DE112006000950T5 - System und Verfahren zum Bereitstellen eines Multihop-Zugriffs in einem Kommunikationssnetz - Google Patents

System und Verfahren zum Bereitstellen eines Multihop-Zugriffs in einem Kommunikationssnetz Download PDF

Info

Publication number
DE112006000950T5
DE112006000950T5 DE112006000950T DE112006000950T DE112006000950T5 DE 112006000950 T5 DE112006000950 T5 DE 112006000950T5 DE 112006000950 T DE112006000950 T DE 112006000950T DE 112006000950 T DE112006000950 T DE 112006000950T DE 112006000950 T5 DE112006000950 T5 DE 112006000950T5
Authority
DE
Germany
Prior art keywords
authenticator
authentication
supplicant
primary
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE112006000950T
Other languages
English (en)
Inventor
Anthony R. Naperville Metke
Robert D. Rolling Meadows Logalbo
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Motorola Solutions Inc
Original Assignee
Motorola Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Motorola Inc filed Critical Motorola Inc
Publication of DE112006000950T5 publication Critical patent/DE112006000950T5/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/02Communication route or path selection, e.g. power-based or shortest path routing
    • H04W40/22Communication route or path selection, e.g. power-based or shortest path routing using selective relaying for reaching a BTS [Base Transceiver Station] or an access point
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/18Self-organising networks, e.g. ad-hoc networks or sensor networks
    • H04W84/22Self-organising networks, e.g. ad-hoc networks or sensor networks with access to wired networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/04Terminal devices adapted for relaying to or from another terminal or user

Abstract

Verfahren zum Bereitstellen eines Zugriffs auf ein drahtloses Kommunikationsnetz für einen Supplikanten (105; 315; 405), mit folgenden Schritten:
Empfangen (205) einer Authentifizierungsanfrage bei einem Authentifizierer (110; 310; 410) von dem Supplikanten (105; 315; 405);
Erzeugen (210) eines Zustands basierend auf der Authentifizierungsanfrage bei dem Authentifizierer (110; 310; 410);
Weitergeben (230) der Authentifizierungsanfrage hin zu einem primären Authentifizierer (115; 300; 415), wobei der primäre Authentifizierer (115; 300; 415) mit einem Authentifizierungs-Server (125; 425) verbunden ist;
Weitergeben von Authentifizierungsinformationen von dem primären Authentifizierer (115; 300; 415) zu dem Authentifizierer (110; 310; 410), wobei die Authentifizierungsinformationen bei dem Authentifizierungs-Server (125; 425) erzeugt werden:
Empfangen (235) der Authentifizierungsinformationen von dem Authentifizierer (110; 310; 410); und
Erfüllen (240) der Authentifizierungsanfrage.

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung bezieht sich auf ein System und Verfahren zum Bereitstellen eines Client-Zugriffs auf ein Kommunikationsnetz durch einen Authentifizierer in dem Kommunikationsnetz.
  • HINTERGRUND DER ERFINDUNG
  • Die Verwendung drahtloser Kommunikationsvorrichtungen hat über die Jahre zugenommen. Bei heutigen Kommunikationsnetzen benötigen mobile Vorrichtungen wie PDAs, zelluläre Telefone und Laptops eine Authentifizierung, bevor sie einen Zugriff auf private Datenbanken oder einen Zugriff auf das Internet erhalten. Vorrichtungen werden durch einen Infrastrukturzugriffspunkt (engl.: Infrastructure Access Point; IAP), typischerweise eine Basisstation, die mit einem Authentifizierungs-Server verbunden ist, authentifiziert. Die Authentifizierungsanfrage wird unter Verwendung des erweiterbaren Authentifizierungsprotokolls (engl.: Extensible Authentication Protocol; EAP), das EAP-über-LAN-Pakete (engl.: EAP over LAN; EAPOL) aufweist, gesendet. Das gesamte Authentifizierungsverfahren geht damit einher, dass mehrere EAPOL-Pakete, startend mit einem EAP-Start-Paket und abgeschlossen mit entweder einem EAP-Erfolg-Nachrichtenpaket oder einem EAP-Fehlschlag-Nachrichtenpaket, gesendet und empfangen werden. Der Authenitfizierungs-Server speichert den Authentifizierungsausweis der Vorrichtung (typischerweise Supplikant genannt), die unter Verwendung des Authentifizierungs-Servers authentifiziert wird. Authentifizierungs-Server können auch mit anderen Authentifizierungs-Servern verbunden sein, um Authentifizierungsausweise von Supplikanten, die nicht lokal gespeichert sind, zu erhalten.
  • Bei früheren Systemen wird ein zentralisierter Lösungsansatz verfolgt, bei dem ein einziger IAP das Authentifizierungsverfahren aller Supplikanten in der Reichweite des IAPs handhabt. Da jeder Supplikant lediglich über den IAP authentifiziert werden kann, hat dieses Verfahren mehrere Mängel. Frühere Systeme, die die Standards ANSI/IEEE 802.1X oder ANSI/IEEE 802.11i des American National Standards Institute/Institute of Electrical and Electronics Engineers einhalten, benutzen ein solches Verfahren. In solchen Standards ist das Verfahren der Authentifizierung mobiler Vorrichtungen definiert und die Standards erörtern einen Supplikanten, einen Authentifizierer und einen Authentifizierungs-Server, wobei der Authentifizierungs-Server einen Supplikanten unter Verwendung eines Authentifizierers authentifiziert. Der Authentifizierungs-Server vertraut darauf, dass der Authentifizierer korrekte Authentifizierungsinformationen, die von dem Supplikanten empfangen wurden, zu dem Authentifizierungs-Server weitersendet. Das Authentifizierungsverfahren, wie es in den Standards festgelegt ist, erfordert jedoch, dass der Supplikant einen direkten Kommunikationskanal mit dem Authentifizierer hat, und als solche unterstützen die Standards keine drahtlosen Multihop-Kommunikationen.
  • Da sich frühere Systeme auf einen zentralisierten Lösungsansatz stützen und einen direkten Kommunikationskanal erfordern, gibt es eine Notwendigkeit für ein verbessertes System und Verfahren zum Bereitstellen eines Multihop-Zugriffs.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die beigefügten Zeichnungen sind, zusammen mit der detaillierten Beschreibung im Folgenden, in die Beschreibung aufgenommen und bilden einen Teil von ihr, dienen dazu, verschiedene Ausführungsbeispiele weiter zu erläutern und verschiedene Prinzipien und Vorteile, alle gemäß der vorliegenden Erfindung, zu erklären.
  • 1 ist ein erstes Ausführungsbeispiel, das einen verteilten Lösungsansatz bei einem drahtlosen Kommunikationsnetz zeigt.
  • 2 ist ein zweites Ausführungsbeispiel, das ein Flussdiagramm eines Verfahrens zum Bereitstellen eines Zugriffs bei einem drahtlosen Kommunikationsnetz zeigt.
  • 3 stellt ein Verfahren zum Erzeugen eines Zustands an jedem Authentifizierungsknoten in einer Weitergabekette gemäß einem Ausführungsbeispiel der Erfindung dar.
  • 4 zeigt ein drittes Ausführungsbeispiel für ein Verfahren zum Bereitstellen von Mobilität für einen vertrauten Supplikanten, der über einen Authentifizierer authentifiziert wurde, bei einem drahtlosen Kommunikationsnetz.
  • 5 zeigt das dritte Ausführungsbeispiel, bei dem der vertraute Supplikant um Authentifizierung ersucht, nachdem er sich mit einem zweiten Authentifizierer verbunden hat.
  • 6 zeigt das Ausführungsbeispiel von 4, bei dem der vertraute Supplikant durch den zweiten Authentifizierer authentifiziert wird.
  • 7 zeigt ein Ausführungsbeispiel von 4, bei dem an ausgewählten Knoten ein paarweiser Hauptschlüssel gespeichert ist.
  • 8 zeigt ein anderes Verfahren gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.
  • 9 ist ein Flussdiagramm eines Verfahrens zum Bereitstellen von Mobilität für einen vertrauten Supplikanten, das in dem dritten Ausführungsbeispiel beschrieben ist.
  • DETAILLIERTE BESCHREIBUNG
  • Die vorliegende Erfindung kann in verschiedenen Formen und auf verschiedene Art und Weise ausgeführt sein. Die im Folgenden bereitgestellte Beschreibung und die Zeichnungen zeigen beispielhafte Ausführungsbeispiele der Erfindung. Fachleute werden erkennen, dass die Erfindung in anderen Formen und auf andere Art und Weise ausgeführt sein kann, die im Folgenden nicht gezeigt sind. Die Erfindung soll den vollen Schutzbereich der Ansprüche haben und nicht durch die im Folgenden gezeigten Ausführungsbeispiele begrenzt sein. Weiterhin ist offensichtlich, dass die Verwendung relationaler Ausdrücke, falls welche vorkommen, wie erste(r,s), zweite(r,s), oberste(r,s) und unterste(r,s), vordere(r,s) und hintere(r,s) und dergleichen, alleine zum Unterscheiden eines Elements oder einer Handlung von einer anderen verwendet werden, ohne notwendigerweise eine solche tatsächliche Beziehung oder Reihenfolge zwischen solchen Elementen oder Handlungen zu erfordern oder zu implizieren.
  • 1 erläutert ein Kommunikationsnetz, das einen Supplikanten 105, einen Authentifizierer 110, einen primären Authentifizierer 115, einen Knoten 130 sowie einen Authentifizierungs-Server 125 aufweist. Der Supplikant 105 sendet eine Authentifzierungsanfrage zu dem Authentifizierer 110, wobei der Authentifizierer die Authentifizierungsanfrage mittels einer Weitergabevorrichtung hin zu einem primären Authentifizierer 115 weitersendet. Wie hierin verwendet, ist der primäre Authentifizierer 115 ein ortsfester Knoten, der eine permanente Sicherheitszuordnung zu dem Authentifizierungs-Server 125 hat. Wie hierin verwendet, ist der Authentifizierer 110 ein Supplikant, der bereits durch den primären Authentifizierer 115 indirekt authentifiziert wurde und daher nun als ein Authentifizierer bezeichnet wird. Der Knoten 130 ist der Authentifizierer des Authentifizierers 110. Wie in 1 gezeigt, hat der Supplikant 105 eine indirekte Sicherheitszuordnung zu dem Authentifizierungs-Server 125, wobei indirekt bedeutet, dass die Sicherheitszuordnung des Supplikanten 105 über mindestens einen weiteren Knoten besteht. In diesem Fall besitzt der Supplikant 105 eine indirekte Sicherheitszuordnung über den Knoten 130 und den primären Authentifizierer 115.
  • Gemäß einem Ausführungsbeispiel wird der Supplikant 105 über den Authentifizierer 110 authentifiziert und einmal authentifiziert, ist er in der Lage, als ein Authen tifizierer für andere Supplikanten in dem drahtlosen Kommunikationsnetz zu dienen. Wie hierin verwendet, ist die Authentifizierungsanfrage eine Authentifizierungsnachricht, die von dem Supplikanten 105 zu dem Authentifizierer 110 gesendet wird. Wie hierin verwendet, ist die Richtung eines Sendens einer Nachricht von dem Supplikanten zu dem Authentifizierer hin zu dem primären Authentifizierer eingehend; wohingegen die Richtung eines Sendens einer Nachricht von dem primären Authentifizierer hin zu dem Authentifizierer und dem Supplikanten ausgehend ist. Wie einem Fachmann bekannt ist, kann die Authentifizierungsanfrage als eine Fernauthentifizierungs-Einwahl-Benutzerdienst (engl.: Remote Authentication Dial In User Service; RADIUS)-Nachricht, als eine Start-Nachricht eines erweiterbaren Authentifizierungsprotokolls über LAN (EAPOL) oder als ein anderes, ähnliches Authentifizierungsprotokoll gesendet werden. Fachleute werden erkennen, dass es mehrere Protokolle und Benachrichtigungstechnologien gibt, die verwendet werden können, um Authentifizierungsanfragen zu senden und zu empfangen, und dass solche Protokolle und Benachrichtigungstechnologien im Schutzbereich der vorliegenden Erfindung liegen.
  • In jedem Fall enthält die Authentifizierungsanfrage Informationen, die anzeigen, dass der Supplikant versucht, sich mit dem Authentifizierungs-Server zu authentifizieren. In dem EAPOL-Ausführungsbeispiel tritt das Authentifizierungsverfahren über mehrere EAPOL-Nachrichten auf, startend mit einer EAPOL-Start- oder einer EAPOL-Anfrage/Identitäts-Nachricht und abschließend mit einer EAPOL-Erfolg-Nachricht (im Falle eines Erfolgs beim Authentifizieren des Supplikanten) oder einer EAPOL-Fehlschlag-Nachricht (im Falle eines Fehlschlags beim Authentifizieren des Supplikanten). Ferner kann jeder Authentifizierer konfiguriert sein, um solche Authentifizierungsanfragen zu erzeugen und die Authentifizierungsanfragen zu dem primären Authentifizierer weiterzusenden. In jedem Fall speichert der Authentifizierungs-Server den Authentifizierungsausweis des Supplikanten und verwendet den Authentifizierungsausweis, um die Authentifizierungsanfrage zu bestätigen.
  • In einem Ausführungsbeispiel sind der Supplikant und die Authentifizierer in dem Kommunikationsnetz Laptop-Computer. In einem solchen Ausführungsbeispiel dient ein Infrastrukturzugriffspunkt (IAP) als ein primärer Authentifizierer zum Authentifizieren der Laptop-Computer zusammen mit einem alternativen Authentifizierungs-Server (AAA-Server). Zum Beispiel kann ein Polizei-Netz mehreren Laptops, die die Polizeidienststelle in einem drahtlosen Kommunikationsnetz besitzt, einen Zugriff auf die Infrastruktur der Polizei bereitstellen. In herkömmlichen Systemen würde jeder Laptop, den die Polizeidienststelle besitzt, über den IAP, der die Polizeidienststelle ebenfalls besitzen kann, authentifiziert werden. Die vorliegende Erfindung stellt jedoch ein Verfahren bereit, durch das jeder Laptop, der bereits durch das Kommunikationsnetz authentifiziert worden ist, auch als ein Authentifizierer dienen kann. In einem Ausführungsbeispiel sendet ein Authentifizierer, z. B. ein Supplikant, der über den primären Authentifizierer eine indirekte Sicherheitsbeziehung mit dem Authentifizierungs-Server hat, eine Anzeige aus, wodurch jeder neue Laptop, der einen Zugriff auf die Infrastrukturdienste der Polizei erhalten will, über den Authentifizierer authentifiziert werden kann, anstatt durch den IAP direkt authentifiziert zu werden. Das Verfahren eines Authentifizierens des Supplikanten über einen anderen Authentifizierer wird durch eine Weitergabevorrichtung erledigt, wobei die Authentifizierungsanfrage über den Authentifizierer hin zu dem primären Authentifizierer weitergegeben wird. Wie hierin verwendet, ist der primäre Authentifizierer ein ortsfester Knoten, der eine permanente Sicherheitsbeziehung mit dem Authentifizierungs-Server hat, und alle Authentifizierungsanfragen werden durch den primären Authentifizierer geleitet, um den Authentifizierungs-Server zu erreichen.
  • In einem Ausführungsbeispiel weist das System ferner mindestens einen weiteren Knoten, z. B. den Knoten 130, zwischen dem Authentifizierer 110 und dem primären Authentifizierer 115 auf, wobei der Knoten 130 die Funktion hat, die Authentifizierungsanfrage an den primären Authentifizierer 115 weiterzugeben. In einem solchen Ausführungsbeispiel ist der Knoten 130 eine Zwischenvorrichtung, die als eine Authentifizierungs-Weitergabevorrichtung bekannt ist. Als eine Authentifizierungs-Weitergabevorrichtung kann der Knoten ebenfalls als ein Authentifizierer dienen. Das heißt, dass ein Knoten, der authentifiziert wurde, sich, basierend auf der Konfiguration, sowohl als ein Authentifizierer als auch als eine Weitergabevorrichtung verhalten kann. Im We sentlichen kann der Knoten, der authentifiziert wurde, durch die Beziehung des Knotens mit einem anderen Knoten zwei Verhalten zeigen. Diese beiden Verhalten sind als ein Authentifizierer und als eine Weitergabevorrichtung. Zum Beispiel ist der primäre Authentifizierer 115 ein authentifizierter Knoten, der zu dem Authentifizierungs-Server 125 authentifiziert wurde. Die Beziehung zwischen den Knoten wird durch die eingehenden Pakete, die von einem anderen Knoten empfangen werden, eingerichtet. Zum Ersten weiß ein authentifizierter Knoten, dass er sich zu einem Supplikantenknoten als ein Authentifizierer verhält, wenn das eingehende Paket eine EAPOL-Start-Nachricht ist, wobei die EAPOL-Start-Nachricht eine Senderadresse und eine Quelladresse hat, die gleich sind, und/oder die Quelladresse der EAPOL-Start-Nachricht in der Zuordnungstabelle des Authentifizierers steht. In einem Ausführungsbeispiel wird die Zuordnungstabelle des Authentifizierers aktualisiert, wenn der Authentifizierer ein eingehendes oder ein ausgehendes Paket empfängt. In einem Ausführungsbeispiel verhält sich ein Knoten, wenn er sich als ein Authentifizierer verhält, gemäß den Regeln des ANSI/IEEE 802.11i bezüglich der Authentifizierung. Zum Zweiten, wenn der authentifizierte Knoten eine eingehende EAPOL-Start-Nachricht von einem Knoten empfängt, bei der die Senderadresse nicht gleich der Quelladresse ist und/oder die Quelladresse der EAPOL-Start-Nachricht nicht in der Zuordnungstabelle des Authentifizierers steht, weiß der authentifizierte Knoten, dass er sich als eine Weitergabevorrichtung für dieses Paket verhalten muss. Wenn sich der Knoten als ein Weitergabe-Knoten verhält, aktualisiert er die Zuordnungstabelle mit der Zieladresse, der Quelladresse, der Senderadresse und der Empfängeradresse für eingehende und ausgehende EAPOL-Pakete.
  • Sobald die Authentifizierungsanfrage den primären Authentifizierer 115 erreicht, sendet der primäre Authentifizierer 115 die Authentifizierungsanfrage an den Authentifizierungs-Server 125 weiter. In dem EAPOL-Ausführungsbeispiel tritt das Authentifizierungsverfahren über mehrere EAPOL-Nachrichten auf, startend mit einer EAPOL-Start- oder einer EAPOL-Anfrage/Identitäts-Nachricht und abgeschlossen mit einer EAPOL-Erfolg-Nachricht (in Falle eines Erfolgs beim Authentifizieren des Supplikanten) oder einer EAPOL-Fehlschlag-Nachricht (im Falle eines Fehlschlags beim Authentifizieren des Supplikanten). Mehrere Pakete, die Authentifizierungsinformationen auf weisen, werden zwischen dem Supplikanten und dem Authentifizierungs-Server weitergegeben, ehe der Supplikant durch das Netzwerk authentifiziert worden ist. Diese Pakete weisen mindestens eines der Pakete auf, die durch die Authentifizierungsverfahren, die durch ANSI/IEEE 802.1X definiert sind, beschrieben sind.
  • Die Authentifizierungsinformationen, die von dem Authentifizierungs-Server 125 empfangen werden, werden zu dem primären Authentifizierer 115 gesendet. Der primäre Authentifizierer 115 verwendet dann dasselbe Weitergabeverfahren, das während des Sendens der Authentifizierungsanfrage zu dem Authentifizierungs-Server 125 verwendet wurde, entgegengesetzt. Der primäre Authentifizierer 115 gibt die Authentifizierungsinformationen an den Knoten 130 weiter, der seinerseits die Authentifizierungsinformationen zurück zu dem Authentifizierer 110 weitergibt. In dem EAPOL-Ausführungsbeispiel wird das Authentifizierungsverfahren unter Verwendung mehrerer EAPOL-Nachrichten durchgeführt, die zwischen dem Authentifizierungs-Server und dem Authentifizierer weitergegeben werden. Der Authentifizierer 110 erfüllt dann unter Verwendung der Authentifizierungsinformationen die Authentifizierungsanfrage.
  • Laut einem Ausführungsbeispiel weisen die Authentifizierungsinformationen einen paarweisen Hauptschlüssel auf, der von dem Authentifizierungs-Server 125 mittels einer Weitergabevorrichtung zurück zu dem Authentifizierer 110 weitergegeben wird. Der paarweise Hauptschlüssel ist ein eindeutiger Schlüssel, der bei dem Authentifizierungs-Server 125 entsprechend dem Supplikanten 105 für jede Authentifizierung erzeugt wird. Jeder Supplikant hat einen eindeutigen paarweisen Hauptschlüssel, der bei dem Authentifizierungs-Server 125 entsprechend jedem Supplikanten während jeder Authentifizierung erzeugt wird. Der eindeutige Schlüssel wird zurück zu dem Authentifizierer 110, der dem Supplikanten 105 entspricht, weitergegeben und verwendet, um die Authentifizierungsanfrage des Supplikanten 105 zu erfüllen.
  • Gemäß einem Ausführungsbeispiel, das in 2 offenbart ist, weist ein Verfahren zum Bereitstellen eines Zugriffs auf ein Kommunikationsnetz für einen Supplikanten einen Authentifizierer auf, der zuerst eine Authentifizierungsanfrage von einem Supplikanten empfängt, Schritt 205. Nach dem Identifizieren des Authentifizierers sendet der Supplikant die Authentifizierungsanfrage zu dem Authentifizierer. Der Authentifizierer erzeugt beim Empfangen der Authentifizierungsanfrage einen Zustand, Schritt 210. Der Zustand weist Informationen auf, die die Quelladresse, die Senderadresse, die Zieladresse, die Empfängeradresse und andere Details, die den Supplikanten und die Authentifizierungsanfrage betreffen, umfassen, Schritt 220, 225. Der Zustand wird verwendet, um Knoten in der Weitergabekette zu identifizieren, um die Authentifizierungsinformationen während des ausgehenden Weitergabeverfahrens, z. B. wenn die Authentifizierungsinformationen von dem primären Authentifizierer hin zu dem Authentifizierer weitergegeben werden, zu senden. Laut einem anderen Ausführungsbeispiel kann der Authentifizierer mit dem primären Authentifizierer über eine Authentifizierungs-Weitergabevorrichtung verbunden sein, und daher müsste die Authentifizierungsanfrage über eine Authentifizierungs-Weitergabevorrichtung weitergegeben werden, um den primären Authentifizierer zu erreichen, Schritt 230. In diesem Fall würde jede Authentifizierungs-Weitergabevorrichtung einen Zustand basierend auf der Authentifizierungsanfrage erzeugen. Der primäre Authentifizierer gibt Authentifizierungsinformationen an den Authentifizierer weiter, wobei der Authentifizierer ein nächster Knoten ist, der die Authentifizierungsanfrage an den primären Authentifizierer gesendet hat. Die Authentifizierungsinformationen werden bei dem Authentifizierungs-Server basierend auf der Authentifizierungsanfrage, die von dem Supplikanten empfangen wurde, erzeugt. Der primäre Authentifizierer empfängt die Authentifizierungsanfrage und sendet die Authentifizierungsanfrage an den Authentifizierungs-Server weiter.
  • Der Authentifizierungs-Server erzeugt Authentifizierungsinformationen entsprechend dem Supplikanten und sendet die Authentifizierungsinformationen zu dem primären Authentifizierer. Die Authentifizierungsinformationen weisen einen paarweisen Hauptschlüssel auf, der für den Supplikanten eindeutig ist und der durch den Authentifizierungs-Server entsprechend dem Supplikanten erzeugt wird. Der primäre Authentifizierer gibt die Authentifizierungsinformationen zurück zu dem Authentifizierer weiter, Schritt 235. Das ausgehende Weitergabeverfahren, d. h. die Weitergabe von dem primären Authentifizierer hin zu dem Supplikanten verwendet den Zustand, der während des eingehenden Weitergabeverfahrens erzeugt wurde, um den niedrigeren Knoten zu identifizieren, zu dem die Authentifizierungsinformationen zu senden sind. In einem Ausführungsbeispiel, bei dem der Authentifizierer über mindestens eine weitere Authentifizierungs-Weitergabevorrichtung mit dem primären Authentifizierer verbunden ist, werden die Authentifizierungsinformationen zu dem Authentifizierer weitergegeben. Der Authentifizierer erfüllt die Authentifizierungsanfrage unter Verwendung des paarweisen Hauptschlüssels, der von dem Authentifizierungs-Server über den primären Authentifizierer und die Authentifizierungs-Weitergabevorrichtung empfangen wurde. In einem Ausführungsbeispiel wird die Authentifizierungsanfrage unter Verwendung eines Vier-Wege-Handshake-Verfahrens, wie in dem ANSI/IEEE-802.1X-Standard beschrieben, erfüllt. Das Resultat eines erfolgreichen Vier-Wege-Handshakes erzeugt Schlüssel, von denen mindestens einer verwendet wird, um Kommunikationen, die zwischen dem Authentifizierer und dem Supplikanten gesendet werden, zu verschlüsseln/entschlüsseln. Das System ist fähig, die Funktion des primären Authentifizierers auf weitere authentifizierte Knoten in dem drahtlosen Kommunikationsnetz zu erweitern, indem es den Zustand bei jeder Weitergabevorrichtung erzeugt. Die Erzeugung des Zustands bei jeder Authentifizierungs-Weitergabevorrichtung ist unter Bezugnahme auf 3 weiter erklärt.
  • 3 zeigt ein Verfahren, durch das eine Authentifizierung unter Verwendung eines Weitergabeverfahrens bereitgestellt wird. Laut einem Ausführungsbeispiel ist eine abwärtsgerichtete Weitergabe eine eingehende Weitergabe, bei der Knoten niedriger in der Weitergabe die Authentifizierungsnachrichten, die von dem Supplikanten 315 empfangen wurden, hin zu dem primären Authentifizierer 300 weitersenden. Der Supplikant, der ein gewöhnlicher Client ist, sendet die Authentifizierungsnachrichten zu dem ersten Authentifizierer 310. Ein Authentifizierer ist ein Supplikant, der über den primären Authentifizierer 300 eine indirekte Sicherheitsbeziehung mit dem Authentifizierungs-Server hat. Wie in 3 gezeigt, ist der erste Authentifizierer 310 über einen zweiten Authentifizierer 305 authentifiziert worden und hat daher eine sichere Beziehung mit dem Authentifizierungs-Server über den zweiten Authentifizierer 305 und den primären Authentifizierer 300. Der Supplikant 315 sendet zuerst eine Authentifizierung sanfrage zu dem ersten Authentifizierer 310. Die Weitergabe der Authentifizierungsanfrage zwischen dem ersten Authentifizierer 310 und dem primären Authentifizierer 300 kann unter Verwendung verschiedener Verfahren erledigt werden. Wie im Vorhergehenden erwähnt, kann die Authentifizierungsanfrage als eine Fernauthentifizierungs-Einwahl-Benutzerdienst (RADIUS)-Nachricht, als eine Start-Nachricht eines erweiterbaren Authentifizierungsprotokolls über LAN (EAPOL) oder als ein anderes, ähnliches Authentifizierungsprotokoll gesendet werden. Laut dem EAPOL-Ausführungsbeispiel geht die Authentifizierungsanfrage mit der Verwendung von WDS-Rahmenformaten, die in einer EAPOL-Nachricht aufgenommen sind, einher. Die WDS-Rahmen fügen die Quelladresse, die Zieladresse, die Senderadresse und die Empfängeradresse an das Paket an. Der erste Authentifizierer 310 empfängt die Authentifizierungsanfrage, wie etwa eine EAPOL-Start-Nachricht, und erzeugt einen Zustand. Der Zustand weist Informationen auf, die die Quelladresse, die Zieladresse, die Senderadresse und die Empfängeradresse umfassen. In dem Ausführungsbeispiel, das in 3 gezeigt ist, umfasst der Zustand, der durch den ersten Authentifizierer 310 erzeugt wurde, die Quelladresse und die Senderadresse als die des Supplikanten. Das EAPOL-Paket wird dann zu dem nächsten Sprung (engl.: hop) in der abwärtsgerichteten Weitergabekette weitergegeben. Der zweite Authentifizierer 305 empfängt die Authentifizierungsanfrage von dem ersten Authentifizierer 310. Der zweite Authentifizierer 305 erzeugt ebenfalls einen Zustand, bei dem die Quelladresse die des Supplikanten ist; die Senderadresse ist jedoch die des ersten Authentifizierers 310. Wie hierin verwendet, weist der Zustand ein Element einer Zustandsadressen-Paarungstabelle auf, wobei das Element jede Quelladresse mit einer Senderadresse paart. Der Zustand richtet eine Beziehung ein, bei der der zweite Authentifizierer den Knoten kennt, der dem zweiten Authentifizierer 305 die Authentifizierungsanfrage des Supplikanten gesendet hat. Er kann diese Beziehung verwenden, um die Authentifizierungsinformationen, die von dem Authentifizierungs-Server über den primären Authentifizierer empfangen wurden, zu dem Supplikanten weiterzugeben. Die Authentifizierungsanfrage erreicht den primären Authentifizierer 300, wobei der primäre Authentifizierer einen Zustand erzeugt. Die Quelladresse ist die Adresse des Supplikanten und die Senderadresse ist die des zweiten Authentifizierers 305. Die Authentifizierungsanfrage wird dann zur Bestätigung hin zu dem Authentifizierungs-Server weitergesendet. Wie im Vorhergehenden erwähnt, hat der primäre Authentifizierer 300 unter Verwendung eines virtuellen privaten Netzes oder einer ähnlichen solchen sicheren Verbindung eine permanente Sicherheitsbeziehung mit dem Authentifizierungs-Server.
  • Wie hierin verwendet, ist eine aufwärtsgerichtete Weitergabe eine ausgehende Weitergabe, bei der die Authentifizierungsinformationen, die von dem Authentifizierungs-Server empfangen werden, zurück zu dem Authentifizierer weitergegeben werden. Wie in 3 gezeigt, gibt der primäre Authentifizierer 300 die Authentifizierungsinformationen, die von dem Authentifizierungs-Server empfangen werden, zu dem nächsten Hop, dem zweiten Authentifizierer 305, unter Verwendung des Zustands, der in der eingehenden Weitergabe erzeugt wurde, weiter. Laut dem im Vorhergehenden beschriebenen Beispiel empfängt der zweite Authentifizierer 305 das EAPOL-Paket von dem primären Authentifizierer 300 und erzeugt einen zusätzlichen Zustand, wobei die Authentifizierungsinformationen gespeichert werden. Die Authentifizierungsinformationen umfassen einen eindeutigen paarweisen Hauptschlüssel entsprechend dem Supplikanten, Zeitgeber und weitere solcher Informationen. Der zweite Authentifizierer 305 identifiziert den ersten Authentifizierer als den Knoten, der die Authentifizierungsanfrage in der eingehenden Weitergabe weitergegeben hat, und gibt daher die Authentifizierungsinformationen an den ersten Authentifizierer 310 weiter. Der zweite Authentifizierer identifiziert den Authentifizierer, zu dem die Authentifizierungsinformationen zu senden sind, indem zuerst die Zieladresse in den Authentifizierungsinformationen bestimmt wird. Anschließend durchsucht der zweite Authentifizierer eine Zustandsadressen-Paarungstabelle. In einem Ausführungsbeispiel wird die Zustandsadressen-Paarungstabelle durch eingehende Authentifizierungsanfragen erzeugt. Der zweite Authentifizierer durchsucht die Zustandsadressen-Paarungstabelle nach einem Element mit einer übereinstimmenden Quelladresse. Sobald diese Quelladresse gefunden ist, findet der zweite Authentifizierer die gepaarte Senderadresse, die anfänglich aus den gleichen eingehenden Authentifizierungsanfrageinformationen extrahiert wurde. Nachdem er die Quelladresse und die Senderadresse der eingehenden Authentifizierungsanfrage in seiner Zustandsadressen-Paarungstabelle identifiziert hat, verwendet der zweite Authentifi zierer für das ausgehende Authentifizierungsinformationspaket die Quelladresse als die Zieladresse und die Senderadresse als die Empfängeradresse. Ähnlich empfängt der erste Authentifizierer 310 das EAPOL-Paket von dem zweiten Authentifizierer 305, erzeugt einen zusätzlichen Zustand und identifiziert den Supplikanten als den nächsten Knoten in der Weitergabe. An diesem Punkt werden die Authentifizierungsinformationen, die den paarweisen Hauptschlüssel aufweisen, nicht zu dem Supplikanten gesendet. Der erste Authentifizierer 310 verwendet diesen paarweisen Hauptschlüssel, um den Supplikanten mittels eines Vier-Wege-Handshakes zu authentifizieren. Das Vier-Wege-Handshake-Verfahren verwendet einen Schlüssel, der durch den Supplikanten erzeugt wurde, und den eindeutigen Schlüssel, den der erste Authentifizierer 310 von dem Authentifizierungs-Server empfangen hat, um den Supplikanten zu authentifizieren. Fachleute werden jedoch erkennen, dass auch andere Wege zum Erzeugen solcher Zustände, um das Weitergabeverfahren zu ermöglichen, und zum Identifizieren von Zwischenknoten, durch die der Supplikant eine sichere Verbindung zu dem Authentifizierungs-Server einrichten kann, verwendet werden können, und dass diese Verfahren im Schutzbereich der vorliegenden Erfindung liegen.
  • Die 4, 5, 6, 7 und 9 stellen ein Verfahren zum Bereitstellen einer Mobilität für einen vertrauten Supplikanten 405 dar, der gemäß einem Ausführungsbeispiel der vorliegenden Erfindung über einen ersten Authentifizierer in einem drahtlosen Kommunikationsnetz authentifiziert wurde. In einem Ausführungsbeispiel, wie es in 4 gezeigt ist, ist ein vertrauter Supplikant 405 ein Knoten, der eine hergestellte sichere Zuordnung zu dem Authentifizierungs-Server 425 hat. Der Supplikant 405 ist in der Lage, über den ersten Authentifizierer 410 auf die Infrastruktur oder die Datenbank zuzugreifen. Das Authentifizierungsverfahren, das im Vorhergehenden in vorausgehenden Ausführungsbeispielen offenbart wurde, wird verwendet, um diese sichere Verbindung einzurichten. In dem Fall jedoch, bei dem der erste Authentifizierer 410 die Verbindung zu dem Kommunikationsnetz trennt oder sich der vertraute Supplikant 405 aus der Reichweite des ersten Authentifizierers 410 bewegt, muss der vertraute Supplikant 405 über einen anderen vertrauten Knoten in dem Kommunikationsnetz neu authentifiziert werden. Wie in den 4 und 9 gezeigt, umfasst das Verfahren zuerst das Identifizieren eines zweiten Authentifizierers 430 laut Schritt 905, bei dem der zweite Authentifizierer 430 und der erste Authentifizierer 410 über einen dritten Authentifizierer 420 eine Sicherheitszuordnung zu dem Authentifizierungs-Server haben, wobei der dritte Authentifizierer über einen primären Authentifizierer 415 eine sichere Beziehung mit dem Authentifizierungs-Server 425 hat. In einem Ausführungsbeispiel (nicht gezeigt) kann es mehrere weitere Authentifizierer zwischen dem ersten Authentifizierer 410 und dem dritten Authentifizierer 420, oder dem zweiten Authentifizierer 430 und dem dritten Authentifizierer 420 oder dem dritten Authentifizierer 420 und dem primären Authentifizierer 415 geben. Ein Authentifizierer, der der erste gemeinsame Knoten zwischen dem ersten Authentifizierer 410 und dem zweiten Authentifizierer 430 ist, dient als ein Knoten, um einen Authentifizierungsausweis für den zweiten Authentifizierer 430 bereitzustellen, um den Supplikanten 405 neu zu authentifizieren. Wenn sich der vertraute Supplikant 405 wieder an den zweiten Authentifizierer 430 anschließt, hat der vertraute Supplikant 405 noch seinen eindeutigen Authentifizierungsschlüssel, aber der zweite Authentifizierer hat ihn nicht, wie in 5 gezeigt ist. Wie in 6 gezeigt, leitet der vertraute Supplikant 405 ein vollständiges Authentifizierungsverfahren ein, indem er einen Start eines erweiterbaren Authentifizierungsprotokolls über LAN (EAPOL) sendet. Der Supplikant identifiziert den zweiten Authentifizierer 430 und sendet eine Authentifizierungsanfrage zu dem zweiten Authentifizierer 430. Der zweite Authentifizierer 430 gibt diese Authentifizierungsanfrage hin zu dem primären Authentifizierer weiter. Der dritte Authentifizierer 420 empfängt jedoch in der Weitergabe die Authentifizierungsanfrage und identifiziert den Supplikanten. Der dritte Authentifizierer 420 gibt den eindeutigen Schlüssel, der dem vertrauten Supplikanten 405 entspricht, laut Schritt 910 zurück zu dem zweiten Authentifizierer weiter. Der dritte Authentifizierer 420 identifiziert basierend auf der Adresse des Supplikanten 405, die vorher durch den dritten Authentifizierer 420 während der Authentifizierung des Supplikanten 405 durch den ersten Authentifizierer 410 gespeichert worden war, den Supplikanten. Wenn der vertraute Supplikant 405 über den zweiten Authentifizierer 430 neu authentifiziert wird, läuft die Authentifizierungsanfrage nicht zu dem primären Authentifizierer 415. Der dritte Authentifizierer 420 ist in der Lage, die dem vertrauten Supplikanten 405 entsprechenden Authentifizierungsinformationen direkt zu dem zweiten Authentifizierer 430 weiterzu senden. Der zweite Authentifizierer 430 erhält den eindeutigen Schlüssel von dem dritten Authentifizierer 420 und authentifiziert unter Verwendung des eindeutigen Schlüssels laut Schritt 915 den vertrauten Supplikanten. Das Neuauthentifizierungsverfahren wird mittels des Vier-Wege-Handshakes zwischen dem zweiten vertrauten Knoten und dem vertrauten Supplikanten abgeschlossen. Dieses Verfahren stellt für einen Supplikanten in einem drahtlosen Kommunikationsnetz eine erhöhte Mobilität bereit.
  • Gemäß einem anderen Ausführungsbeispiel, wie es in 7 gezeigt ist, können die Knoten so konfiguriert sein, dass der paarweise Hauptschlüssel, der während der Authentifizierung weitergegeben wird, lediglich bei ausgewählten Authentifizierern, um den Supplikanten zu authentifizieren, gespeichert wird. Zum Beispiel kann der paarweise Hauptschlüssel lediglich bei dem primären Authentifizierer 415 und dem ersten Authentifizierer 410 gespeichert sein, wenn der Supplikant über den ersten Authentifizierer 410 authentifiziert wird. Der paarweise Hauptschlüssel ist bei keinem der Zwischenauthentifizierer wie etwa 420 gespeichert. Den paarweisen Hauptschlüssel nicht bei Zwischenauthentifizierern zu speichern, erhöht die Sicherheit in dem System. Dem Supplikanten wird jedoch nicht die erhöhte Mobilität bereitgestellt, die in einem vorausgehenden Ausführungsbeispiel bereitgestellt ist. In dem Fall, in dem der Authentifizierungsausweis lediglich bei dem ersten Authentifizierer 410 und dem primären Authentifizierer 415 gespeichert ist, müsste die Authentifizierungsanfrage an den primären Authentifizierer 415 weitergegeben werden, um den Authentifizierungsausweis, d. h. den eindeutigen paarweisen Hauptschlüssel, zu erhalten, anstelle des vorausgehenden Ausführungsbeispiels, in dem der dritte Authentifizierer 420 in der Lage ist, die Authentifizierungsinformationen an den zweiten Authentifizierer 430 weiterzugeben. Der eindeutige Schlüssel wird an den zweiten Authentifizierer 430 weitergegeben und dann verwendet, um das Authentifizierungsverfahren unter Verwendung eines Vier-Wege-Handshakes abzuschließen. Dieses Ausführungsbeispiel verhindert jedoch immer noch die Notwendigkeit, den Authentifizierungs-Server 425 erneut zu kontaktieren, um die Authentifizierungsinformationen, die den vertrauten Supplikanten 405 betreffen, zu erhalten. Die Verzögerung, die aufgrund des Verfahrens des Kontaktierens des Authentifizierungs-Servers 425 verursacht wird, wird vermieden, und der primäre Authentifi zierer 415 kann den Authentifizierungsausweis, der zur Zeit des Authentifizierens des Supplikanten über den ersten Authentifizierer 410 erzeugt wurde, direkt an den zweiten Authentifizierer für eine Neuauthentifizierung weitergeben.
  • Gemäß einem Ausführungsbeispiel, das in 8 gezeigt ist, ist der paarweise Hauptschlüssel bei ausgewählten Authentifizierern gespeichert. Ein Authentifizierungsknoten 935 kann, abhängig von der Konfiguration, auf eine von zwei Betriebsarten arbeiten. Der Authentifizierer 935 kann Datenverkehr, den der Authentifizierer 830 zulässt, zulassen, oder alle Authentifizierer unter dem Authentifizierer 830 oder alle Authentifizierer unter und 830 umfassend dazu zwingen, sich neu zu authentifizieren.
  • Diese Offenbarung soll erklären, wie man verschiedene Ausführungsbeispiele gemäß der Erfindung gestaltet und verwendet und nicht den wahren, beabsichtigten und angemessenen Schutzbereich und Geist davon begrenzen. Die vorangegangene Erörterung soll nicht erschöpfend sein oder die Erfindung auf die exakten Formen, die offenbart wurden, begrenzen. Modifikationen oder Variationen sind im Lichte der vorhergehenden Lehren möglich. Das (die) Ausführungsbeispiel(e) wurde(n) gewählt und beschrieben, um die beste Darstellung der Prinzipien der Erfindung und der praktischen Anwendung bereitzustellen, und es einem Fachmann zu ermöglichen, die Erfindung in verschiedenen Ausführungsbeispielen und mit verschiedenen Modifikationen zu benutzen, wie sie für die betrachtete spezielle Verwendung geeignet sind. Alle solchen Modifikationen und Variationen liegen im Schutzbereich der Erfindung, wie er durch die angefügten Ansprüche, wie sie während der Anhängigkeit dieser Patentanmeldung geändert werden können, und aller Äquivalente davon bestimmt ist, wenn sie gemäß dem Umfang, zu dem sie angemessen, gesetzlich und billigerweise berechtigt sind, interpretiert werden.
  • Zusammenfassung
  • System und Verfahren zum Bereitstellen eines Multihop-Zugriffs in einem Kommunikationsnetz
  • Ein System und Verfahren zum Bereitstellen eines Zugriffs auf ein Kommunikationsnetz für einen Supplikanten sind offenbart. Ein Authentifizierer empfängt (205) von dem Supplikanten eine Authentifizierungsanfrage bei einem Authentifizierer. Ein Zustand wird basierend auf der Authentifizierungsanfrage bei dem Authentifizierer erzeugt (210). Die Authentifizierungsanfrage wird hin zu einem primären Authentifizierer weitergegeben (230), wobei der primäre Authentifizierer mit einem Authentifizierungs-Server verbunden ist. Schließlich empfängt (235) der Authentifizierer Authentifizierungsinformationen von dem primären Authentifizierer und erfüllt (240) die Authentifizierungsanfrage unter Verwendung der Authentifizierungsinformationen.

Claims (10)

  1. Verfahren zum Bereitstellen eines Zugriffs auf ein drahtloses Kommunikationsnetz für einen Supplikanten (105; 315; 405), mit folgenden Schritten: Empfangen (205) einer Authentifizierungsanfrage bei einem Authentifizierer (110; 310; 410) von dem Supplikanten (105; 315; 405); Erzeugen (210) eines Zustands basierend auf der Authentifizierungsanfrage bei dem Authentifizierer (110; 310; 410); Weitergeben (230) der Authentifizierungsanfrage hin zu einem primären Authentifizierer (115; 300; 415), wobei der primäre Authentifizierer (115; 300; 415) mit einem Authentifizierungs-Server (125; 425) verbunden ist; Weitergeben von Authentifizierungsinformationen von dem primären Authentifizierer (115; 300; 415) zu dem Authentifizierer (110; 310; 410), wobei die Authentifizierungsinformationen bei dem Authentifizierungs-Server (125; 425) erzeugt werden: Empfangen (235) der Authentifizierungsinformationen von dem Authentifizierer (110; 310; 410); und Erfüllen (240) der Authentifizierungsanfrage.
  2. Verfahren nach Anspruch 1, bei dem das drahtlose Kommunikationsnetz ein 802.11-Netz ist.
  3. Verfahren nach Anspruch 1, bei dem der Schritt des Erzeugens (210) eines Zustands ferner folgende Schritte aufweist: Speichern (220) einer Quelladresse, die dem Supplikanten (105; 315; 405) entspricht; und Speichern (225) einer Senderadresse, die einem Knoten, der die Authentifizierungsanfrage sendet, entspricht.
  4. Verfahren nach Anspruch 3, das ferner den Schritt des Weitergebens von Authentifizierungsinformationen von dem Authentifizierer (110; 310; 410) zu dem Supplikanten (105; 315; 405) aufweist, bei dem der Schritt ferner folgende Schritte aufweist: Bestimmen der Quelladresse aus einer Zieladresse der Authentifizierungsinformationen; und Bestimmen der Senderadresse aus der Quelladresse; Gleichsetzen der Zieladresse der Authentifizierungsinformationen mit der bestimmten Quelladresse; und Gleichsetzen einer Empfängeradresse mit der Senderadresse.
  5. Verfahren nach Anspruch 1, ferner mit folgendem Schritt: Erzeugen eines zusätzlichen Zustands nach dem Empfangen der Authentifizierungsinformationen von dem primären Authentifizierer (115; 300; 415).
  6. Verfahren nach Anspruch 5, bei dem der zusätzliche Zustand ein Speichern eines paarweisen Hauptschlüssels aufweist, wobei der paarweise Hauptschlüssel durch den Authentifizierer (110; 310; 410) verwendet wird, um die Authentifizierungsanfrage des Supplikanten (105; 315; 405) mittels eines Vier-Wege-Handshakes zu erfüllen.
  7. Verfahren nach Anspruch 1, bei dem der Supplikant (105; 315; 405) ein 802.1X-Supplikant ist.
  8. Verfahren nach Anspruch 1, bei dem die Authentifizierungsanfrage Fernauthentifizierungs-Einwahl-Benutzerdienst-Nachrichten aufweist.
  9. Verfahren nach Anspruch 1, bei dem die Authentifizierungsanfrage von dem Authentifizierer (110) durch mindestens einen Knoten (130) zu dem primären Authentifizierer (115) weitergegeben wird und die Authentifizierungsinformationen von dem primären Authentifizierer (115) durch mindestens einen Knoten (130) zu dem Authentifizierer (110) weitergegeben werden.
  10. Verfahren zum Bereitstellen einer Mobilität für einen vertrauten Supplikanten (405), der über einen Authentifizierer (410) authentifiziert wurde, in einem drahtlosen Kommunikationsnetz, mit folgenden Schritten: Identifizieren (905) eines zweiten Authentifizierers (430), wobei der zweite Authentifizierer (430) und der erste Authentifizierer (410) über einen dritten Authentifizierer (420) mit einem primären Authentifizierer (415) kommunizieren; Senden (910) eines eindeutigen Schlüssels entsprechend dem vertrauten Supplikanten (405) von dem dritten Authentifizierer (420) zu dem zweiten Authentifizierer (430); und Authentifizieren des vertrauten Supplikanten (405) durch den zweiten Authentifizierer (430) unter Verwendung des eindeutigen Schlüssels, wobei der eindeutige Schlüssel durch einen Authentifizierungs-Server (425) während des Authentifizierens des vertrauten Supplikanten (405) über den ersten Authentifizierer (410) erzeugt worden ist, und wobei der eindeutige Schlüssel mindestens in dem ersten Authentifizierer (410) und dem primären Authentifizierer (415) gespeichert wird.
DE112006000950T 2005-04-19 2006-04-07 System und Verfahren zum Bereitstellen eines Multihop-Zugriffs in einem Kommunikationssnetz Withdrawn DE112006000950T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/108,999 US8850194B2 (en) 2005-04-19 2005-04-19 System and methods for providing multi-hop access in a communications network
US11/108,999 2005-04-19
PCT/US2006/012910 WO2006113159A2 (en) 2005-04-19 2006-04-07 System and methods for providing multi-hop access in a communications network

Publications (1)

Publication Number Publication Date
DE112006000950T5 true DE112006000950T5 (de) 2008-02-21

Family

ID=37110114

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112006000950T Withdrawn DE112006000950T5 (de) 2005-04-19 2006-04-07 System und Verfahren zum Bereitstellen eines Multihop-Zugriffs in einem Kommunikationssnetz

Country Status (5)

Country Link
US (1) US8850194B2 (de)
KR (1) KR100952783B1 (de)
DE (1) DE112006000950T5 (de)
TW (1) TW200644559A (de)
WO (1) WO2006113159A2 (de)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7716724B2 (en) * 2005-06-16 2010-05-11 Verizon Business Global Llc Extensible authentication protocol (EAP) state server
US20070047477A1 (en) * 2005-08-23 2007-03-01 Meshnetworks, Inc. Extensible authentication protocol over local area network (EAPOL) proxy in a wireless network for node to node authentication
KR101137340B1 (ko) * 2005-10-18 2012-04-19 엘지전자 주식회사 릴레이 스테이션의 보안 제공 방법
US8862881B2 (en) * 2006-05-30 2014-10-14 Motorola Solutions, Inc. Method and system for mutual authentication of wireless communication network nodes
CN101123498B (zh) * 2006-08-08 2011-12-28 华为技术有限公司 一种实现接入认证的方法、设备及系统
DE102006038592B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
JP4983208B2 (ja) 2006-11-07 2012-07-25 富士通株式会社 中継局、無線通信方法
US20080120264A1 (en) * 2006-11-20 2008-05-22 Motorola, Inc. Method and Apparatus for Efficient Spectrum Management in a Communications Network
JP2008131429A (ja) * 2006-11-22 2008-06-05 Seiko Epson Corp 無線lan通信システム設定方法及び無線lanアクセスポイント
WO2008072211A2 (en) * 2006-12-14 2008-06-19 Iwics Inc Distributed network management hierarchy in a multi-station communication network
US20080220716A1 (en) 2007-03-06 2008-09-11 Institute For Information Industry Communication system and handshake method thereof
US7990947B2 (en) * 2007-06-12 2011-08-02 Robert W. Twitchell, Jr. Network watermark
US20090031398A1 (en) * 2007-07-23 2009-01-29 Motorola, Inc. Role determination for meshed node authentication
US20100106971A1 (en) * 2008-10-27 2010-04-29 Domagoj Premec Method and communication system for protecting an authentication connection
US8695082B2 (en) * 2008-10-27 2014-04-08 Nokia Siemens Networks Oy Method and communication system for accessing a wireless communication network
KR101683286B1 (ko) * 2009-11-25 2016-12-06 삼성전자주식회사 이동통신망을 이용한 싱크 인증 시스템 및 방법
KR101706117B1 (ko) * 2010-01-15 2017-02-14 삼성전자주식회사 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법
JP5091963B2 (ja) * 2010-03-03 2012-12-05 株式会社東芝 通信局、認証局及び認証方法
JP5713244B2 (ja) * 2012-01-17 2015-05-07 日立金属株式会社 ネットワークシステム
US9392458B2 (en) * 2013-03-15 2016-07-12 Qualcomm Incorporated Authentication for relay deployment
US20150381577A1 (en) 2014-06-30 2015-12-31 Motorola Solutions, Llc. System for, and method of, authenticating a supplicant, and distributing group keys to group members, in a multi-hop wireless communications network with enhanced security
CN113709914B (zh) * 2020-05-07 2023-07-21 云米互联科技(广东)有限公司 Mesh网络的配网方法、服务器、Mesh设备及存储介质

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100487062B1 (ko) * 2001-03-16 2005-05-03 니뽄 덴신 덴와 가부시키가이샤 사용자가 자유롭게 설치할 수 있는 기지국을 이용하는무선 통신 시스템
US6856800B1 (en) * 2001-05-14 2005-02-15 At&T Corp. Fast authentication and access control system for mobile networking
US7174456B1 (en) * 2001-05-14 2007-02-06 At&T Corp. Fast authentication and access control method for mobile networking
US6693888B2 (en) * 2001-06-06 2004-02-17 Networks Associates Technology, Inc. Method and apparatus for filtering that specifies the types of frames to be captured and to be displayed for an IEEE802.11 wireless LAN
US6879574B2 (en) * 2002-06-24 2005-04-12 Nokia Corporation Mobile mesh Ad-Hoc networking
US20050152305A1 (en) * 2002-11-25 2005-07-14 Fujitsu Limited Apparatus, method, and medium for self-organizing multi-hop wireless access networks
US7634230B2 (en) * 2002-11-25 2009-12-15 Fujitsu Limited Methods and apparatus for secure, portable, wireless and multi-hop data networking
US7350077B2 (en) * 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
US20040105414A1 (en) * 2002-12-02 2004-06-03 Narayanan Sathya R. Multi-hop wireless network data forwarding
TWI224445B (en) * 2003-04-15 2004-11-21 Benq Corp Method and system creating link inside wireless network
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
GB2397477B (en) * 2003-11-26 2004-12-01 F Secure Oyj Securing a data transmission channel
EP1566938A1 (de) * 2004-02-18 2005-08-24 Sony International (Europe) GmbH Registrierungseinrichtung in einem drahtlosen ad-hoc Mehrsprungnetz
WO2006000239A1 (en) * 2004-06-24 2006-01-05 Telecom Italia S.P.A. Method and system for controlling access to communication networks, related network and computer program therefor
EP1805920B1 (de) * 2004-10-27 2011-08-10 Meshnetworks, Inc. System und verfahren zur gewährleistung von sicherheit für ein drahtloses netzwerk
KR20070045743A (ko) * 2005-10-28 2007-05-02 삼성전자주식회사 멀티 홉 무선 이동 통신 시스템에서 데이터 송수신 방법

Also Published As

Publication number Publication date
US8850194B2 (en) 2014-09-30
TW200644559A (en) 2006-12-16
KR20070112483A (ko) 2007-11-26
WO2006113159A2 (en) 2006-10-26
US20060236377A1 (en) 2006-10-19
WO2006113159A3 (en) 2009-04-16
KR100952783B1 (ko) 2010-04-14

Similar Documents

Publication Publication Date Title
DE112006000950T5 (de) System und Verfahren zum Bereitstellen eines Multihop-Zugriffs in einem Kommunikationssnetz
DE60209858T2 (de) Verfahren und Einrichtung zur Zugriffskontrolle eines mobilen Endgerätes in einem Kommunikationsnetzwerk
DE102006038591B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
DE60113925T2 (de) Integritätsprüfung in einem kommunikationssystem
DE112005002651B4 (de) Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen
DE602004011573T2 (de) Verbesserungen der authentifikation und autorisierung in heterogenen netzwerken
DE102006038592B4 (de) Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
EP1529374B2 (de) Verfahren und system für gsm-authentifizierung bei wlan-roaming
DE60109993T2 (de) Verfahren zur überprüfung der menge übermittelter daten
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE60037593T2 (de) Gesichertes ad hoc netzwerk sowie verfahren zu dessen betreiben
DE112016002319T5 (de) Verfahren und vorrichtung zur initialzertifikatregistrierung in einem drahtlosen kommunikationssystem
DE202006020961U1 (de) Zugangspunkt für Mobilkommunikationsnetz
DE60201522T2 (de) Ermöglichen legales abfangen von ip-verbindungen
DE10138718A1 (de) Verfahren zur Übermittlung von Chiffrierungsinformationen an Teilnehmer einer Multicast-Gruppe
DE102004045147A1 (de) Einstellungsinformations-Verteilungsvorrichtung, Verfahren, Programm und Medium, Authentifizierungseinstellungs-Transfervorrichtung, Verfahren, Programm und Medium und Einstellungsinformations-Empfangsprogramm
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
DE112008001844B4 (de) Verhandlung über Ressourcen für schnelle Übergänge
WO2007138060A1 (de) Verfahren und system zum bereitstellen eines mesh-schlüssels
DE112006001618B4 (de) Verfahren und Vorrichtung zum Verringern der Latenz während Änderungen einer drahtlosen Konnektivität
DE102006060040B4 (de) Verfahren und Server zum Bereitstellen einer geschützten Datenverbindung
DE112018000632T5 (de) Verfahren und systeme zum verbinden eines drahtlosen kommunikationsgeräts mit einem verlegbaren drahtlosen kommunikationsnetzwerk
DE602004012465T2 (de) Vorrichtung und verfahren zur betrugsverhinderung beim zugriff durch drahtlose lokale netzwerke
WO2006034935A1 (de) Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes
EP1776821B1 (de) System und verfahren zum sicheren anmelden in einem kommuniktionssystem mit netzwerkverbindungs- und verbindungssteuerungs-rechnern

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R082 Change of representative

Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, DE

Representative=s name: KUHNEN & WACKER PATENT- UND RECHTSANWALTSBUERO, 85

R081 Change of applicant/patentee

Owner name: MOTOROLA SOLUTIONS, INC., SCHAUMBURG, US

Free format text: FORMER OWNER: MOTOROLA, INC., SCHAUMBURG, ILL., US

Effective date: 20120113

Owner name: MOTOROLA SOLUTIONS, INC., US

Free format text: FORMER OWNER: MOTOROLA, INC., SCHAUMBURG, US

Effective date: 20120113

R082 Change of representative

Representative=s name: SCHUMACHER & WILLSAU PATENTANWALTSGESELLSCHAFT, DE

Effective date: 20120113

Representative=s name: SCHUMACHER & WILLSAU PATENTANWALTSGESELLSCHAFT MBH

R082 Change of representative

Representative=s name: SCHUMACHER & WILLSAU PATENTANWALTSGESELLSCHAFT, DE

Representative=s name: SCHUMACHER & WILLSAU PATENTANWALTSGESELLSCHAFT MBH

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20121101