DE112006000950T5 - System und Verfahren zum Bereitstellen eines Multihop-Zugriffs in einem Kommunikationssnetz - Google Patents
System und Verfahren zum Bereitstellen eines Multihop-Zugriffs in einem Kommunikationssnetz Download PDFInfo
- Publication number
- DE112006000950T5 DE112006000950T5 DE112006000950T DE112006000950T DE112006000950T5 DE 112006000950 T5 DE112006000950 T5 DE 112006000950T5 DE 112006000950 T DE112006000950 T DE 112006000950T DE 112006000950 T DE112006000950 T DE 112006000950T DE 112006000950 T5 DE112006000950 T5 DE 112006000950T5
- Authority
- DE
- Germany
- Prior art keywords
- authenticator
- authentication
- supplicant
- primary
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/02—Communication route or path selection, e.g. power-based or shortest path routing
- H04W40/22—Communication route or path selection, e.g. power-based or shortest path routing using selective relaying for reaching a BTS [Base Transceiver Station] or an access point
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
- H04W84/22—Self-organising networks, e.g. ad-hoc networks or sensor networks with access to wired networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/04—Terminal devices adapted for relaying to or from another terminal or user
Abstract
Empfangen (205) einer Authentifizierungsanfrage bei einem Authentifizierer (110; 310; 410) von dem Supplikanten (105; 315; 405);
Erzeugen (210) eines Zustands basierend auf der Authentifizierungsanfrage bei dem Authentifizierer (110; 310; 410);
Weitergeben (230) der Authentifizierungsanfrage hin zu einem primären Authentifizierer (115; 300; 415), wobei der primäre Authentifizierer (115; 300; 415) mit einem Authentifizierungs-Server (125; 425) verbunden ist;
Weitergeben von Authentifizierungsinformationen von dem primären Authentifizierer (115; 300; 415) zu dem Authentifizierer (110; 310; 410), wobei die Authentifizierungsinformationen bei dem Authentifizierungs-Server (125; 425) erzeugt werden:
Empfangen (235) der Authentifizierungsinformationen von dem Authentifizierer (110; 310; 410); und
Erfüllen (240) der Authentifizierungsanfrage.
Description
- GEBIET DER ERFINDUNG
- Die vorliegende Erfindung bezieht sich auf ein System und Verfahren zum Bereitstellen eines Client-Zugriffs auf ein Kommunikationsnetz durch einen Authentifizierer in dem Kommunikationsnetz.
- HINTERGRUND DER ERFINDUNG
- Die Verwendung drahtloser Kommunikationsvorrichtungen hat über die Jahre zugenommen. Bei heutigen Kommunikationsnetzen benötigen mobile Vorrichtungen wie PDAs, zelluläre Telefone und Laptops eine Authentifizierung, bevor sie einen Zugriff auf private Datenbanken oder einen Zugriff auf das Internet erhalten. Vorrichtungen werden durch einen Infrastrukturzugriffspunkt (engl.: Infrastructure Access Point; IAP), typischerweise eine Basisstation, die mit einem Authentifizierungs-Server verbunden ist, authentifiziert. Die Authentifizierungsanfrage wird unter Verwendung des erweiterbaren Authentifizierungsprotokolls (engl.: Extensible Authentication Protocol; EAP), das EAP-über-LAN-Pakete (engl.: EAP over LAN; EAPOL) aufweist, gesendet. Das gesamte Authentifizierungsverfahren geht damit einher, dass mehrere EAPOL-Pakete, startend mit einem EAP-Start-Paket und abgeschlossen mit entweder einem EAP-Erfolg-Nachrichtenpaket oder einem EAP-Fehlschlag-Nachrichtenpaket, gesendet und empfangen werden. Der Authenitfizierungs-Server speichert den Authentifizierungsausweis der Vorrichtung (typischerweise Supplikant genannt), die unter Verwendung des Authentifizierungs-Servers authentifiziert wird. Authentifizierungs-Server können auch mit anderen Authentifizierungs-Servern verbunden sein, um Authentifizierungsausweise von Supplikanten, die nicht lokal gespeichert sind, zu erhalten.
- Bei früheren Systemen wird ein zentralisierter Lösungsansatz verfolgt, bei dem ein einziger IAP das Authentifizierungsverfahren aller Supplikanten in der Reichweite des IAPs handhabt. Da jeder Supplikant lediglich über den IAP authentifiziert werden kann, hat dieses Verfahren mehrere Mängel. Frühere Systeme, die die Standards ANSI/IEEE 802.1X oder ANSI/IEEE 802.11i des American National Standards Institute/Institute of Electrical and Electronics Engineers einhalten, benutzen ein solches Verfahren. In solchen Standards ist das Verfahren der Authentifizierung mobiler Vorrichtungen definiert und die Standards erörtern einen Supplikanten, einen Authentifizierer und einen Authentifizierungs-Server, wobei der Authentifizierungs-Server einen Supplikanten unter Verwendung eines Authentifizierers authentifiziert. Der Authentifizierungs-Server vertraut darauf, dass der Authentifizierer korrekte Authentifizierungsinformationen, die von dem Supplikanten empfangen wurden, zu dem Authentifizierungs-Server weitersendet. Das Authentifizierungsverfahren, wie es in den Standards festgelegt ist, erfordert jedoch, dass der Supplikant einen direkten Kommunikationskanal mit dem Authentifizierer hat, und als solche unterstützen die Standards keine drahtlosen Multihop-Kommunikationen.
- Da sich frühere Systeme auf einen zentralisierten Lösungsansatz stützen und einen direkten Kommunikationskanal erfordern, gibt es eine Notwendigkeit für ein verbessertes System und Verfahren zum Bereitstellen eines Multihop-Zugriffs.
- KURZE BESCHREIBUNG DER ZEICHNUNGEN
- Die beigefügten Zeichnungen sind, zusammen mit der detaillierten Beschreibung im Folgenden, in die Beschreibung aufgenommen und bilden einen Teil von ihr, dienen dazu, verschiedene Ausführungsbeispiele weiter zu erläutern und verschiedene Prinzipien und Vorteile, alle gemäß der vorliegenden Erfindung, zu erklären.
-
1 ist ein erstes Ausführungsbeispiel, das einen verteilten Lösungsansatz bei einem drahtlosen Kommunikationsnetz zeigt. -
2 ist ein zweites Ausführungsbeispiel, das ein Flussdiagramm eines Verfahrens zum Bereitstellen eines Zugriffs bei einem drahtlosen Kommunikationsnetz zeigt. -
3 stellt ein Verfahren zum Erzeugen eines Zustands an jedem Authentifizierungsknoten in einer Weitergabekette gemäß einem Ausführungsbeispiel der Erfindung dar. -
4 zeigt ein drittes Ausführungsbeispiel für ein Verfahren zum Bereitstellen von Mobilität für einen vertrauten Supplikanten, der über einen Authentifizierer authentifiziert wurde, bei einem drahtlosen Kommunikationsnetz. -
5 zeigt das dritte Ausführungsbeispiel, bei dem der vertraute Supplikant um Authentifizierung ersucht, nachdem er sich mit einem zweiten Authentifizierer verbunden hat. -
6 zeigt das Ausführungsbeispiel von4 , bei dem der vertraute Supplikant durch den zweiten Authentifizierer authentifiziert wird. -
7 zeigt ein Ausführungsbeispiel von4 , bei dem an ausgewählten Knoten ein paarweiser Hauptschlüssel gespeichert ist. -
8 zeigt ein anderes Verfahren gemäß einem Ausführungsbeispiel der vorliegenden Erfindung. -
9 ist ein Flussdiagramm eines Verfahrens zum Bereitstellen von Mobilität für einen vertrauten Supplikanten, das in dem dritten Ausführungsbeispiel beschrieben ist. - DETAILLIERTE BESCHREIBUNG
- Die vorliegende Erfindung kann in verschiedenen Formen und auf verschiedene Art und Weise ausgeführt sein. Die im Folgenden bereitgestellte Beschreibung und die Zeichnungen zeigen beispielhafte Ausführungsbeispiele der Erfindung. Fachleute werden erkennen, dass die Erfindung in anderen Formen und auf andere Art und Weise ausgeführt sein kann, die im Folgenden nicht gezeigt sind. Die Erfindung soll den vollen Schutzbereich der Ansprüche haben und nicht durch die im Folgenden gezeigten Ausführungsbeispiele begrenzt sein. Weiterhin ist offensichtlich, dass die Verwendung relationaler Ausdrücke, falls welche vorkommen, wie erste(r,s), zweite(r,s), oberste(r,s) und unterste(r,s), vordere(r,s) und hintere(r,s) und dergleichen, alleine zum Unterscheiden eines Elements oder einer Handlung von einer anderen verwendet werden, ohne notwendigerweise eine solche tatsächliche Beziehung oder Reihenfolge zwischen solchen Elementen oder Handlungen zu erfordern oder zu implizieren.
-
1 erläutert ein Kommunikationsnetz, das einen Supplikanten105 , einen Authentifizierer110 , einen primären Authentifizierer115 , einen Knoten130 sowie einen Authentifizierungs-Server125 aufweist. Der Supplikant105 sendet eine Authentifzierungsanfrage zu dem Authentifizierer110 , wobei der Authentifizierer die Authentifizierungsanfrage mittels einer Weitergabevorrichtung hin zu einem primären Authentifizierer115 weitersendet. Wie hierin verwendet, ist der primäre Authentifizierer115 ein ortsfester Knoten, der eine permanente Sicherheitszuordnung zu dem Authentifizierungs-Server125 hat. Wie hierin verwendet, ist der Authentifizierer110 ein Supplikant, der bereits durch den primären Authentifizierer115 indirekt authentifiziert wurde und daher nun als ein Authentifizierer bezeichnet wird. Der Knoten130 ist der Authentifizierer des Authentifizierers110 . Wie in1 gezeigt, hat der Supplikant105 eine indirekte Sicherheitszuordnung zu dem Authentifizierungs-Server125 , wobei indirekt bedeutet, dass die Sicherheitszuordnung des Supplikanten105 über mindestens einen weiteren Knoten besteht. In diesem Fall besitzt der Supplikant105 eine indirekte Sicherheitszuordnung über den Knoten130 und den primären Authentifizierer115 . - Gemäß einem Ausführungsbeispiel wird der Supplikant
105 über den Authentifizierer110 authentifiziert und einmal authentifiziert, ist er in der Lage, als ein Authen tifizierer für andere Supplikanten in dem drahtlosen Kommunikationsnetz zu dienen. Wie hierin verwendet, ist die Authentifizierungsanfrage eine Authentifizierungsnachricht, die von dem Supplikanten105 zu dem Authentifizierer110 gesendet wird. Wie hierin verwendet, ist die Richtung eines Sendens einer Nachricht von dem Supplikanten zu dem Authentifizierer hin zu dem primären Authentifizierer eingehend; wohingegen die Richtung eines Sendens einer Nachricht von dem primären Authentifizierer hin zu dem Authentifizierer und dem Supplikanten ausgehend ist. Wie einem Fachmann bekannt ist, kann die Authentifizierungsanfrage als eine Fernauthentifizierungs-Einwahl-Benutzerdienst (engl.: Remote Authentication Dial In User Service; RADIUS)-Nachricht, als eine Start-Nachricht eines erweiterbaren Authentifizierungsprotokolls über LAN (EAPOL) oder als ein anderes, ähnliches Authentifizierungsprotokoll gesendet werden. Fachleute werden erkennen, dass es mehrere Protokolle und Benachrichtigungstechnologien gibt, die verwendet werden können, um Authentifizierungsanfragen zu senden und zu empfangen, und dass solche Protokolle und Benachrichtigungstechnologien im Schutzbereich der vorliegenden Erfindung liegen. - In jedem Fall enthält die Authentifizierungsanfrage Informationen, die anzeigen, dass der Supplikant versucht, sich mit dem Authentifizierungs-Server zu authentifizieren. In dem EAPOL-Ausführungsbeispiel tritt das Authentifizierungsverfahren über mehrere EAPOL-Nachrichten auf, startend mit einer EAPOL-Start- oder einer EAPOL-Anfrage/Identitäts-Nachricht und abschließend mit einer EAPOL-Erfolg-Nachricht (im Falle eines Erfolgs beim Authentifizieren des Supplikanten) oder einer EAPOL-Fehlschlag-Nachricht (im Falle eines Fehlschlags beim Authentifizieren des Supplikanten). Ferner kann jeder Authentifizierer konfiguriert sein, um solche Authentifizierungsanfragen zu erzeugen und die Authentifizierungsanfragen zu dem primären Authentifizierer weiterzusenden. In jedem Fall speichert der Authentifizierungs-Server den Authentifizierungsausweis des Supplikanten und verwendet den Authentifizierungsausweis, um die Authentifizierungsanfrage zu bestätigen.
- In einem Ausführungsbeispiel sind der Supplikant und die Authentifizierer in dem Kommunikationsnetz Laptop-Computer. In einem solchen Ausführungsbeispiel dient ein Infrastrukturzugriffspunkt (IAP) als ein primärer Authentifizierer zum Authentifizieren der Laptop-Computer zusammen mit einem alternativen Authentifizierungs-Server (AAA-Server). Zum Beispiel kann ein Polizei-Netz mehreren Laptops, die die Polizeidienststelle in einem drahtlosen Kommunikationsnetz besitzt, einen Zugriff auf die Infrastruktur der Polizei bereitstellen. In herkömmlichen Systemen würde jeder Laptop, den die Polizeidienststelle besitzt, über den IAP, der die Polizeidienststelle ebenfalls besitzen kann, authentifiziert werden. Die vorliegende Erfindung stellt jedoch ein Verfahren bereit, durch das jeder Laptop, der bereits durch das Kommunikationsnetz authentifiziert worden ist, auch als ein Authentifizierer dienen kann. In einem Ausführungsbeispiel sendet ein Authentifizierer, z. B. ein Supplikant, der über den primären Authentifizierer eine indirekte Sicherheitsbeziehung mit dem Authentifizierungs-Server hat, eine Anzeige aus, wodurch jeder neue Laptop, der einen Zugriff auf die Infrastrukturdienste der Polizei erhalten will, über den Authentifizierer authentifiziert werden kann, anstatt durch den IAP direkt authentifiziert zu werden. Das Verfahren eines Authentifizierens des Supplikanten über einen anderen Authentifizierer wird durch eine Weitergabevorrichtung erledigt, wobei die Authentifizierungsanfrage über den Authentifizierer hin zu dem primären Authentifizierer weitergegeben wird. Wie hierin verwendet, ist der primäre Authentifizierer ein ortsfester Knoten, der eine permanente Sicherheitsbeziehung mit dem Authentifizierungs-Server hat, und alle Authentifizierungsanfragen werden durch den primären Authentifizierer geleitet, um den Authentifizierungs-Server zu erreichen.
- In einem Ausführungsbeispiel weist das System ferner mindestens einen weiteren Knoten, z. B. den Knoten
130 , zwischen dem Authentifizierer110 und dem primären Authentifizierer115 auf, wobei der Knoten130 die Funktion hat, die Authentifizierungsanfrage an den primären Authentifizierer115 weiterzugeben. In einem solchen Ausführungsbeispiel ist der Knoten130 eine Zwischenvorrichtung, die als eine Authentifizierungs-Weitergabevorrichtung bekannt ist. Als eine Authentifizierungs-Weitergabevorrichtung kann der Knoten ebenfalls als ein Authentifizierer dienen. Das heißt, dass ein Knoten, der authentifiziert wurde, sich, basierend auf der Konfiguration, sowohl als ein Authentifizierer als auch als eine Weitergabevorrichtung verhalten kann. Im We sentlichen kann der Knoten, der authentifiziert wurde, durch die Beziehung des Knotens mit einem anderen Knoten zwei Verhalten zeigen. Diese beiden Verhalten sind als ein Authentifizierer und als eine Weitergabevorrichtung. Zum Beispiel ist der primäre Authentifizierer115 ein authentifizierter Knoten, der zu dem Authentifizierungs-Server125 authentifiziert wurde. Die Beziehung zwischen den Knoten wird durch die eingehenden Pakete, die von einem anderen Knoten empfangen werden, eingerichtet. Zum Ersten weiß ein authentifizierter Knoten, dass er sich zu einem Supplikantenknoten als ein Authentifizierer verhält, wenn das eingehende Paket eine EAPOL-Start-Nachricht ist, wobei die EAPOL-Start-Nachricht eine Senderadresse und eine Quelladresse hat, die gleich sind, und/oder die Quelladresse der EAPOL-Start-Nachricht in der Zuordnungstabelle des Authentifizierers steht. In einem Ausführungsbeispiel wird die Zuordnungstabelle des Authentifizierers aktualisiert, wenn der Authentifizierer ein eingehendes oder ein ausgehendes Paket empfängt. In einem Ausführungsbeispiel verhält sich ein Knoten, wenn er sich als ein Authentifizierer verhält, gemäß den Regeln des ANSI/IEEE 802.11i bezüglich der Authentifizierung. Zum Zweiten, wenn der authentifizierte Knoten eine eingehende EAPOL-Start-Nachricht von einem Knoten empfängt, bei der die Senderadresse nicht gleich der Quelladresse ist und/oder die Quelladresse der EAPOL-Start-Nachricht nicht in der Zuordnungstabelle des Authentifizierers steht, weiß der authentifizierte Knoten, dass er sich als eine Weitergabevorrichtung für dieses Paket verhalten muss. Wenn sich der Knoten als ein Weitergabe-Knoten verhält, aktualisiert er die Zuordnungstabelle mit der Zieladresse, der Quelladresse, der Senderadresse und der Empfängeradresse für eingehende und ausgehende EAPOL-Pakete. - Sobald die Authentifizierungsanfrage den primären Authentifizierer
115 erreicht, sendet der primäre Authentifizierer115 die Authentifizierungsanfrage an den Authentifizierungs-Server125 weiter. In dem EAPOL-Ausführungsbeispiel tritt das Authentifizierungsverfahren über mehrere EAPOL-Nachrichten auf, startend mit einer EAPOL-Start- oder einer EAPOL-Anfrage/Identitäts-Nachricht und abgeschlossen mit einer EAPOL-Erfolg-Nachricht (in Falle eines Erfolgs beim Authentifizieren des Supplikanten) oder einer EAPOL-Fehlschlag-Nachricht (im Falle eines Fehlschlags beim Authentifizieren des Supplikanten). Mehrere Pakete, die Authentifizierungsinformationen auf weisen, werden zwischen dem Supplikanten und dem Authentifizierungs-Server weitergegeben, ehe der Supplikant durch das Netzwerk authentifiziert worden ist. Diese Pakete weisen mindestens eines der Pakete auf, die durch die Authentifizierungsverfahren, die durch ANSI/IEEE 802.1X definiert sind, beschrieben sind. - Die Authentifizierungsinformationen, die von dem Authentifizierungs-Server
125 empfangen werden, werden zu dem primären Authentifizierer115 gesendet. Der primäre Authentifizierer115 verwendet dann dasselbe Weitergabeverfahren, das während des Sendens der Authentifizierungsanfrage zu dem Authentifizierungs-Server125 verwendet wurde, entgegengesetzt. Der primäre Authentifizierer115 gibt die Authentifizierungsinformationen an den Knoten130 weiter, der seinerseits die Authentifizierungsinformationen zurück zu dem Authentifizierer110 weitergibt. In dem EAPOL-Ausführungsbeispiel wird das Authentifizierungsverfahren unter Verwendung mehrerer EAPOL-Nachrichten durchgeführt, die zwischen dem Authentifizierungs-Server und dem Authentifizierer weitergegeben werden. Der Authentifizierer110 erfüllt dann unter Verwendung der Authentifizierungsinformationen die Authentifizierungsanfrage. - Laut einem Ausführungsbeispiel weisen die Authentifizierungsinformationen einen paarweisen Hauptschlüssel auf, der von dem Authentifizierungs-Server
125 mittels einer Weitergabevorrichtung zurück zu dem Authentifizierer110 weitergegeben wird. Der paarweise Hauptschlüssel ist ein eindeutiger Schlüssel, der bei dem Authentifizierungs-Server125 entsprechend dem Supplikanten105 für jede Authentifizierung erzeugt wird. Jeder Supplikant hat einen eindeutigen paarweisen Hauptschlüssel, der bei dem Authentifizierungs-Server125 entsprechend jedem Supplikanten während jeder Authentifizierung erzeugt wird. Der eindeutige Schlüssel wird zurück zu dem Authentifizierer110 , der dem Supplikanten105 entspricht, weitergegeben und verwendet, um die Authentifizierungsanfrage des Supplikanten105 zu erfüllen. - Gemäß einem Ausführungsbeispiel, das in
2 offenbart ist, weist ein Verfahren zum Bereitstellen eines Zugriffs auf ein Kommunikationsnetz für einen Supplikanten einen Authentifizierer auf, der zuerst eine Authentifizierungsanfrage von einem Supplikanten empfängt, Schritt205 . Nach dem Identifizieren des Authentifizierers sendet der Supplikant die Authentifizierungsanfrage zu dem Authentifizierer. Der Authentifizierer erzeugt beim Empfangen der Authentifizierungsanfrage einen Zustand, Schritt210 . Der Zustand weist Informationen auf, die die Quelladresse, die Senderadresse, die Zieladresse, die Empfängeradresse und andere Details, die den Supplikanten und die Authentifizierungsanfrage betreffen, umfassen, Schritt220 ,225 . Der Zustand wird verwendet, um Knoten in der Weitergabekette zu identifizieren, um die Authentifizierungsinformationen während des ausgehenden Weitergabeverfahrens, z. B. wenn die Authentifizierungsinformationen von dem primären Authentifizierer hin zu dem Authentifizierer weitergegeben werden, zu senden. Laut einem anderen Ausführungsbeispiel kann der Authentifizierer mit dem primären Authentifizierer über eine Authentifizierungs-Weitergabevorrichtung verbunden sein, und daher müsste die Authentifizierungsanfrage über eine Authentifizierungs-Weitergabevorrichtung weitergegeben werden, um den primären Authentifizierer zu erreichen, Schritt230 . In diesem Fall würde jede Authentifizierungs-Weitergabevorrichtung einen Zustand basierend auf der Authentifizierungsanfrage erzeugen. Der primäre Authentifizierer gibt Authentifizierungsinformationen an den Authentifizierer weiter, wobei der Authentifizierer ein nächster Knoten ist, der die Authentifizierungsanfrage an den primären Authentifizierer gesendet hat. Die Authentifizierungsinformationen werden bei dem Authentifizierungs-Server basierend auf der Authentifizierungsanfrage, die von dem Supplikanten empfangen wurde, erzeugt. Der primäre Authentifizierer empfängt die Authentifizierungsanfrage und sendet die Authentifizierungsanfrage an den Authentifizierungs-Server weiter. - Der Authentifizierungs-Server erzeugt Authentifizierungsinformationen entsprechend dem Supplikanten und sendet die Authentifizierungsinformationen zu dem primären Authentifizierer. Die Authentifizierungsinformationen weisen einen paarweisen Hauptschlüssel auf, der für den Supplikanten eindeutig ist und der durch den Authentifizierungs-Server entsprechend dem Supplikanten erzeugt wird. Der primäre Authentifizierer gibt die Authentifizierungsinformationen zurück zu dem Authentifizierer weiter, Schritt
235 . Das ausgehende Weitergabeverfahren, d. h. die Weitergabe von dem primären Authentifizierer hin zu dem Supplikanten verwendet den Zustand, der während des eingehenden Weitergabeverfahrens erzeugt wurde, um den niedrigeren Knoten zu identifizieren, zu dem die Authentifizierungsinformationen zu senden sind. In einem Ausführungsbeispiel, bei dem der Authentifizierer über mindestens eine weitere Authentifizierungs-Weitergabevorrichtung mit dem primären Authentifizierer verbunden ist, werden die Authentifizierungsinformationen zu dem Authentifizierer weitergegeben. Der Authentifizierer erfüllt die Authentifizierungsanfrage unter Verwendung des paarweisen Hauptschlüssels, der von dem Authentifizierungs-Server über den primären Authentifizierer und die Authentifizierungs-Weitergabevorrichtung empfangen wurde. In einem Ausführungsbeispiel wird die Authentifizierungsanfrage unter Verwendung eines Vier-Wege-Handshake-Verfahrens, wie in dem ANSI/IEEE-802.1X-Standard beschrieben, erfüllt. Das Resultat eines erfolgreichen Vier-Wege-Handshakes erzeugt Schlüssel, von denen mindestens einer verwendet wird, um Kommunikationen, die zwischen dem Authentifizierer und dem Supplikanten gesendet werden, zu verschlüsseln/entschlüsseln. Das System ist fähig, die Funktion des primären Authentifizierers auf weitere authentifizierte Knoten in dem drahtlosen Kommunikationsnetz zu erweitern, indem es den Zustand bei jeder Weitergabevorrichtung erzeugt. Die Erzeugung des Zustands bei jeder Authentifizierungs-Weitergabevorrichtung ist unter Bezugnahme auf3 weiter erklärt. -
3 zeigt ein Verfahren, durch das eine Authentifizierung unter Verwendung eines Weitergabeverfahrens bereitgestellt wird. Laut einem Ausführungsbeispiel ist eine abwärtsgerichtete Weitergabe eine eingehende Weitergabe, bei der Knoten niedriger in der Weitergabe die Authentifizierungsnachrichten, die von dem Supplikanten315 empfangen wurden, hin zu dem primären Authentifizierer300 weitersenden. Der Supplikant, der ein gewöhnlicher Client ist, sendet die Authentifizierungsnachrichten zu dem ersten Authentifizierer310 . Ein Authentifizierer ist ein Supplikant, der über den primären Authentifizierer300 eine indirekte Sicherheitsbeziehung mit dem Authentifizierungs-Server hat. Wie in3 gezeigt, ist der erste Authentifizierer310 über einen zweiten Authentifizierer305 authentifiziert worden und hat daher eine sichere Beziehung mit dem Authentifizierungs-Server über den zweiten Authentifizierer305 und den primären Authentifizierer300 . Der Supplikant315 sendet zuerst eine Authentifizierung sanfrage zu dem ersten Authentifizierer310 . Die Weitergabe der Authentifizierungsanfrage zwischen dem ersten Authentifizierer310 und dem primären Authentifizierer300 kann unter Verwendung verschiedener Verfahren erledigt werden. Wie im Vorhergehenden erwähnt, kann die Authentifizierungsanfrage als eine Fernauthentifizierungs-Einwahl-Benutzerdienst (RADIUS)-Nachricht, als eine Start-Nachricht eines erweiterbaren Authentifizierungsprotokolls über LAN (EAPOL) oder als ein anderes, ähnliches Authentifizierungsprotokoll gesendet werden. Laut dem EAPOL-Ausführungsbeispiel geht die Authentifizierungsanfrage mit der Verwendung von WDS-Rahmenformaten, die in einer EAPOL-Nachricht aufgenommen sind, einher. Die WDS-Rahmen fügen die Quelladresse, die Zieladresse, die Senderadresse und die Empfängeradresse an das Paket an. Der erste Authentifizierer310 empfängt die Authentifizierungsanfrage, wie etwa eine EAPOL-Start-Nachricht, und erzeugt einen Zustand. Der Zustand weist Informationen auf, die die Quelladresse, die Zieladresse, die Senderadresse und die Empfängeradresse umfassen. In dem Ausführungsbeispiel, das in3 gezeigt ist, umfasst der Zustand, der durch den ersten Authentifizierer310 erzeugt wurde, die Quelladresse und die Senderadresse als die des Supplikanten. Das EAPOL-Paket wird dann zu dem nächsten Sprung (engl.: hop) in der abwärtsgerichteten Weitergabekette weitergegeben. Der zweite Authentifizierer305 empfängt die Authentifizierungsanfrage von dem ersten Authentifizierer310 . Der zweite Authentifizierer305 erzeugt ebenfalls einen Zustand, bei dem die Quelladresse die des Supplikanten ist; die Senderadresse ist jedoch die des ersten Authentifizierers310 . Wie hierin verwendet, weist der Zustand ein Element einer Zustandsadressen-Paarungstabelle auf, wobei das Element jede Quelladresse mit einer Senderadresse paart. Der Zustand richtet eine Beziehung ein, bei der der zweite Authentifizierer den Knoten kennt, der dem zweiten Authentifizierer305 die Authentifizierungsanfrage des Supplikanten gesendet hat. Er kann diese Beziehung verwenden, um die Authentifizierungsinformationen, die von dem Authentifizierungs-Server über den primären Authentifizierer empfangen wurden, zu dem Supplikanten weiterzugeben. Die Authentifizierungsanfrage erreicht den primären Authentifizierer300 , wobei der primäre Authentifizierer einen Zustand erzeugt. Die Quelladresse ist die Adresse des Supplikanten und die Senderadresse ist die des zweiten Authentifizierers305 . Die Authentifizierungsanfrage wird dann zur Bestätigung hin zu dem Authentifizierungs-Server weitergesendet. Wie im Vorhergehenden erwähnt, hat der primäre Authentifizierer300 unter Verwendung eines virtuellen privaten Netzes oder einer ähnlichen solchen sicheren Verbindung eine permanente Sicherheitsbeziehung mit dem Authentifizierungs-Server. - Wie hierin verwendet, ist eine aufwärtsgerichtete Weitergabe eine ausgehende Weitergabe, bei der die Authentifizierungsinformationen, die von dem Authentifizierungs-Server empfangen werden, zurück zu dem Authentifizierer weitergegeben werden. Wie in
3 gezeigt, gibt der primäre Authentifizierer300 die Authentifizierungsinformationen, die von dem Authentifizierungs-Server empfangen werden, zu dem nächsten Hop, dem zweiten Authentifizierer305 , unter Verwendung des Zustands, der in der eingehenden Weitergabe erzeugt wurde, weiter. Laut dem im Vorhergehenden beschriebenen Beispiel empfängt der zweite Authentifizierer305 das EAPOL-Paket von dem primären Authentifizierer300 und erzeugt einen zusätzlichen Zustand, wobei die Authentifizierungsinformationen gespeichert werden. Die Authentifizierungsinformationen umfassen einen eindeutigen paarweisen Hauptschlüssel entsprechend dem Supplikanten, Zeitgeber und weitere solcher Informationen. Der zweite Authentifizierer305 identifiziert den ersten Authentifizierer als den Knoten, der die Authentifizierungsanfrage in der eingehenden Weitergabe weitergegeben hat, und gibt daher die Authentifizierungsinformationen an den ersten Authentifizierer310 weiter. Der zweite Authentifizierer identifiziert den Authentifizierer, zu dem die Authentifizierungsinformationen zu senden sind, indem zuerst die Zieladresse in den Authentifizierungsinformationen bestimmt wird. Anschließend durchsucht der zweite Authentifizierer eine Zustandsadressen-Paarungstabelle. In einem Ausführungsbeispiel wird die Zustandsadressen-Paarungstabelle durch eingehende Authentifizierungsanfragen erzeugt. Der zweite Authentifizierer durchsucht die Zustandsadressen-Paarungstabelle nach einem Element mit einer übereinstimmenden Quelladresse. Sobald diese Quelladresse gefunden ist, findet der zweite Authentifizierer die gepaarte Senderadresse, die anfänglich aus den gleichen eingehenden Authentifizierungsanfrageinformationen extrahiert wurde. Nachdem er die Quelladresse und die Senderadresse der eingehenden Authentifizierungsanfrage in seiner Zustandsadressen-Paarungstabelle identifiziert hat, verwendet der zweite Authentifi zierer für das ausgehende Authentifizierungsinformationspaket die Quelladresse als die Zieladresse und die Senderadresse als die Empfängeradresse. Ähnlich empfängt der erste Authentifizierer310 das EAPOL-Paket von dem zweiten Authentifizierer305 , erzeugt einen zusätzlichen Zustand und identifiziert den Supplikanten als den nächsten Knoten in der Weitergabe. An diesem Punkt werden die Authentifizierungsinformationen, die den paarweisen Hauptschlüssel aufweisen, nicht zu dem Supplikanten gesendet. Der erste Authentifizierer310 verwendet diesen paarweisen Hauptschlüssel, um den Supplikanten mittels eines Vier-Wege-Handshakes zu authentifizieren. Das Vier-Wege-Handshake-Verfahren verwendet einen Schlüssel, der durch den Supplikanten erzeugt wurde, und den eindeutigen Schlüssel, den der erste Authentifizierer310 von dem Authentifizierungs-Server empfangen hat, um den Supplikanten zu authentifizieren. Fachleute werden jedoch erkennen, dass auch andere Wege zum Erzeugen solcher Zustände, um das Weitergabeverfahren zu ermöglichen, und zum Identifizieren von Zwischenknoten, durch die der Supplikant eine sichere Verbindung zu dem Authentifizierungs-Server einrichten kann, verwendet werden können, und dass diese Verfahren im Schutzbereich der vorliegenden Erfindung liegen. - Die
4 ,5 ,6 ,7 und9 stellen ein Verfahren zum Bereitstellen einer Mobilität für einen vertrauten Supplikanten405 dar, der gemäß einem Ausführungsbeispiel der vorliegenden Erfindung über einen ersten Authentifizierer in einem drahtlosen Kommunikationsnetz authentifiziert wurde. In einem Ausführungsbeispiel, wie es in4 gezeigt ist, ist ein vertrauter Supplikant405 ein Knoten, der eine hergestellte sichere Zuordnung zu dem Authentifizierungs-Server425 hat. Der Supplikant405 ist in der Lage, über den ersten Authentifizierer410 auf die Infrastruktur oder die Datenbank zuzugreifen. Das Authentifizierungsverfahren, das im Vorhergehenden in vorausgehenden Ausführungsbeispielen offenbart wurde, wird verwendet, um diese sichere Verbindung einzurichten. In dem Fall jedoch, bei dem der erste Authentifizierer410 die Verbindung zu dem Kommunikationsnetz trennt oder sich der vertraute Supplikant405 aus der Reichweite des ersten Authentifizierers410 bewegt, muss der vertraute Supplikant405 über einen anderen vertrauten Knoten in dem Kommunikationsnetz neu authentifiziert werden. Wie in den4 und9 gezeigt, umfasst das Verfahren zuerst das Identifizieren eines zweiten Authentifizierers430 laut Schritt905 , bei dem der zweite Authentifizierer430 und der erste Authentifizierer410 über einen dritten Authentifizierer420 eine Sicherheitszuordnung zu dem Authentifizierungs-Server haben, wobei der dritte Authentifizierer über einen primären Authentifizierer415 eine sichere Beziehung mit dem Authentifizierungs-Server425 hat. In einem Ausführungsbeispiel (nicht gezeigt) kann es mehrere weitere Authentifizierer zwischen dem ersten Authentifizierer410 und dem dritten Authentifizierer420 , oder dem zweiten Authentifizierer430 und dem dritten Authentifizierer420 oder dem dritten Authentifizierer420 und dem primären Authentifizierer415 geben. Ein Authentifizierer, der der erste gemeinsame Knoten zwischen dem ersten Authentifizierer410 und dem zweiten Authentifizierer430 ist, dient als ein Knoten, um einen Authentifizierungsausweis für den zweiten Authentifizierer430 bereitzustellen, um den Supplikanten405 neu zu authentifizieren. Wenn sich der vertraute Supplikant405 wieder an den zweiten Authentifizierer430 anschließt, hat der vertraute Supplikant405 noch seinen eindeutigen Authentifizierungsschlüssel, aber der zweite Authentifizierer hat ihn nicht, wie in5 gezeigt ist. Wie in6 gezeigt, leitet der vertraute Supplikant405 ein vollständiges Authentifizierungsverfahren ein, indem er einen Start eines erweiterbaren Authentifizierungsprotokolls über LAN (EAPOL) sendet. Der Supplikant identifiziert den zweiten Authentifizierer430 und sendet eine Authentifizierungsanfrage zu dem zweiten Authentifizierer430 . Der zweite Authentifizierer430 gibt diese Authentifizierungsanfrage hin zu dem primären Authentifizierer weiter. Der dritte Authentifizierer420 empfängt jedoch in der Weitergabe die Authentifizierungsanfrage und identifiziert den Supplikanten. Der dritte Authentifizierer420 gibt den eindeutigen Schlüssel, der dem vertrauten Supplikanten405 entspricht, laut Schritt910 zurück zu dem zweiten Authentifizierer weiter. Der dritte Authentifizierer420 identifiziert basierend auf der Adresse des Supplikanten405 , die vorher durch den dritten Authentifizierer420 während der Authentifizierung des Supplikanten405 durch den ersten Authentifizierer410 gespeichert worden war, den Supplikanten. Wenn der vertraute Supplikant405 über den zweiten Authentifizierer430 neu authentifiziert wird, läuft die Authentifizierungsanfrage nicht zu dem primären Authentifizierer415 . Der dritte Authentifizierer420 ist in der Lage, die dem vertrauten Supplikanten405 entsprechenden Authentifizierungsinformationen direkt zu dem zweiten Authentifizierer430 weiterzu senden. Der zweite Authentifizierer430 erhält den eindeutigen Schlüssel von dem dritten Authentifizierer420 und authentifiziert unter Verwendung des eindeutigen Schlüssels laut Schritt915 den vertrauten Supplikanten. Das Neuauthentifizierungsverfahren wird mittels des Vier-Wege-Handshakes zwischen dem zweiten vertrauten Knoten und dem vertrauten Supplikanten abgeschlossen. Dieses Verfahren stellt für einen Supplikanten in einem drahtlosen Kommunikationsnetz eine erhöhte Mobilität bereit. - Gemäß einem anderen Ausführungsbeispiel, wie es in
7 gezeigt ist, können die Knoten so konfiguriert sein, dass der paarweise Hauptschlüssel, der während der Authentifizierung weitergegeben wird, lediglich bei ausgewählten Authentifizierern, um den Supplikanten zu authentifizieren, gespeichert wird. Zum Beispiel kann der paarweise Hauptschlüssel lediglich bei dem primären Authentifizierer415 und dem ersten Authentifizierer410 gespeichert sein, wenn der Supplikant über den ersten Authentifizierer410 authentifiziert wird. Der paarweise Hauptschlüssel ist bei keinem der Zwischenauthentifizierer wie etwa420 gespeichert. Den paarweisen Hauptschlüssel nicht bei Zwischenauthentifizierern zu speichern, erhöht die Sicherheit in dem System. Dem Supplikanten wird jedoch nicht die erhöhte Mobilität bereitgestellt, die in einem vorausgehenden Ausführungsbeispiel bereitgestellt ist. In dem Fall, in dem der Authentifizierungsausweis lediglich bei dem ersten Authentifizierer410 und dem primären Authentifizierer415 gespeichert ist, müsste die Authentifizierungsanfrage an den primären Authentifizierer415 weitergegeben werden, um den Authentifizierungsausweis, d. h. den eindeutigen paarweisen Hauptschlüssel, zu erhalten, anstelle des vorausgehenden Ausführungsbeispiels, in dem der dritte Authentifizierer420 in der Lage ist, die Authentifizierungsinformationen an den zweiten Authentifizierer430 weiterzugeben. Der eindeutige Schlüssel wird an den zweiten Authentifizierer430 weitergegeben und dann verwendet, um das Authentifizierungsverfahren unter Verwendung eines Vier-Wege-Handshakes abzuschließen. Dieses Ausführungsbeispiel verhindert jedoch immer noch die Notwendigkeit, den Authentifizierungs-Server425 erneut zu kontaktieren, um die Authentifizierungsinformationen, die den vertrauten Supplikanten405 betreffen, zu erhalten. Die Verzögerung, die aufgrund des Verfahrens des Kontaktierens des Authentifizierungs-Servers425 verursacht wird, wird vermieden, und der primäre Authentifi zierer415 kann den Authentifizierungsausweis, der zur Zeit des Authentifizierens des Supplikanten über den ersten Authentifizierer410 erzeugt wurde, direkt an den zweiten Authentifizierer für eine Neuauthentifizierung weitergeben. - Gemäß einem Ausführungsbeispiel, das in
8 gezeigt ist, ist der paarweise Hauptschlüssel bei ausgewählten Authentifizierern gespeichert. Ein Authentifizierungsknoten935 kann, abhängig von der Konfiguration, auf eine von zwei Betriebsarten arbeiten. Der Authentifizierer935 kann Datenverkehr, den der Authentifizierer830 zulässt, zulassen, oder alle Authentifizierer unter dem Authentifizierer830 oder alle Authentifizierer unter und830 umfassend dazu zwingen, sich neu zu authentifizieren. - Diese Offenbarung soll erklären, wie man verschiedene Ausführungsbeispiele gemäß der Erfindung gestaltet und verwendet und nicht den wahren, beabsichtigten und angemessenen Schutzbereich und Geist davon begrenzen. Die vorangegangene Erörterung soll nicht erschöpfend sein oder die Erfindung auf die exakten Formen, die offenbart wurden, begrenzen. Modifikationen oder Variationen sind im Lichte der vorhergehenden Lehren möglich. Das (die) Ausführungsbeispiel(e) wurde(n) gewählt und beschrieben, um die beste Darstellung der Prinzipien der Erfindung und der praktischen Anwendung bereitzustellen, und es einem Fachmann zu ermöglichen, die Erfindung in verschiedenen Ausführungsbeispielen und mit verschiedenen Modifikationen zu benutzen, wie sie für die betrachtete spezielle Verwendung geeignet sind. Alle solchen Modifikationen und Variationen liegen im Schutzbereich der Erfindung, wie er durch die angefügten Ansprüche, wie sie während der Anhängigkeit dieser Patentanmeldung geändert werden können, und aller Äquivalente davon bestimmt ist, wenn sie gemäß dem Umfang, zu dem sie angemessen, gesetzlich und billigerweise berechtigt sind, interpretiert werden.
- Zusammenfassung
- System und Verfahren zum Bereitstellen eines Multihop-Zugriffs in einem Kommunikationsnetz
- Ein System und Verfahren zum Bereitstellen eines Zugriffs auf ein Kommunikationsnetz für einen Supplikanten sind offenbart. Ein Authentifizierer empfängt (
205 ) von dem Supplikanten eine Authentifizierungsanfrage bei einem Authentifizierer. Ein Zustand wird basierend auf der Authentifizierungsanfrage bei dem Authentifizierer erzeugt (210 ). Die Authentifizierungsanfrage wird hin zu einem primären Authentifizierer weitergegeben (230 ), wobei der primäre Authentifizierer mit einem Authentifizierungs-Server verbunden ist. Schließlich empfängt (235 ) der Authentifizierer Authentifizierungsinformationen von dem primären Authentifizierer und erfüllt (240 ) die Authentifizierungsanfrage unter Verwendung der Authentifizierungsinformationen.
Claims (10)
- Verfahren zum Bereitstellen eines Zugriffs auf ein drahtloses Kommunikationsnetz für einen Supplikanten (
105 ;315 ;405 ), mit folgenden Schritten: Empfangen (205 ) einer Authentifizierungsanfrage bei einem Authentifizierer (110 ;310 ;410 ) von dem Supplikanten (105 ;315 ;405 ); Erzeugen (210 ) eines Zustands basierend auf der Authentifizierungsanfrage bei dem Authentifizierer (110 ;310 ;410 ); Weitergeben (230 ) der Authentifizierungsanfrage hin zu einem primären Authentifizierer (115 ;300 ;415 ), wobei der primäre Authentifizierer (115 ;300 ;415 ) mit einem Authentifizierungs-Server (125 ;425 ) verbunden ist; Weitergeben von Authentifizierungsinformationen von dem primären Authentifizierer (115 ;300 ;415 ) zu dem Authentifizierer (110 ;310 ;410 ), wobei die Authentifizierungsinformationen bei dem Authentifizierungs-Server (125 ;425 ) erzeugt werden: Empfangen (235 ) der Authentifizierungsinformationen von dem Authentifizierer (110 ;310 ;410 ); und Erfüllen (240 ) der Authentifizierungsanfrage. - Verfahren nach Anspruch 1, bei dem das drahtlose Kommunikationsnetz ein 802.11-Netz ist.
- Verfahren nach Anspruch 1, bei dem der Schritt des Erzeugens (
210 ) eines Zustands ferner folgende Schritte aufweist: Speichern (220 ) einer Quelladresse, die dem Supplikanten (105 ;315 ;405 ) entspricht; und Speichern (225 ) einer Senderadresse, die einem Knoten, der die Authentifizierungsanfrage sendet, entspricht. - Verfahren nach Anspruch 3, das ferner den Schritt des Weitergebens von Authentifizierungsinformationen von dem Authentifizierer (
110 ;310 ;410 ) zu dem Supplikanten (105 ;315 ;405 ) aufweist, bei dem der Schritt ferner folgende Schritte aufweist: Bestimmen der Quelladresse aus einer Zieladresse der Authentifizierungsinformationen; und Bestimmen der Senderadresse aus der Quelladresse; Gleichsetzen der Zieladresse der Authentifizierungsinformationen mit der bestimmten Quelladresse; und Gleichsetzen einer Empfängeradresse mit der Senderadresse. - Verfahren nach Anspruch 1, ferner mit folgendem Schritt: Erzeugen eines zusätzlichen Zustands nach dem Empfangen der Authentifizierungsinformationen von dem primären Authentifizierer (
115 ;300 ;415 ). - Verfahren nach Anspruch 5, bei dem der zusätzliche Zustand ein Speichern eines paarweisen Hauptschlüssels aufweist, wobei der paarweise Hauptschlüssel durch den Authentifizierer (
110 ;310 ;410 ) verwendet wird, um die Authentifizierungsanfrage des Supplikanten (105 ;315 ;405 ) mittels eines Vier-Wege-Handshakes zu erfüllen. - Verfahren nach Anspruch 1, bei dem der Supplikant (
105 ;315 ;405 ) ein 802.1X-Supplikant ist. - Verfahren nach Anspruch 1, bei dem die Authentifizierungsanfrage Fernauthentifizierungs-Einwahl-Benutzerdienst-Nachrichten aufweist.
- Verfahren nach Anspruch 1, bei dem die Authentifizierungsanfrage von dem Authentifizierer (
110 ) durch mindestens einen Knoten (130 ) zu dem primären Authentifizierer (115 ) weitergegeben wird und die Authentifizierungsinformationen von dem primären Authentifizierer (115 ) durch mindestens einen Knoten (130 ) zu dem Authentifizierer (110 ) weitergegeben werden. - Verfahren zum Bereitstellen einer Mobilität für einen vertrauten Supplikanten (
405 ), der über einen Authentifizierer (410 ) authentifiziert wurde, in einem drahtlosen Kommunikationsnetz, mit folgenden Schritten: Identifizieren (905 ) eines zweiten Authentifizierers (430 ), wobei der zweite Authentifizierer (430 ) und der erste Authentifizierer (410 ) über einen dritten Authentifizierer (420 ) mit einem primären Authentifizierer (415 ) kommunizieren; Senden (910 ) eines eindeutigen Schlüssels entsprechend dem vertrauten Supplikanten (405 ) von dem dritten Authentifizierer (420 ) zu dem zweiten Authentifizierer (430 ); und Authentifizieren des vertrauten Supplikanten (405 ) durch den zweiten Authentifizierer (430 ) unter Verwendung des eindeutigen Schlüssels, wobei der eindeutige Schlüssel durch einen Authentifizierungs-Server (425 ) während des Authentifizierens des vertrauten Supplikanten (405 ) über den ersten Authentifizierer (410 ) erzeugt worden ist, und wobei der eindeutige Schlüssel mindestens in dem ersten Authentifizierer (410 ) und dem primären Authentifizierer (415 ) gespeichert wird.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/108,999 US8850194B2 (en) | 2005-04-19 | 2005-04-19 | System and methods for providing multi-hop access in a communications network |
US11/108,999 | 2005-04-19 | ||
PCT/US2006/012910 WO2006113159A2 (en) | 2005-04-19 | 2006-04-07 | System and methods for providing multi-hop access in a communications network |
Publications (1)
Publication Number | Publication Date |
---|---|
DE112006000950T5 true DE112006000950T5 (de) | 2008-02-21 |
Family
ID=37110114
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE112006000950T Withdrawn DE112006000950T5 (de) | 2005-04-19 | 2006-04-07 | System und Verfahren zum Bereitstellen eines Multihop-Zugriffs in einem Kommunikationssnetz |
Country Status (5)
Country | Link |
---|---|
US (1) | US8850194B2 (de) |
KR (1) | KR100952783B1 (de) |
DE (1) | DE112006000950T5 (de) |
TW (1) | TW200644559A (de) |
WO (1) | WO2006113159A2 (de) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7716724B2 (en) * | 2005-06-16 | 2010-05-11 | Verizon Business Global Llc | Extensible authentication protocol (EAP) state server |
US20070047477A1 (en) * | 2005-08-23 | 2007-03-01 | Meshnetworks, Inc. | Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication |
KR101137340B1 (ko) * | 2005-10-18 | 2012-04-19 | 엘지전자 주식회사 | 릴레이 스테이션의 보안 제공 방법 |
US8862881B2 (en) * | 2006-05-30 | 2014-10-14 | Motorola Solutions, Inc. | Method and system for mutual authentication of wireless communication network nodes |
CN101123498B (zh) * | 2006-08-08 | 2011-12-28 | 华为技术有限公司 | 一种实现接入认证的方法、设备及系统 |
DE102006038592B4 (de) * | 2006-08-17 | 2008-07-03 | Siemens Ag | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
JP4983208B2 (ja) | 2006-11-07 | 2012-07-25 | 富士通株式会社 | 中継局、無線通信方法 |
US20080120264A1 (en) * | 2006-11-20 | 2008-05-22 | Motorola, Inc. | Method and Apparatus for Efficient Spectrum Management in a Communications Network |
JP2008131429A (ja) * | 2006-11-22 | 2008-06-05 | Seiko Epson Corp | 無線lan通信システム設定方法及び無線lanアクセスポイント |
WO2008072211A2 (en) * | 2006-12-14 | 2008-06-19 | Iwics Inc | Distributed network management hierarchy in a multi-station communication network |
US20080220716A1 (en) | 2007-03-06 | 2008-09-11 | Institute For Information Industry | Communication system and handshake method thereof |
US7990947B2 (en) * | 2007-06-12 | 2011-08-02 | Robert W. Twitchell, Jr. | Network watermark |
US20090031398A1 (en) * | 2007-07-23 | 2009-01-29 | Motorola, Inc. | Role determination for meshed node authentication |
US20100106971A1 (en) * | 2008-10-27 | 2010-04-29 | Domagoj Premec | Method and communication system for protecting an authentication connection |
US8695082B2 (en) * | 2008-10-27 | 2014-04-08 | Nokia Siemens Networks Oy | Method and communication system for accessing a wireless communication network |
KR101683286B1 (ko) * | 2009-11-25 | 2016-12-06 | 삼성전자주식회사 | 이동통신망을 이용한 싱크 인증 시스템 및 방법 |
KR101706117B1 (ko) * | 2010-01-15 | 2017-02-14 | 삼성전자주식회사 | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 |
JP5091963B2 (ja) * | 2010-03-03 | 2012-12-05 | 株式会社東芝 | 通信局、認証局及び認証方法 |
JP5713244B2 (ja) * | 2012-01-17 | 2015-05-07 | 日立金属株式会社 | ネットワークシステム |
US9392458B2 (en) * | 2013-03-15 | 2016-07-12 | Qualcomm Incorporated | Authentication for relay deployment |
US20150381577A1 (en) | 2014-06-30 | 2015-12-31 | Motorola Solutions, Llc. | System for, and method of, authenticating a supplicant, and distributing group keys to group members, in a multi-hop wireless communications network with enhanced security |
CN113709914B (zh) * | 2020-05-07 | 2023-07-21 | 云米互联科技(广东)有限公司 | Mesh网络的配网方法、服务器、Mesh设备及存储介质 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100487062B1 (ko) * | 2001-03-16 | 2005-05-03 | 니뽄 덴신 덴와 가부시키가이샤 | 사용자가 자유롭게 설치할 수 있는 기지국을 이용하는무선 통신 시스템 |
US6856800B1 (en) * | 2001-05-14 | 2005-02-15 | At&T Corp. | Fast authentication and access control system for mobile networking |
US7174456B1 (en) * | 2001-05-14 | 2007-02-06 | At&T Corp. | Fast authentication and access control method for mobile networking |
US6693888B2 (en) * | 2001-06-06 | 2004-02-17 | Networks Associates Technology, Inc. | Method and apparatus for filtering that specifies the types of frames to be captured and to be displayed for an IEEE802.11 wireless LAN |
US6879574B2 (en) * | 2002-06-24 | 2005-04-12 | Nokia Corporation | Mobile mesh Ad-Hoc networking |
US20050152305A1 (en) * | 2002-11-25 | 2005-07-14 | Fujitsu Limited | Apparatus, method, and medium for self-organizing multi-hop wireless access networks |
US7634230B2 (en) * | 2002-11-25 | 2009-12-15 | Fujitsu Limited | Methods and apparatus for secure, portable, wireless and multi-hop data networking |
US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
US20040105414A1 (en) * | 2002-12-02 | 2004-06-03 | Narayanan Sathya R. | Multi-hop wireless network data forwarding |
TWI224445B (en) * | 2003-04-15 | 2004-11-21 | Benq Corp | Method and system creating link inside wireless network |
US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
GB2397477B (en) * | 2003-11-26 | 2004-12-01 | F Secure Oyj | Securing a data transmission channel |
EP1566938A1 (de) * | 2004-02-18 | 2005-08-24 | Sony International (Europe) GmbH | Registrierungseinrichtung in einem drahtlosen ad-hoc Mehrsprungnetz |
WO2006000239A1 (en) * | 2004-06-24 | 2006-01-05 | Telecom Italia S.P.A. | Method and system for controlling access to communication networks, related network and computer program therefor |
EP1805920B1 (de) * | 2004-10-27 | 2011-08-10 | Meshnetworks, Inc. | System und verfahren zur gewährleistung von sicherheit für ein drahtloses netzwerk |
KR20070045743A (ko) * | 2005-10-28 | 2007-05-02 | 삼성전자주식회사 | 멀티 홉 무선 이동 통신 시스템에서 데이터 송수신 방법 |
-
2005
- 2005-04-19 US US11/108,999 patent/US8850194B2/en active Active
-
2006
- 2006-04-07 KR KR1020077023919A patent/KR100952783B1/ko active IP Right Grant
- 2006-04-07 WO PCT/US2006/012910 patent/WO2006113159A2/en active Application Filing
- 2006-04-07 DE DE112006000950T patent/DE112006000950T5/de not_active Withdrawn
- 2006-04-19 TW TW095113883A patent/TW200644559A/zh unknown
Also Published As
Publication number | Publication date |
---|---|
US8850194B2 (en) | 2014-09-30 |
TW200644559A (en) | 2006-12-16 |
KR20070112483A (ko) | 2007-11-26 |
WO2006113159A2 (en) | 2006-10-26 |
US20060236377A1 (en) | 2006-10-19 |
WO2006113159A3 (en) | 2009-04-16 |
KR100952783B1 (ko) | 2010-04-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE112006000950T5 (de) | System und Verfahren zum Bereitstellen eines Multihop-Zugriffs in einem Kommunikationssnetz | |
DE60209858T2 (de) | Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk | |
DE102006038591B4 (de) | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks | |
DE60113925T2 (de) | Integritätsprüfung in einem kommunikationssystem | |
DE112005002651B4 (de) | Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen | |
DE602004011573T2 (de) | Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken | |
DE102006038592B4 (de) | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks | |
EP1529374B2 (de) | Verfahren und system für gsm-authentifizierung bei wlan-roaming | |
DE60109993T2 (de) | Verfahren zur überprüfung der menge übermittelter daten | |
DE602004007708T2 (de) | Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke | |
DE60037593T2 (de) | Gesichertes ad hoc netzwerk sowie verfahren zu dessen betreiben | |
DE112016002319T5 (de) | Verfahren und vorrichtung zur initialzertifikatregistrierung in einem drahtlosen kommunikationssystem | |
DE202006020961U1 (de) | Zugangspunkt für Mobilkommunikationsnetz | |
DE60201522T2 (de) | Ermöglichen legales abfangen von ip-verbindungen | |
DE10138718A1 (de) | Verfahren zur Übermittlung von Chiffrierungsinformationen an Teilnehmer einer Multicast-Gruppe | |
DE102004045147A1 (de) | Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm | |
DE112006000618T5 (de) | System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk | |
DE112008001844B4 (de) | Verhandlung über Ressourcen für schnelle Übergänge | |
WO2007138060A1 (de) | Verfahren und system zum bereitstellen eines mesh-schlüssels | |
DE112006001618B4 (de) | Verfahren und Vorrichtung zum Verringern der Latenz während Änderungen einer drahtlosen Konnektivität | |
DE102006060040B4 (de) | Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung | |
DE112018000632T5 (de) | Verfahren und systeme zum verbinden eines drahtlosen kommunikationsgeräts mit einem verlegbaren drahtlosen kommunikationsnetzwerk | |
DE602004012465T2 (de) | Vorrichtung und verfahren zur betrugsverhinderung beim zugriff durch drahtlose lokale netzwerke | |
WO2006034935A1 (de) | Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes | |
EP1776821B1 (de) | System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
R082 | Change of representative |
Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, DE Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, 85 |
|
R081 | Change of applicant/patentee |
Owner name: MOTOROLA SOLUTIONS, INC., SCHAUMBURG, US Free format text: FORMER OWNER: MOTOROLA, INC., SCHAUMBURG, ILL., US Effective date: 20120113 Owner name: MOTOROLA SOLUTIONS, INC., US Free format text: FORMER OWNER: MOTOROLA, INC., SCHAUMBURG, US Effective date: 20120113 |
|
R082 | Change of representative |
Representative=s name: SCHUMACHER & WILLSAU PATENTANWALTSGESELLSCHAFT, DE Effective date: 20120113 Representative=s name: SCHUMACHER & WILLSAU PATENTANWALTSGESELLSCHAFT MBH |
|
R082 | Change of representative |
Representative=s name: SCHUMACHER & WILLSAU PATENTANWALTSGESELLSCHAFT, DE Representative=s name: SCHUMACHER & WILLSAU PATENTANWALTSGESELLSCHAFT MBH |
|
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |
Effective date: 20121101 |