bis 114 Anrufe an andere Parteien ausführen, im Internet 140 nach Informationen surfen, Multimediadaten an die Client-Vorrichtungen 110 bis 114 streamen usw.Thus, network arrangement 100 enables client stations 110-114 to perform functions generally associated with computer and cellular networks. For example, client stations 110-114 may make calls to other parties, surf the
Jedoch, wie zuvor beschrieben, muss nicht jede Client-Station 110 bis 114 dieselben Kommunikationsfähigkeiten mit den Netzwerken 120, 122, 124, 130, 140 aufweisen. Dieser Mangel an Kommunikation mit einem oder mehreren Netzwerken kann an den Fähigkeiten der Client-Vorrichtung 110 bis 114 liegen, z.B. beinhaltet die Client-Vorrichtung keinen zellulären Chip, oder kann an einer Beschränkung des Netzwerks liegen, z.B. weist ein zelluläres Netzwerk keine Basisstation innerhalb der Reichweite der Client-Station auf. Dieser Mangel an Kommunikation mit einem oder mehreren Netzwerken kann dazu führen, dass die Client-Station nicht in der Lage ist, von den Funktionalitäten Gebrauch zu machen, die über eines oder mehrere der Netzwerke verfügbar sind.However, as previously described, not every client station 110-114 need have the same communication capabilities with
Zusätzlich zu den bereits beschriebenen Elementen beinhaltet die Netzwerkanordnung 100 ebenso ein Netzwerkdienste-Backbone 160, welches entweder direkt oder indirekt in Kommunikation mit dem Internet 140 und dem zellulären Kernnetzwerk 130 befindet. Das Netzwerkdienste-Backbone 160 kann im Allgemeinen als ein Satz von Komponenten (z.B. Server, Netzwerkspeicheranordnungen usw.) beschrieben werden, die eine Folge von Diensten implementieren, die verwendet werden können, um die Funktionalitäten der Client-Stationen 110 bis 114 in Kommunikation mit den verschiedenen Netzwerken zu erweitern. Diese Erweiterungen können die Funktionalitäten beinhalten, auf die die Client-Vorrichtung 110 bis 114 keinen Zugriff hat aufgrund der Beschränkungen der Vorrichtung und/oder des Netzwerks, von denen einige Beispiele zuvor beschrieben worden sind. Das Netzwerkdienste-Backbone 160 interagiert mit den Client-Vorrichtungen 110 bis 114 und/oder den Netzwerken 120, 122, 124, 130, 140, um diese erweiterten Funktionalitäten bereitzustellen.In addition to the elements already described, the network arrangement 100 also includes a
Das Netzwerkdienste-Backbone 160 kann von jeder Einheit oder einem Satz von Einheiten bereitgestellt werden. In einem Beispiel wird das Netzwerkdienste-Backbone 160 von dem Lieferanten der einen oder der mehreren der Client-Stationen 110 bis 114 bereitgestellt. In einem anderen Beispiel wird das Netzwerkdienste-Backbone 160 von dem Mobilfunkanbieter bereitgestellt. In noch einem weiteren Beispiel wird das Netzwerkdienste-Backbone 160 von einem Drittanbieter bereitgestellt, der nicht in Beziehung zu den Mobilfunkanbietern oder dem Lieferanten der Client-Stationen 110 bis 114 steht.The
Die hierin beschriebenen beispielhaften Ausführungsformen stellen ein Beispiel von unterschiedlichen Typen von Funktionalitäten bereit, die zu einer Client-Station 110 bis 114 erweitert werden können, und stellen ebenso ein Beispiel von Komponenten und Diensten bereit, die in dem Netzwerkdienste-Backbone 160 beinhaltet sein können. In diesem Beispiel wird das Netzwerkdienste-Backbone 160 verwendet, um Berechtigungsnachweise von einer ersten der Client-Stationen 110 bis 114 einer zweiten der Client-Stationen 110 bis 114 bereitzustellen, um auf ein Netzwerk zuzugreifen. Jedoch sollte verstanden werden, dass das Netzwerkdienste-Backbone 160 viele andere Komponenten und Dienste beinhalten kann, die verwendet werden können, um die Handlungen der Client-Stationen 110 bis 114 und der Netzwerke zu erweitern.The example embodiments described herein provide an example of different types of functionality that may be extended to a client station 110-114 and also provide an example of components and services that may be included in the
Einer der Dienste, die von dem Netzwerkdienste-Backbone 160 bereitgestellt werden kann, kann sein, Verknüpfungen zwischen den unterschiedlichen Client-Stationen 110 bis 114 zu speichern und zu aktualisieren. Wie zuvor beschrieben ist in diesem Beispiel jede der Client-Stationen 110 bis 114 mit demselben Benutzer verknüpft. Demzufolge kann das Netzwerkdienste-Backbone 160 Informationen speichern, die diese Verknüpfung des Benutzers mit jeder der Client-Stationen 110 bis 114 angeben und kann dann ebenso die Beziehung der Client-Stationen miteinander auf der Grundlage ihrer Verknüpfung mit dem Benutzer speichern (oder verlinken). Diese Verknüpfung zwischen Client-Stationen 110 bis 114 kann als eine der Grundlagen für das Netzwerkdienste-Backbone 160 verwendet werden, um erweiterte Handlungen der Client-Stationen 110 bis 114 bereitzustellen.One of the services that can be provided by the
Eine Client-Station (z.B. die Client-Stationen 110 bis 114) kann einen Sendeempfänger beinhalten, der eingerichtet ist, um sich mit einem WiFi-Netzwerk zu verbinden (z.B. wie durch IEEE 802.11a/b/g/n/ac definiert). Das bedeutet, dass der Sendeempfänger in einem Frequenzbereich des WiFi-Netzwerks arbeiten kann. Wie zuvor beschrieben kann ein WiFi-Netzwerk eine Art des WLAN 124 sein. Demzufolge sollte der Begriff WiFi in der gesamten Beschreibung als jede Art von WLAN beinhaltend verstanden werden. Jedoch kann die Client-Station ein Authentifikationsverfahren ausführen müssen, um eine Verbindung mit dem WiFi-Netzwerk einzurichten. Daher kann die Client-Station Berechtigungsnachweisinformationen, benutzerspezifische Authentifikationsinformationen (z.B. einen Login-Namen und/oder ein Passwort), eine Kombination davon usw. an den Server des WiFi-Netzwerks übertragen, um eine Verknüpfungsanfrage zu überprüfen.A client station (eg, client stations 110-114) may include a transceiver configured to connect to a WiFi network (eg, as defined by IEEE 802.11a/b/g/n/ac). This means that the transceiver can work in a frequency range of the WiFi network. As previously described, a WiFi network may be a type of
In einem ersten Beispiel, wenn das WiFi-Netzwerk ein privates lokales Netzwerk (Local Area Network, LAN) ist, kann das Authentifikationsverfahren ein Auswählen des WiFi-Netzwerks beinhalten (insbesondere, wenn es versteckt ist) und optional ein Bereitstellen eines Passworts. Wenn die Berechtigungsnachweisinformationen an einen Server des privaten LAN übertragen und von ihm überprüft worden sind, kann ein Verknüpfungsverfahren von der Client-Station ausgeführt werden, um die Verbindung mit dem privaten LAN einzurichten.In a first example, when the WiFi network is a private local area network (LAN), the authentication method may include selecting the WiFi network (especially if it is hidden) and optionally providing a password. Once the credential information has been transmitted to and verified by a private LAN server, an association procedure can be performed by the client station to establish the connection to the private LAN.
In einem zweiten Beispiel und gemäß den beispielhaften Ausführungsformen, wenn das WiFi-Netzwerk ein HotSpot ist, kann das Authentifikationsverfahren ebenso ein Bereitstellen eines Login und/oder eines Passworts beinhalten, kann aber weiterhin ein Bereitstellen von Berechtigungsnachweisen beinhalten, die für die Client-Stationen eindeutig sind. Insbesondere können Informationen, die der SIM-Karte der Client-Station entsprechen, verwendet werden. Der HotSpot kann durch einen Mobilfunkanbieter bereitgestellt werden. Das bedeutet, dass der Mobilfunkanbieter verschiedene HotSpot-Orte für Benutzer bereitgestellt haben kann, die sich mit dem Mobilfunkanbieter registriert haben, um Zugriff auf diese WiFi-Netzwerke zu haben. Dementsprechend kann sich die Client-Station mit dem zellulären Netzwerk und den WiFi-Netzwerken verbinden, die von dem Mobilfunkanbieter bereitgestellt werden. Eine Art des Überprüfens, dass der Benutzer, der mit dem Mobilfunkanbieter registriert ist, ebenso versucht, sich mit dem HotSpot zu verbinden, der von dem Mobilfunkanbieter bereitgestellt wird, ist, die Informationen der SIM-Karte zu verwenden. Es ist jedoch ebenso möglich, ein anderes Verfahren des eindeutigen Identifizierens der Client-Stationen zu verwenden, z.B. ist es nicht nötig, dass die eindeutige Identifikation die Information einer SIM-Karte ist.In a second example and according to the exemplary embodiments, when the WiFi network is a HotSpot, the authentication method may also include providing a login and/or password, but may further include providing credentials unique to the client stations are. In particular, information corresponding to the SIM card of the client station can be used. The HotSpot can be provided by a mobile phone provider. This means that the wireless service provider may have provided different HotSpot locations for users who have registered with the wireless service provider to have access to those WiFi networks. Accordingly, the client station can connect to the cellular network and WiFi networks provided by the wireless service provider. One way of verifying that the user registered with the wireless service provider is also trying to connect to the HotSpot provided by the wireless service provider is to use the SIM card information. However, it is also possible to use another method of uniquely identifying the client stations, e.g. it is not necessary for the unique identification to be the information of a SIM card.
Hinsichtlich der Art, mit der eine Client-Station authentifiziert wird, um dem HotSpot beizutreten, ist ein Problem, das auftritt, wenn der Benutzer, der ordnungsgemäß zur Verwendung einer ersten Client-Station registriert ist, versucht, dem HotSpot mit einer zweiten Client-Station beizutreten, insbesondere wenn die zweite Client-Station keine SIM-Karte oder andere eindeutige Identifikationskomponente aufweist, die von dem Mobilfunkanbieter verwendet werden könnte, um die Authentifikation zu überprüfen. Regarding the way a client station is authenticated to join the HotSpot, one problem that arises when the user, properly registered to use a first client station, attempts to join the HotSpot with a second client station to join, particularly if the second client station does not have a SIM card or other unique identification component that could be used by the wireless service provider to verify authentication.
Zum Beispiel kann ein Benutzer eine erste Client-Station besitzen, die eine Mobilfunkfähigkeit aufweist, und die mit einem Mobilfunkanbieter über eine SIM-Karte registriert ist, die der ersten Client-Station entspricht. Der Mobilfunkanbieter kann ebenso WiFi-Netzwerke bereitstellen, wie z.B. den HotSpot für den Benutzer. Der Benutzer kann weiterhin eine zweite Client-Station besitzen, die keine Mobilfunkfähigkeit, aber eine WiFi-Fähigkeit aufweist. Dementsprechend kann die zweite Client-Station nicht mit irgendeinem Mobilfunkanbieter registriert sein, insbesondere dem Mobilfunkanbieter der ersten mobilen Client-Station. Da jedoch die zweite Client-Station die WiFi-Fähigkeit aufweist, kann die zweite Client-Station sich möglicherweise mit dem HotSpot verbinden, der WiFi-Technologie verwendet.For example, a user may have a first client station that has cellular capability and that is registered with a cellular service provider via a SIM card that corresponds to the first client station. The cellular provider can also provide WiFi networks, such as the Hotspot for the user. The user may also have a second client station that does not have cellular capability but does have WiFi capability. Accordingly, the second client station cannot be registered with any cellular provider, in particular the cellular provider of the first mobile client station. However, since the second client station has the WiFi capability, the second client station may be able to connect to the HotSpot using WiFi technology.
Wenn solch ein Szenario existiert, kann der Benutzer wünschen, die zweite Client-Station zu verwenden durch Verbinden mit dem HotSpot. Da jedoch die Berechtigungsnachweisinformationen, die der SIM-Karte entsprechen, nicht verfügbar sind, kann die zweite Client-Station nicht in der Lage sein, sich mit dem HotSpot zu verbinden, obwohl die erste Client-Station die geeigneten Berechtigungsnachweisinformationen aufweist und obwohl beide Client-Stationen demselben Benutzer gehören. Demzufolge ist es dem Benutzer, der sowohl die erste als auch die zweite Client-Station besitzt, nur erlaubt, sich unter Verwendung der ersten Client-Station mit dem HotSpot zu verbinden.If such a scenario exists, the user may wish to use the second client station by connecting to the HotSpot. However, since the credential information corresponding to the SIM card is not available, the second client station may not be able to connect to the HotSpot even though the first client station has the appropriate credential information and even though both client stations stations belong to the same user. Accordingly, the user who owns both the first and second client stations is only allowed to connect to the HotSpot using the first client station.
Die beispielhaften Ausführungsformen stellen einen Mechanismus bereit, um zwei oder mehrere Client-Stationen eines gemeinsamen Benutzers zu paaren, um sich automatisch mit einem WiFi-Netzwerk zu verbinden, das von einem Mobilfunkanbieter bereitgestellt wird, in dem die SIM-Karten-Berechtigungsnachweise verwenden werden als eine Grundlage der Authentifikation für die Verknüpfungsanfrage. Insbesondere kann die erste Client-Station, die die SIM-Karte aufweist, ihre SIM-Berechtigungsnachweise auf eine sichere Weise der zweiten Client-Station bereitstellen, die keine SIM-Karte aufweist (oder irgendeine andere Komponente, die Berechtigungsnachweisinformationen der SIM-Karte der ersten Client-Station beinhaltet). Die zweite Client-Station kann die gepaarte erste Client-Station abfragen, um die SIM-Karten-Berechtigungsnachweisinformationen abzurufen und kann ebenso weiterhin die erste Client-Station abfragen (z.B. herausfordern), um ein Authentifikationsverfahren zu vervollständigen, um sich mit dem WiFi-Netzwerk zu verbinden.The exemplary embodiments provide a mechanism to pair two or more common user client stations to automatically connect to a WiFi network provided by a wireless service provider using the SIM card credentials as a basis of authentication for the link request. In particular, the first client station that has the SIM card can provide its SIM credentials in a secure manner to the second client station that does not have a SIM card (or any other component that has credentials of the SIM card of the first client station included). The second client station may query the paired first client station to retrieve the SIM card credentials information, and may also further query (e.g., challenge) the first client station to complete an authentication process to connect to the WiFi network connect to.
Wie nachfolgend in größerem Detail beschrieben werden wird, kann das Paaren der ersten und der zweiten Client-Station eine Proxy-Funktionalität für die zweite Client-Station beinhalten. Der Fachmann wird verstehen, dass in einer Netzwerkumgebung ein Proxy eine vermittelnde Komponente sein kann, die eingerichtet ist, um Daten zwischen weiteren Komponenten zu empfangen und weiterzuleiten. Zum Beispiel können Daten von einer Client-Station an einen Netzwerkserver übertragen werden unter Verwendung eines Proxy-Servers, so dass die Daten zuerst an den Proxy-Server übertragen werden und an den Netzwerkserver weitergeleitet werden. Die zweite Client-Station kann ebenso diese Proxy-Funktionalität beinhalten sowie die Daten, die dadurch ausgetauscht werden, verwenden, um eine Verbindung mit dem WiFi-Netzwerk für sich selbst einzurichten. Insbesondere können Berechtigungsnachweisinformationen von der ersten Client-Station an den Netzwerkserver zusammen mit anderen Daten weitergegeben werden, die zwischen der ersten Client-Station und dem Netzwerkserver für eine Verknüpfungsanfrage verwendet werden. Jedoch kann sich die zweite Client-Station schließlich mit dem WiFi-Netzwerk verbinden durch Verwenden dieser Berechtigungsnachweisinformationen, die weitergegeben werden.As will be described in more detail below, the pairing of the ers ten and the second client station include a proxy functionality for the second client station. Those skilled in the art will understand that in a network environment, a proxy may be an intermediary component configured to receive and forward data between other components. For example, data can be transmitted from a client station to a network server using a proxy server, such that the data is first transmitted to the proxy server and forwarded to the network server. The second client station can also incorporate this proxy functionality and use the data exchanged thereby to establish a connection to the WiFi network for itself. In particular, credential information may be passed from the first client station to the network server along with other data used between the first client station and the network server for an association request. However, the second client station can eventually connect to the WiFi network using this credential information that is passed.
Es ist zu beachten, dass der Begriff „paaren“, der hierin verwendet wird, sich auf jede autorisierte Verknüpfung zwischen der ersten und der zweiten Client-Station bezieht. Zum Beispiel können die erste und die zweite Client-Station von einem gemeinsamen Besitzer besessen werden. Eine Art, den gemeinsamen Besitz anzugeben, ist eine Verbindung zu einem Cloud-Netzwerk unter Verwendung eines gemeinsamen Login-Namens und Passworts, so dass ein Cloud-Server die Vorrichtungen miteinander „paart“. Wie zuvor beschrieben, kann diese Paar-Funktionalität von dem Netzwerkdienste-Backbone 160 ausgeführt werden. Demzufolge kann der Cloud-Server in dem Netzwerkdienste-Backbone 160 beinhaltet sein. Es sollte ebenso beachtet werden, dass die Verwendung der ersten und der zweiten Client-Station nur beispielhaft ist, wobei der Begriff „paaren“ diesen Vorrichtungen entspricht. Jedoch wird der Fachmann verstehen, dass diese beispielhaften Ausführungsformen sich auf mehr als zwei Client-Stationen beziehen können, die eine autorisierte Verknüpfung aufweisen.It should be noted that the term "pair" as used herein refers to any authorized association between the first and second client stations. For example, the first and second client stations may be owned by a common owner. One way to indicate shared ownership is to connect to a cloud network using a common login name and password so that a cloud server "pairs" the devices together. As previously described, this pairing functionality can be performed by the
Wie zuvor beschrieben kann das WiFi-Netzwerk 205 in der Netzwerkanordnung 200 einen HotSpot darstellen, der Berechtigungsnachweise, die für die Client-Station spezifisch sind, verwendet, um eine Verknüpfungsanfrage zu authentifizieren. Jedoch sollte beachtet werden, dass die Verwendung eines HotSpots hierin nur beispielhaft ist, und dass das WiFi-Netzwerk 205, welches WiFi-Technologie verwendet, nur beispielhaft ist. Der Fachmann wird verstehen, dass jede Netzwerkart, die irgendeine Netzwerktechnologie verwendet, eine Authentifikationsart beinhalten kann, die Client-Stationsspezifische Informationen verwendet. Auch, wie zuvor beschrieben, können die Client-Stations-spezifischen Berechtigungsnachweise Informationen sein, die einer SIM-Karte der Client-Station entsprechen. Jedoch sollte beachtet werden, dass die Verwendung der SIM-Karte nur beispielhaft ist und jegliche Komponente darstellt, die Informationen beinhaltet, die eindeutig für eine Client-Station und/oder einen Benutzer der Client-Station sind.As previously described, the
Das WiFi-Netzwerk 205 kann eine Vielzahl von unterschiedlichen Authentifikations-Frameworks verwendet, um eine Client-Station zu authentifizieren, die eine Verknüpfungsanfrage zum Verbinden damit bereitstellt. Zum Beispiel kann das WiFi-Netzwerk 205 ein erweiterbares Authentifikationsprotokoll (Extensible Authentication Protocol, EAP) verwenden. Das EAP kann ein Authentifikations-Framework sein, das in drahtlosen Netzwerken und Punkt-zu-Punkt-Verbindungen verwendet wird. Das EAP hält ein Authentifikations-Framework bereit, das verwendet werden kann, um Nachrichtenformate für die Art des Kommunikationsprotokolls, das verwendet wird, zu definieren. Auf diese Weise kann die Vorrichtung das EAP verwenden, um Kapselungsverfahren für EAP-Nachrichten in Kommunikationen, die den gewünschten Protokolltyp verwenden, zu definieren. Das EAP kann z.B. in IEEE 802.11 verwendet werden, welches das WiFi-Netzwerk 205 definiert. In einem spezifischen Beispiel haben der WiFigeschützte-Zugriff-(WiFi Protected Access, WPA)- und der WiFi-geschützte-Zugriff-II-(WiFi Protected Access II, WPA2)-Standard IEEE 802.1X mit fünf EAP-Typen als die offiziellen Authentifikationsmechanismen angenommen.The
Der AAA-Server 215 kann eine Netzwerkkomponente sein, die für Computersicherheit verwendet wird und die eine AAA-Funktionalität ausführt. Die AAA-Funktionalität kann verwendet werden, um den Zugriff von Benutzern auf Dienste zu steuern, wie z.B. ein Verbinden mit dem WiFi-Netzwerk 205. Der AAA-Server 215 kann ebenso aufzeichnen, mit welchen Ressourcen ein Benutzer zugegriffen hat. Der AAA-Server 215 kann eine Authentifikationsfunktionalität bereitstellen, um eine Identität der Client-Station zu authentifizieren. Zum Beispiel kann die Client-Station Informationen bereitstellen, die einer spezifischen digitalen Identität entsprechen, wie z.B. einen Identifikator und die entsprechenden Berechtigungsnachweise (z.B. Passwörter, Einmal-Token, digitale Zertifikate, digitale Signaturen, Telefonnummern (anrufen/angerufen) usw.). Der AAA-Server 215 kann ebenso eine Autorisierungsfunktionalität bereitstellen, um die Client-Station zu autorisieren, eine bestimmte Aktivität auszuführen. Die Autorisierung kann z.B. von der Authentifikationsfunktionalität geerbt sein beim Einloggen in eine Anwendung oder einen Dienst. Andere Beispiele der Autorisierungsfunktionalität können auf unterschiedlichen Beschränkungen basieren (z.B. Tageszeitpunktbeschränkungen, physische Ortsbeschränkungen, Beschränkungen gegen mehrfachen Zugriff durch dieselbe Einheit oder denselben Benutzer usw.). Der AAA-Server 215 kann ebenso eine Kontofunktionalität bereitstellen, um die Netzwerkverwendung zu verfolgen für den Zweck der Kapazitäts- und Trendanalyse, Kostenzuweisung, Abrechnung usw. Zusätzlich kann die Kontofunktionalität Authentifikations- und Autorisierungsversuche/Fehler aufzeichnen und kann überprüfen, dass Verfahren korrekt befolgt worden sind auf der Grundlage der Kontodaten.The
Der HS-Server 220 kann Teilnahme-bezogene Informationen speichern (z.B. Teilnehmerprofile), die von dem IMS 150 verwendet werden. Der HS-Server 220 kann ebenso eine User-/Client-Station authentifizieren und autorisieren und kann auch Orts- und IP-Informationen über den Benutzer bereitstellen (d.h. den Benutzer der Proxy-Client-Station 235). Der HS-Server 220 kann im Wesentlichen ähnlich zu dem HLR/AuC 225 des Globales System für Mobile Kommunikationen-(Global System for Mobile Communications, GSM)-Netzwerk sein. Weitere Handlungen des HS-Servers 220 hinsichtlich der Authentifikations- und Autorisierungsfunktionalitäten werden nachfolgend beschrieben.
Das HLR/AuC 225 kann den HLR-Anteil und den AuC-Anteil beinhalten. Das AuC kann als eine Komponente des HLR angesehen werden. Insbesondere ist das AuC die Komponente, die eine SIM-Karte validiert, die versucht, sich mit dem WiFi-Netzwerk 205 zu verbinden. Die Sicherheit, die von dem AuC bereitgestellt wird, kann Dritte daran hindern auf Netzwerkteilnehmerdienste zuzugreifen, wie z.B. einen HotSpot-Zugriff, der den Netzwerkteilnehmern bereitgestellt wird. Das HLR beinhaltet Informationen, die mit jedem Teilnehmer verknüpft sind, der autorisiert ist, um das GSM-Netzwerk zu verwenden. Die Informationen können den eindeutigen Identifikator von jeder SIM-Karte, die von dem Mobilfunkanbieter herausgegeben worden ist, beinhalten. Sobald eine Authentifikation von dem AuC als erfolgreich bestimmt worden ist, verwaltet das HLR die SIM und die Dienste, die dieser bereitgestellt werden. Das HLR kann ebenso einen Verschlüsselungsschlüssel erzeugen, der anschließend verwendet wird, um alle drahtlosen Kommunikationen (z.B. Stimme, SMS, usw.) zwischen der Client-Station und dem GSM-Netzwerk zu verschlüsseln. Wenn die Authentifikation fehlschlägt, sind keine Dienste für die Client-Station möglich.The HLR/AuC 225 may include the HLR portion and the AuC portion. The AuC can be viewed as a component of the HLR. In particular, the AuC is the component that validates a SIM card attempting to connect to the
Es sollte beachtet werden, dass das AuC nicht direkt in den Authentifikationsprozess eingreifen kann, sondern stattdessen Daten erzeugt, die als Tripel definiert sind, zur Verwendung durch ein mobiles Vermittlungscenter (Mobile Switching Center, MSC) während des Verfahrens. Das AuC und die SIM weisen einen geteilten geheimen Schlüssel auf, der als ein Ki bezeichnet wird, welcher während der Herstellung sicher in die SIM eingebrannt wird, und der ebenso sicher auf dem AuC wiederholt ist. Dieser Ki wird mit der IMSI kombiniert, um eine Herausforderung/Antwort für Identifikationszwecke und einen Verschlüsselungsschlüssel, der als ein Kc bezeichnet wird, zur Verwendung bei Kommunikationen herzustellen. Diese besondere Ausführungsform wird nachfolgend mit mehr Detail beschrieben werden. Der Fachmann wird verstehen, dass die im Wesentlichen ähnliche Funktionalität, die von dem HS-Server 120 bereitgestellt wird, unterschiedliche Signalisierungskomponenten verwenden kann. Insbesondere kann der HS-Server 220 Quintupel verwenden.It should be noted that the AuC cannot directly intervene in the authentication process, but instead generates data, defined as triples, for use by a Mobile Switching Center (MSC) during the process. The AuC and the SIM have a shared secret key, referred to as a Ki , which is securely burned into the SIM during manufacture and is also securely replicated on the AuC. This K i is combined with the IMSI to produce a challenge/response for identification purposes and an encryption key referred to as a K c for use in communications. This particular embodiment will be described in more detail below. Those skilled in the art will understand that the substantially similar functionality provided by the
Wie oben besprochen beziehen sich die beispielhaften Ausführungsformen auf einen Benutzer, der eine erste Client-Station mit einem Mobilfunkanbieter registriert, der ebenso das WiFi-Netzwerk 205 bereitstellt und der wünscht, eine zweite Client-Station mit dem WiFi-Netzwerk 205 zu verbinden. Demzufolge können sowohl die SIM-Client-Station 230 als auch die Proxy-Client-Station 235 mit einem gemeinsamen Benutzer verknüpft sein. Obwohl nicht spezifisch hinsichtlich des Kommunikationsmechanismus gezeigt, können die SIM-Client-Station 230 und die Proxy-Client-Station 235 eingerichtet sein, um miteinander zu kommunizieren, damit Daten zwischen ihnen weitergegeben werden. Wie nachfolgend in größerem Detail beschrieben werden wird, kann die Proxy-Client-Station 235 eine Verknüpfungsanfrage mit dem WiFi-Netzwerk 205 einleiten. Die Proxy-Client-Station 235 kann als der Empfangspunkt für Signalisierung von dem WiFi-Netzwerk 205 dienen. Die Proxy-Client-Station 235 kann ebenso diese Signalisierung an die SIM-Client-Station 230 weiterleiten und kann Daten davon empfangen, die an das WiFi-Netzwerk 205 weiterzuleiten sind.As discussed above, the exemplary embodiments relate to a user registering a first client station with a wireless service provider that also provides
Der Prozessor 305 kann eingerichtet sein, um eine Vielzahl von Anwendungen der Client-Station 235 auszuführen. Zum Beispiel können die Anwendungen eine Webbrowser-Anwendung beinhalten, um Daten mit einem öffentlichen Netzwerk auszutauschen, wie z.B. dem Internet, wenn sie mit dem WiFi-Netzwerk 305 verbunden ist. In einem anderen Beispiel können die Anwendungen eine Proxy-Authentifikationsanwendung 335 beinhalten, die die Proxy-Authentifikationsfunktionalität ausführt, in der die Berechtigungsnachweisinformationen der SIM-Client-Station 230 verwendet werden, um die Proxy-Client-Station 235 zu authentifizieren, um sich mit dem WiFi-Netzwerk 205 zu verbinden, wie nachfolgend in größerem Detail beschrieben werden wird. Es sollte beachtet werden, dass die Anwendungen, die ein Programm sind, die von dem Prozessor 305 ausgeführt wird, nur beispielhaft sind. Die Anwendungen können ebenso als eine getrennte, integrierte Komponente der Proxy-Client-Station 235 dargestellt sein oder können eine modulare Komponente sein, die mit der Proxy-Client-Station 235 gekoppelt ist.
Die Proxy-Authentifikationsanwendung 335 kann auch in der SIM-Client-Station 230 beinhaltet sein. Insbesondere, wenn sie auf der SIM-Client-Station 230 ausgeführt wird, kann die Proxy-Authentifikationsanwendung 335 die Antworten auf die weitergeleiteten Anfragen zusammenpacken, um sicher an die Proxy-Client-Station 235 übertragen zu werden. Demzufolge kann die Proxy-Client-Station 235 die Anfragen an die SIM-Client-Station 230 weiterleiten, aber kann sich bewusst sein, dass die Anfragen für das Authentifikationsverfahren gemäß den beispielhaften Ausführungsformen sind anstatt für ein Authentifikationsverfahren für die SIM-Client-Station 230, um sich mit dem WiFi-Netzwerk 205 zu verbinden.The
Die Speicheranordnung 310 kann eine Hardwarekomponente sein, die eingerichtet ist, um Daten zu speichern, die sich auf Handlungen beziehen, die von der Client-Station 235 ausgeführt werden. Zum Beispiel kann die Speicheranordnung 310 Cloud-Daten speichern, die einem Cloud-Netzwerk entsprechen, mit dem sowohl die SIM-Client-Station 230 als auch die Proxy-Client-Station 235 verknüpft sind. In einem anderen Beispiel kann die Speicheranordnung 310 ebenso (temporär) die Daten speichern, die von dem WiFi-Netzwerk 205 und der SIM-Client-Station 230 empfangen werden, um die Weiterleitungsfunktionalität in ihrer Proxy-Rolle auszuführen. Die Anzeigevorrichtung 315 kann eine Hardwarekomponente sein, die eingerichtet ist, um dem Benutzer Daten zu zeigen, während die I/O-Vorrichtung 320 eine Hardwarekomponente sein kann, die eingerichtet ist, um Eingaben von dem Benutzer zu empfangen und um entsprechende Daten auszugeben. Die anderen Komponenten 330 können eine tragbare Leistungsversorgung (z.B. Batterie), eine Datenerfassungsvorrichtung, Anschlüsse, um die Client-Station 235 elektrisch mit anderen elektronischen Vorrichtungen zu verbinden, eine Audio-I/O-Vorrichtung usw. sein. Insbesondere können die anderen Komponenten 330 die SIM-Karte beinhalten.
Die SIM kann eine integrierte Schaltung sein, die sicher die Internationale Mobile Teilnehmer Identität (International Mobile Subscriber Identity, IMSI) und den verwandten Schlüssel speichert, der verwendet wird, um Teilnehmer auf mobilen Telefonvorrichtungen zu identifizieren und zu authentifizieren. Eine SIM-Schaltung ist in eine entfernbare Plastikkarte eingebettet, um eine „SIM-Karte“ zu erzeugen, und kann zwischen unterschiedlichen mobilen Vorrichtungen übertragen werden. Die SIM-Karte beinhaltet ihre eindeutige Seriennummer (ICCID), IMSI, Sicherheitsauthentifikation und Verschlüsselungsinformationen, temporäre Informationen, die sich auf das lokale Netzwerk beziehen, eine Liste von Diensten, auf die der Benutzer Zugriff hat, und Passwörter, wie z.B. eine persönliche Identifikationsnummer (Personal Identification Number, PIN) für gewöhnliche Verwendung und einen persönlichen Freigabecode (Personal Unblocking Code, PUK) zum Freigeben des Pins. Auf diese Weise kann die SIM-Karte eine Vielzahl von Berechtigungsnachweisinformationen beinhalten, die für die Benutzer- und/oder Client-Station spezifisch sind, die von dem WiFi-Netzwerk 205 für Authentifikationszwecke bei einer Verknüpfungsanfrage verwendet werden können.The SIM can be an integrated circuit that securely stores the International Mobile Subscriber Identity (IMSI) and related key used to identify and authenticate subscribers on mobile phone devices. A SIM circuit is embedded in a removable plastic card to create a "SIM card" and can be transferred between different mobile devices. The SIM card includes its unique serial number (ICCID), IMSI, security authentication and encryption information, temporary information related to the local network, a list of services to which the user has access, and passwords such as a personal identification number ( Personal Identification Number (PIN) for ordinary use and a Personal Unblocking Code (PUK) to unblock the Pin. In this way, the SIM card include a variety of credential information specific to the user and/or client station that can be used by the
Der Sendeempfänger 325 kann eine Hardwarekomponente sein, die eingerichtet ist, um Daten mit dem WiFi-Netzwerk 205 zu übertragen und/oder zu empfangen. Der Sendeempfänger 325 kann ebenso eine Kommunikation mit der SIM-Client-Station 230 ermöglichen. Die Kommunikation zwischen der Proxy-Client-Station 235 und der SIM-Client-Station 230 kann ausgeführt werden unter Verwendung von Kommunikationstechnologie. Zum Beispiel kann ein Cloud-Netzwerk verwendet werden, wobei das Cloud-Netzwerk als eine Zwischenspeicherkomponente für Daten agiert, die zwischen der Proxy-Client-Station 235 und der SIM-Client-Station 230 geteilt werden. Dementsprechend kann der Sendeempfänger 325 verwendet werden, um mit dem Cloud-Netzwerk auf dessen Betriebsfrequenz zu kommunizieren. In einem anderen Beispiel können die Proxy-Client-Station 235 und die SIM-Client-Station 230 eine direkte Verbindung untereinander einrichten unter Verwendung einer drahtgebundenen (z.B. Universal Serial Bus-(USB)-Kabel) oder einer drahtlosen Weise (z.B. Bluetooth, Infrarot (IR) usw.). Dementsprechend kann der Sendeempfänger 325 eine Sendeempfängeranordnung darstellen, die Hardwarekomponenten beinhaltet, die die Kommunikation unter Verwendung der jeweiligen Art ermöglichen.The
Gemäß den beispielhaften Ausführungsformen kann die Client-Station 235 ein Verknüpfungsverfahren einleiten, um sich mit dem WiFi-Netzwerk 205 beim Erkennen davon zu verbinden. Wiederum kann die Proxy-Client-Station 235 nicht die Berechtigungsnachweisinformationen beinhalten, die verwendet werden, um die SIM-Client-Station 230 mit dem WiFi-Netzwerk 205 zu verbinden. Insbesondere kann die Proxy-Client-Station 235 nicht dieselbe SIM-Karte beinhalten, die mit der SIM-Client-Station 230 verwendet wird. Demzufolge, wenn der Benutzer der Proxy-Client-Station 235 (und der SIM-Client-Station 230) wünscht, die Proxy-Client-Station 235 mit dem WiFi-Netzwerk 205 zu verbinden, stellen die beispielhaften Ausführungsformen einen Mechanismus bereit, damit die Berechtigungsnachweisinformationen (z.B. die SIM-Karte) der SIM-Client-Station 230 von der Proxy-Client-Station 235 verwendet werden, um die Proxy-Client-Station 235 zu authentifizieren. Insbesondere, nachdem das Verknüpfungsverfahren eingeleitet worden ist, stellt die Proxy-Client-Station 235 eine Proxy-Funktionalität eines Signalweiterleitens bereit, bis die Proxy-Client-Station 235 authentifiziert ist und mit dem WiFi-Netzwerk 205 verbunden ist. Gemäß den beispielhaften Ausführungsformen kann die Proxy-Client-Station 235 eine erste Anfrage von dem WiFi-Netzwerk 205 für Identifikationsinformationen empfangen und kann diese Anfrage an die SIM-Client-Station 230 weiterleiten, um die Identifikationsantwort zu empfangen, welche an das WiFi-Netzwerk 105 übertragen wird. Die Proxy-Client-Station 235 kann ebenso eine zweite Anfrage von dem WiFi-Netzwerk 205 empfangen, die eine Herausforderung sein kann, dass nur die SIM-Client-Station 230 eingerichtet ist, um korrekt diese Anfrage zu beantworten und sie an die SIM-Client-Station 230 weiterzuleiten, um die Herausforderungsfrageantwort zu empfangen, welche an das WiFi-Netzwerk 205 übertragen wird. Nachfolgende Bestätigungssignale, die einen Erfolg der Verbindung angeben, können ebenso ausgetauscht werden.According to the example embodiments, the
Das Signalisierungsdiagramm 400 veranschaulicht eine Vielzahl von unterschiedlichen Komponenten, die gemäß den beispielhaften Ausführungsformen in dem Authentifikationsverfahren involviert sind. Wie gezeigt kann das Authentifikationsverfahren die SIM-Client-Station 230, die Proxy-Client-Station 235, die WiFi-Basisstation 210, den AAA-Server 215 und den HS-Server 220 involvieren. Wie der Fachmann verstehen wird, können die SIM-Client-Station 230 und die Proxy-Client-Station 235 Handlungen beinhalten, die von einer unterschiedlichen Einheit ausgeführt werden, als die Handlungen, die von der WiFi-Basisstation 210, dem AAA-Server 215 und dem HS-Server 220 ausgeführt werden. Zum Beispiel kann angenommen werden, dass die SIM-Client-Station 230 ein iPhone ist, und dass die Proxy-Client-Station 235 ein iPod ist, die von Apple Inc. bereitgestellt werden. In solch einem Beispiel kann die Einheit, die verschiedene Handlungen zwischen ihnen ausführt, Netzwerkdienste-Backbone160-Komponenten sein, die von Apple Inc. verwaltet werden. Weiterhin, wenn die WiFi-Basisstation 210, der AAA-Server 215 und der HS-Server 220 Netzwerkkomponenten sein können, die von einem Mobilfunkanbieter verwaltet werden, wie z.B. T-Mobile, AT&T, Verizon, etc.The signaling diagram 400 illustrates a variety of different components involved in the authentication process according to example embodiments. As shown, the authentication process may involve SIM client station 230 ,
Anfänglich kann sich der Benutzer der SIM-Client-Station 230 und der Proxy-Client-Station 235 in einen gemeinsamen Account einloggen 405. Zum Beispiel, während eine Plattform, die von Apple Inc. bereitgestellt wird, sowohl auf der SIM-Client-Station 230 als auch der Proxy-Client-Station 235 läuft, kann auf ein Cloud-Netzwerk zugegriffen werden, wie z.B. iCloud oder iTunes. Beim Verbinden mit dem Cloud-Netzwerk kann eine Synchronisationsfunktionalität 410 ausgeführt werden. Insbesondere wenn die SIM-Client-Station 230 und/oder die Proxy-Client-Station 235 sich mit dem Cloud-Netzwerk zum ersten Mal verbinden, können die Client-Stationen gepaart werden und mit demselben Benutzer verknüpft werden. Es ist zu beachten, dass diese Schritte des Signalisierungsdiagramms zu jedem Zeitpunkt vor einer Verknüpfungsanfrage ausgeführt werden können, die von der Proxy-Client-Station 235 übertragen wird. Wieder kann diese Synchronisationsfunktionalität bei dem Netzwerkdienste-Backbone 160 ausgeführt werden.Initially, the user of the
Die Synchronisationsfunktionalität kann ebenso ein Teilen von Daten, die sich auf Dienstsatzidentifikationen (Service Set Identifications, SSIDs) beziehen, beinhalten. Zum Beispiel kann sich die SIM-Client-Station 230 mit verschiedenen WiFi-Netzwerken verbunden haben, einschließlich dem WiFi-Netzwerk 205, in dem die SIM-Berechtigungsnachweisinformationen zur Authentifikation verwendet werden. Die SIM-Client-Station 230 kann die SSID-Informationen an das Cloud-Netzwerk übermitteln. Diese SSID-Informationen können dann an die Proxy-Client-Station 235 weitergeleitet werden, um sie in der Speicheranordnung 310 zu speichern. Dementsprechend kann die Proxy-Client-Station 235 sich der WiFi-Netzwerke bewusst sein, in denen die SIM-Berechtigungsnachweisinformationen verwendet werden. Demzufolge, wenn die Proxy-Client-Station 235 ein WiFi-Netzwerk erkennt und die SSID einer der SSIDs entspricht, die hinweisend sind auf die Verwendung von SIM-Berechtigungsnachweisinformationen, kann sich die Proxy-Client-Station 235 bewusst sein, dass das Authentifikationsverfahren gemäß den beispielhaften Ausführungsformen verwendet werden kann.The synchronization functionality may also include sharing data related to Service Set Identifications (SSIDs). For example,
Die Proxy-Client-Station 235 kann ein Erkennungsverfahren ausführen, um verfügbare Netzwerke zu bestimmen. Insbesondere kann die Proxy-Client-Station 235 einen Scan in Frequenzbereichen ausführen für Beacons verfügbarer Netzwerke. Die Frequenzbereiche können jene beinhalten, in denen der Sendeempfänger 325 betriebsbereit eingerichtet ist. Die Proxy-Client-Station 235 kann in Handlung 415 bestimmen, dass eine SSID eines der erkannten Netzwerke einer SSID eines Netzwerks entspricht, mit dem die SIM-Client-Station 230 zuvor verbunden war (z.B. WiFi-Netzwerk 205) auf der Grundlage der Liste, die über das Cloud-Netzwerk synchronisiert wurde.The
Beim Erkennen des WiFi-Netzwerks 105 kann die Proxy-Client-Station 135 eine offene Verknüpfungsanfrage 420 an die WiFi-Basisstation 210 erzeugen. Die WiFi-Basisstation 210 kann mit einer Anfrage 425 für eine Identität der Client-Station antworten, die die offene Verknüpfungsanfrage 420 gesendet hat. Zum Beispiel kann die Identitätsanfrage unter Verwendung von EAP definiert sein. Da die Proxy-Client-Station 235 sich bewusst ist, dass die SIM-Berechtigungsnachweisinformationen für die Authentifikation in dem WiFi-Netzwerk 205 verwendet worden sind, kann die Proxy-Authentifikationsanwendung 335 der Proxy-Client-Station 235 die Identitätsanfrage 430 an die SIM-Client-Station 230 weiterleiten. Überall in dieser Beschreibung wurde der Begriff weiterleiten verwendet, um die Handlung der Proxy-Client-Station 235 zu beschreiben. Dieser Begriff sollte verstanden werden zu bedeuten, dass die Proxy-Client-Station 235 die beschriebene Kommunikation (z.B. die Identitätsanfrage 430) im Wesentlichen in der Form überträgt, in der die Kommunikation von der Proxy-Client-Station 235 empfangen wurde. Jedoch sollte verstanden werden, dass die Proxy-Client-Station 235 die Kommunikation für geeignete Übertragung an die empfangende Vorrichtung/Einheit formatieren kann (z.B. wenn die Kommunikation über das TCP/IP-Protokoll gesendet wird, kann die Proxy-Client-Station Header und Leitungsinformationen hinzufügen, wie benötigt). Das Weiterleiten der Identitätsanfrage von der Proxy-Client-Station 235 an die SIM-Client-Station kann, wie zuvor beschrieben, auf jede bekannte Art der Kommunikation zwischen den Client-Stationen erreicht werden.Upon discovering the WiFi network 105 , the proxy client station 135 may generate an open association request 420 to the
Die SIM-Client-Station 230 kann die Identitätsanfrage 430 empfangen und kann die Identitätsantwort erzeugen. Insbesondere kann die Identitätsantwort den Informationen entsprechen, die in der SIM-Karte beinhaltet sind. Zum Beispiel kann die Identitätsantwort durch EAP definiert sein und kann die IMSI beinhalten. Die Identitätsantwort 435 kann an die Proxy-Client-Station 235 übertragen werden, die die Identitätsantwort 440 an den AAA-Server 215 des zellulären Kernnetzwerks 212 über die WiFi-Netzwerkbasisstation 110 und das WiFi-Netzwerk 105 weiterleitet.The
Wenn der AAA-Server 215 die Identitätsantwort 440 auf der Grundlage von EAP und einschließlich der IMSI empfängt, kann der AAA-Server 215 Authentifikationsvektoren 445 anfordern, die der IMSI des HS-Servers 220 entsprechen. Der HS-Server 220 kann die Authentifikationsvektoren 450 erzeugen. Wie zuvor besprochen, kann der AAA-Server 215 ebenso die Quintupel empfangen, die den Authentifikationsvektoren entsprechen, die nachfolgend zu verwenden sind. Zum Beispiel können die Quintupel AT_RAND, AT_AUTN, AT_MAC, S-RES und Kc beinhalten.When the
Beim Empfang der Quintupel 455 kann der AAA-Server 215 eine Anfrage 460 erzeugen, die eine AKA-Herausforderung beinhaltet auf der Grundlage der Quintupel. Zum Beispiel kann die Anfrage/AKA-Herausforderung 460 durch EAP definiert sein. Weil die Anfrage/AKA-Herausforderung 460 auf der Grundlage der Quitupel erzeugt wird, die aus der IMSI der SIM-Karte der SIM-Client-Station 230 gebildet wird, kann die korrekte Antwort nur von der SIM-Client-Station 230 erzeugt werden. Beim Erzeugen der Anfrage/AKA-Herausforderung 460 kann der AAA-Server 215 sie an die Proxy-Client-Station 230 übertragen. Die Proxy-Client-Station 135 kann diese Anfrage/AKA-Herausforderung 465 an die SIM-Client-Station 230 weiterleiten.Upon receiving the
Die SIM-Client-Station 230 kann einen AKA-Algorithmus 470 ausführen, um die Antwort darauf zu erzeugen. Zum Beispiel kann der AKA-Algorithmus 470 die AUTN und die MAC verifizieren, um die RES und Ks abzuleiten. Dies kann in einer Antwort/AKA-Herausforderung 475 beinhaltet sein, welche die AT_RES und AT_MAC beinhaltet. Die Antwort kann ebenso durch EAP definiert sein. Die Antwort/AKA-Herausforderung 475 kann an die Proxy-Client-Station 235 übertragen werden, welche die Antwort/AKA-Herausforderung 480 an den AAA-Server 215 weiterleitet. Der AAA-Server 215 kann die Antwort überprüfen 485, um das Authentifikationsverfahren zu vervollständigen. Insbesondere kann der AAA-Server 215 eine Bestätigung 490 übertragen, dass das Authentifikationsverfahren erfolgreich war. Zu diesem Zeitpunkt kann die Proxy-Client-Station 235 mit dem WiFi-Netzwerk 205 verbunden sein und Kommunikationen 495 können zwischen der Proxy-Client-Station 235 und dem WiFi-Netzwerk 205 durchgeführt werden. Für die Vervollständigung und um die SIM-Client-Station 230 zu benachrichtigen, kann die Proxy-Client-Station 235 die Erfolgsbestätigung 497 an die SIM-Client-Station 230 weiterleiten.The
Anfänglich ist zu beachten, dass das Signalisierungsdiagramm 500 einen anfänglichen Satz von Schritten beinhalten kann, die im Wesentlichen ähnlich zu dem anfänglichen Satz von Schritten des Signalisierungsdiagramms 400 ist, z.B. Signalisierungsschritte 405 bis 435. Demzufolge beginnt die Beschreibung, die sich auf das Signalisierungsdiagramm 500 bezieht, bei der Identitätsantwort 505, die die IMSI beinhaltet, wie nach EAP definiert, die von der Proxy-Client-Station 135 an den AAA-Server 115 weitergeleitet wird, z.B. ein Signalisierungsschritt, der dem Signalisierungsschritt 440 der
Wie zuvor besprochen, wenn das HLR/AuC 225 für die Authentifikation verwendet wird, können Tripel anstelle von Quintupeln verwendet werden, wie zuvor hinsichtlich des Signalisierungsdiagramms 400 besprochen unter Verwendung des HS-Servers 220. Demzufolge, sobald der AAA-Server 215 die Identitätsantwort 505 empfängt, kann der AAA-Server 215 die Tripel, die der IMSI der SIM-Client-Station 230 entsprechen, von dem HLR/AuC 225 anfordern 510. Das HLR/AuC 225 kann die Authentifikationsvektoren erzeugen 515, die die Tripel beinhalten, und kann die Tripel an den AAA-Server 215 weiterleiten.As previously discussed, when the HLR/AuC 225 is used for authentication, triples can be used in place of quintuples as previously discussed with respect to the signaling diagram 400 using the
Wenn der AAA-Server 215 die Tripel empfängt, kann der AAA-Server 215 eine Anfrage/SIM/Start 525 zur Übertragung an die Proxy-Client-Station 235 erzeugen. Zum Beispiel kann die Anfrage/SIM/Start 525 nach EAP definiert sein. Wiederum, da die Proxy-Client-Station 235 sich bewusst ist, dass die SIM-Client-Station 230 sich zuvor mit dem WiFi-Netzwerk 205 verbunden hatte unter Verwendung der SIM-Berechtigungsnachweisinformationen zur Authentifikation, kann die Anfrage/SIM/Start 530 an die SIM-Client-Station 230 weitergeleitet werden.When the
Wenn die SIM-Client-Station 230 die Anfrage/SIM/Start empfängt, kann die SIM-Client-Station 230 eine Nonce 535 erzeugen. Demzufolge kann die SIM-Client-Station 230 eine Antwort 540 auf die Anfrage SIM/Start erzeugen, um die Nonce zu beinhalten. Insbesondere erzeugt die SIM-Client-Station 230 die Antwort/SIM/Start 540 (einschließlich der Nonce [N]) und überträgt sie an die Proxy-Client-Station 230, die die Antwort/SIM/Start [N] 545 an den AAA-Server 215 weiterleitet. Der AAA-Server 215 kann die Antwort/SIM/Start [N] 545 empfangen und kann ein MAC unter Verwendung des Kc und der Nonce berechnen. Der AAA-Server 215 kann eine Anfrage/SIM/Herausforderung 555 erzeugen, die den MAC und eine RAND (auf der Grundlage der Nonce) beinhaltet. Diese Anfrage kann ebenso nach EAP definiert sein. Der AAA-Server 215 kann diese Anfrage/SIM/Herausforderung 555 an die Proxy-Client-Station 235 erzeugen, welche die Anfrage/SIM/Herausforderung 560 an die SIM-Client-Station 230 weiterleitet.When the
Die SIM-Client-Station 230 kann den MAC überprüfen 565 und kann einen GSM-Algorithmus für den RAND ausführen, um eine SRES und ein MAC2 zu erzeugen. Wiederum kann das HLR/AuC mit einem GSM-Netzwerk verknüpft sein. Sobald verifiziert, kann die SIM-Client-Station 230 eine Antwort 570 auf die Anfrage/SIM/Herausforderung erzeugen, die den MAC2 beinhaltet. Das bedeutet, dass die SIM-Client-Station 230 die Antwort/SIM/Herausforderung 570 erzeugen kann, die den MAC2 beinhaltet, und die nach EAP definiert ist. Die SIM-Client-Station 230 kann die Antwort/SIM/Herausforderung 570 an die Proxy-Client-Station 235 übertragen, welche die Antwort/SIM/Herausforderung an den AAA-Server 215 weiterleitet.The
Wenn der AAA-Server 215 die Antwort/SIM/Herausforderung 575 mit der MAC2 empfängt, überprüft 580 der AAA-Server 215 den MAC2, um das Authentifikationsverfahren zu vervollständigen. Insbesondere kann der AAA-Server 215 eine Bestätigung 585 übertragen, dass das Authentifikationsverfahren erfolgreich war. Zu diesem Zeitpunkt kann die Proxy-Client-Station 235 mit dem WiFi-Netzwerk 205 verbunden sein und Kommunikationen 590 können zwischen der Proxy-Client-Station 235 und dem WiFi-Netzwerk 205 durchgeführt werden. Zur Vervollständigung und um die SIM-Client-Station 230 zu benachrichtigen, kann die Proxy-Client-Station 135 die Erfolgsbestätigung an die SIM-Client-Stationen 230 weiterleiten.When the
Es sollte beachtet werden, dass die obigen Signalisierungsdiagramme 400, 500 einschließlich der verschiedenen Schritte nur beispielhaft sind. Der Fachmann wird verstehen, dass das Authentifikationsverfahren jede Anzahl von Schritten beinhalten kann. Zum Beispiel kann die Authentifikation nicht nur erfordern, dass die SIM-Berechtigungsnachweisinformationen für eine Verbindung mit dem WiFi-Netzwerk 205 bereitgestellt werden ohne eine anschließende Herausforderung. In solch einer Ausführungsform kann die Proxy-Client-Station 235 die SIM-Berechtigungsnachweisinformationen der SIM-Client-Station 230 in der Speicheranordnung vorspeichern. Demzufolge kann die Proxy-Client-Station 235 eine Verknüpfungsanfrage übertragen und kann die Identitätsanfrage von dem WiFi-Netzwerk 205 empfangen, wobei die SIM-Berechtigungsnachweisinformationen weitergeleitet werden können ohne zu erfordern, dass die SIM-Client-Station 230 danach abgefragt wird.It should be noted that the above signaling diagrams 400, 500 including the various steps are only exemplary. Those skilled in the art will understand that the authentication process may involve any number of steps. For example, authentication may not only require the SIM credential information to be provided for connection to the
Die beispielhaften Ausführungsformen stellen ein System und ein Verfahren bereit zum Verwenden von Berechtigungsnachweisinformationen einer ersten Client-Station, um eine zweite Client-Station zu authentifizieren, so dass die zweite Client-Station sich mit einem Netzwerk verbinden kann, mit dem die erste Client-Station erlaubt ist, sich zu verbinden unter Verwendung der Berechtigungsnachweisinformationen. Die erste und die zweite Client-Station können gepaart sein, so dass die zweite Client-Station eine autorisierte Vorrichtung ist, der es erlaubt ist, die Berechtigungsnachweisinformationen zu verwenden. Die erste Client-Station kann Identifikationsinformationen, die für die Client-Station spezifisch sind, beinhalten, die die Berechtigungsnachweisinformationen erzeugen. Die zweite Client-Station kann diese Berechtigungsnachweisinformationen nicht aufweisen. Weiterhin kann die erste Client-Station die einzige Vorrichtung sein, die eingerichtet ist, um korrekt auf eine Herausforderungsanfrage zu antworten. Das bedeutet, dass die zweite Client-Station nicht korrekt antworten kann.The example embodiments provide a system and method for using credentials information of a first client station to authenticate a second client station so that the second client station can connect to a network to which the first client station connects is allowed to connect using the credentials information. The first and second client stations may be paired such that the second client station is an authorized device permitted to use the credential information. The first client station may include identification information specific to the client station that generates the credential information. The second client station cannot have this credential information. Furthermore, the first client station may be the only device configured to correctly respond to a challenge request. This means that the second client station cannot answer correctly.
Daher kann die zweite Client-Station eine Verknüpfungsanfrage mit dem Netzwerk einleiten. Nach dem Ausführen dieses Schrittes kann die zweite Client-Station als eine Proxy-Vorrichtung agieren, die Daten zwischen der ersten Client-Station und dem Netzwerk austauscht, damit das Authentifikationsverfahren ausgeführt wird. Wenn das Authentifikationsverfahren abgeschlossen ist, kann die zweite Client-Station sich erfolgreich mit dem Netzwerk verbinden unter Verwendung der Berechtigungsnachweise der ersten Client-Station.Therefore, the second client station can initiate an association request with the network. After performing this step, the second client station can act as a proxy device that exchanges data between the first client station and the network in order to carry out the authentication process. When the authentication process is complete, the second client station can successfully connect to the network using the first client station's credentials.
Der Fachmann wird verstehen, dass die zuvor beschriebenen beispielhaften Ausführungsformen mit jeder geeigneten Software oder Hardwarekonfiguration oder Kombinationen davon implementiert werden können. Eine beispielhafte Hardware-Plattform zum Implementieren der beispielhaften Ausführungsformen kann z.B. eine Intel x86-basierte Plattform mit kompatiblen Betriebssystemen, eine Mac-Plattform, MAC OS, iOS, Android OS usw. sein. In einem weiteren Beispiel können die beispielhaften Ausführungsformen der zuvor beschriebenen Verfahren als ein Programm ausgeführt sein, welches Codezeilen beinhaltet, die auf einem nichtflüchtigen computerlesbaren Speichermedium gespeichert sind, welche, wenn sie kompiliert werden, von einem Prozessor oder Mikroprozessor ausgeführt werden können.Those skilled in the art will understand that the exemplary embodiments described above may be implemented with any suitable software or hardware configuration, or combinations thereof. For example, an example hardware platform for implementing the example embodiments may be an Intel x86-based platform with compatible operating systems, a Mac platform, MAC OS, iOS, Android OS, and so on. In another example, the exemplary embodiments of the methods described above may be embodied as a program, including lines of code stored on a non-transitory computer-readable storage medium, which, when compiled, is executable by a processor or microprocessor.
Es wird dem Fachmann offensichtlich sein, dass verschiedene Modifikationen an der vorliegenden Erfindung vorgenommen werden können, ohne sich von dem Geist und dem Umfang der Erfindung zu entfernen. Demzufolge ist es beabsichtigt, dass die vorliegende Erfindung Modifikationen und Variationen dieser Erfindung abdeckt, vorausgesetzt sie kommen innerhalb des Umfangs der angehängten Ansprüche und ihrer Äquivalente.It will be apparent to those skilled in the art that various modifications can be made in the present invention without departing from the spirit and scope of the invention. Accordingly, it is intended that the present invention covers modifications and variations of this invention provided they come within the scope of the appended claims and their equivalents.
Claims (13)
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201461937194P | 2014-02-07 | 2014-02-07 | |
| US61/937,194 | 2014-02-07 | ||
| US201462005933P | 2014-05-30 | 2014-05-30 | |
| US62/005,933 | 2014-05-30 | ||
| US14/502,786 | 2014-09-30 | ||
| US14/502,786 US9432363B2 (en) | 2014-02-07 | 2014-09-30 | System and method for using credentials of a first client station to authenticate a second client station |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| DE102015201433A1 DE102015201433A1 (en) | 2015-08-13 |
| DE102015201433B4 true DE102015201433B4 (en) | 2022-08-11 |
Family
ID=53677031
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| DE102015201433.9A Active DE102015201433B4 (en) | 2014-02-07 | 2015-01-28 | System and method for using credentials of a first client station to authenticate a second client station |
Country Status (1)
| Country | Link |
|---|---|
| DE (1) | DE102015201433B4 (en) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040180657A1 (en) | 2002-06-24 | 2004-09-16 | Toshiba America Research Inc. (Tari) | Authenticating multiple devices simultaneously using a single wireless subscriber identity module |
-
2015
- 2015-01-28 DE DE102015201433.9A patent/DE102015201433B4/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040180657A1 (en) | 2002-06-24 | 2004-09-16 | Toshiba America Research Inc. (Tari) | Authenticating multiple devices simultaneously using a single wireless subscriber identity module |
Non-Patent Citations (1)
| Title |
|---|
| FRANKLIN, J. V.; PARAMASIVAM, K.: Enhanced Authentication Protocol for Improving Security in 3GPP LTE Networks. In: 2011 International Conference on Information and Network Technology, vol. 4, 2011, Seiten 28 bis 33. |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102015201433A1 (en) | 2015-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10904751B2 (en) | System and method for using credentials of a first client station to establish a connection between a network and a second client station | |
| US10939294B2 (en) | Network access identifier including an identifier for a cellular access network node | |
| US10849191B2 (en) | Unified authentication for heterogeneous networks | |
| US11722891B2 (en) | User authentication in first network using subscriber identity module for second legacy network | |
| US20180014178A1 (en) | Method and apparatus for accessing cellular network for sim profile | |
| DE102019218394A1 (en) | PROVIDING ELECTRONIC SUBSCRIBER IDENTITY MODULES FOR MOBILE WIRELESS DEVICES | |
| US10349271B2 (en) | Methods and apparatus for direct communication key establishment | |
| CN103609154B (en) | A kind of WLAN access authentication method, equipment and system | |
| WO2017219673A1 (en) | Vowifi network access method and system, and terminal | |
| EP3158827B1 (en) | Method for generating a common identifier for a wireless device in at least two different types of networks | |
| KR20150051568A (en) | Security supporting method and system for proximity based service device to device discovery and communication in mobile telecommunication system environment | |
| DE102016122120B4 (en) | Switching network connectivity using an authentication device | |
| US20190274039A1 (en) | Communication system, network apparatus, authentication method, communication terminal, and security apparatus | |
| CN101785343A (en) | Fast transitioning resource negotiation | |
| EP3335394B1 (en) | Method and apparatus for extensible authentication protocol | |
| CN110249648A (en) | The system and method for session establishment executed by unauthenticated user equipment | |
| CN108353269A (en) | Subscriber profiles in WLAN are pre-configured | |
| WO2020208295A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over private network | |
| WO2020208294A1 (en) | Establishing secure communication paths to multipath connection server with initial connection over public network | |
| KR102054280B1 (en) | Method for operating emergency mobile communication system and apparatus for the same | |
| KR102209289B1 (en) | Security and information supporting method and system for proximity based service in mobile telecommunication system environment | |
| DE102015201433B4 (en) | System and method for using credentials of a first client station to authenticate a second client station | |
| Lin et al. | Handling of Extensible Authentication Protocol Based Non-Access Stratum Authentication Failures | |
| WO2016079309A1 (en) | Profile to ensure the same level of security as in the existing 3gpp system for proximity service (prose) epc support for wlan direct discovery and communication | |
| WO2022021433A1 (en) | Method for device access authentication, terminal device, and cloud platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R012 | Request for examination validly filed | ||
| R016 | Response to examination communication | ||
| R018 | Grant decision by examination section/examining division | ||
| R130 | Divisional application to |
Ref document number: 102015017437 Country of ref document: DE |
|
| R020 | Patent grant now final |