DE60313910T2 - Verfahren und Aufzeichungsmedium zur Steuerung des Netzzuganges in einer drahtlosen Umgebung - Google Patents

Verfahren und Aufzeichungsmedium zur Steuerung des Netzzuganges in einer drahtlosen Umgebung Download PDF

Info

Publication number
DE60313910T2
DE60313910T2 DE60313910T DE60313910T DE60313910T2 DE 60313910 T2 DE60313910 T2 DE 60313910T2 DE 60313910 T DE60313910 T DE 60313910T DE 60313910 T DE60313910 T DE 60313910T DE 60313910 T2 DE60313910 T2 DE 60313910T2
Authority
DE
Germany
Prior art keywords
key
authentication
value
password
authentication server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60313910T
Other languages
English (en)
Other versions
DE60313910D1 (de
Inventor
Kyung-hee Yongin-city Lee
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of DE60313910D1 publication Critical patent/DE60313910D1/de
Application granted granted Critical
Publication of DE60313910T2 publication Critical patent/DE60313910T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/71Hardware identity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur Steuerung eines Zugangs zu einem Netzwerk und Schutz von Kommunikationsdaten in einer drahtlosen Umgebung, und insbesondere ein Zugangssteuerungsverfahren unter Verwendung einer Kombination von Anschlussauthentifizierung und Benutzerauthentifizierung in einem drahtlosen lokalen Netzwerk (nachfolgend als WLAN, Wireless Local Area Network bezeichnet).
  • Allgemein sind WLANs LANs (Local Area Network), die Daten über die Luft ohne Notwendigkeit verdrahteter Verbindungen unter Verwendung von elektromagnetischen Wellen, Funk und Infrarot, zwischen Computern oder zwischen einem Computer und einem Kommunikationssystem, das kein Computer ist, übertragen und empfangen. WLANs wurden mit dem jüngsten schnellen Fortschritt von Internetdiensten und drahtloser Kommunikationstechnologie entwickelt. Weil WLANs leicht installiert und unterhalten werden können, werden sie verstärkt für Netzwerkverbindungen zwischen Gebäuden oder an Stellen verwendet, wo verdrahtete Netzwerkeinrichtungen schwierig sind, wie große Büros oder Einkaufszentren. WLANs erreichen jedoch im Vergleich zu verdrahteten Netzwerken schlechte Sicherheit, weil theoretisch jedermann auf das Übertragungsmedium zugreifen kann.
  • In dieser Hinsicht gibt es viele Sicherheitsdienste, wie Verschlüsselung, Zugangskontrolle, Authentifizierung, Unleugbarkeit, Integrität oder dergleichen. Alle sind von Bedeutung, aber die Authentifizierungsfunktion ist besonders wichtig in Hinblick auf die Bereitstellung von Qualitätskommunikationsdiensten. Bei einem WLAN wird geeignete Authentifizierung zunächst vor Verschlüsselung und Zugangskontrolle durchgeführt. Eine Authentifizierung in Bezug auf ein Terminal ist notwendigerweise erforderlich in öffentlichen Bereichen oder Unternehmen, um einen WLAN-Dienst bereitzustellen und bei Benutzern abzurechnen. In einem WLAN-System wirkt jedoch eine Sicherheitsfunktion eines Authentifizierungsmechanismus unter Verwendung eines bekannten WEP (Wired Equivalent Privacy) gegen viele Angriffe nicht.
  • Ein Authentifizierungsmechanismus in einem herkömmlichen IEEE802.11b-System wird in einen offenen Authentifizierungsmechanismus und einen Shared-Key-Authentifizierungsmechanismus klassifiziert. Nur der Shared-Key-Authentifizierungsmechanismus führt Authentifizierung unter Verwendung eines vorliegenden Schlüssels durch. Der offene Authentifizierungsmechanismus verwendet einen Leerzeichenstrom, der bei einer WLAN-Kartenauthentifizierung basierend auf einem Zugangspunkt geöffnet wird. Der Zugangspunkt kann mit einer WLAN-Karteneinrichtung verbunden werden, nachdem die Karteneinrichtung bedingungslos authentifiziert ist, obwohl die Karteneinrichtung keine ackurate Authentifizierungsinformation bereitstellt. Beim Shared-Key-Authentifizierungsmechanismus wird ein spezieller Zeichenstrom, der von einem Zugangspunkt zu einer WLAN-Karte in einem Anfragevorgang vorgeschlagen wird, in einem Antwortvorgang durch Anfrage-Antwortkommunikation unter Verwendung eines gemeinsamen Schlüssels, der vor Aufnahme der Kommunikation vorbestimmt wird, in einen bestimmten Schlüssel codiert. Dann kann der codierte Zeichenstrom nur mit einem Zugangspunkt verbunden werden, wenn er den Authentifizierungsvorgang passiert, so dass er eine Authentifizierung zur Übertragung von der WLAN-Karte zum Zugangspunkt erhält.
  • In einem IEEE802.11b-System authentifiziert sich ein Terminal selbst zu einem Zugangspunkt unter Verwendung eines WEP, das von einer Medienzugangskontroll(MAC)-Schicht bereitgestellt wird. Zum Authentifizieren eines Terminals an einen Zugangspunkt zur Verbesserung eines bekannten Authentifizierungsmechanismus, kann ein IEEE802.11a-System ein Authentifizierungsverfahren unter Verwendung eines WEP oder ein Verfahren zum Definieren eines Authentifizierungsprotokolls in einem IEEE802.1X-System, das zu einer MAC-Schicht identisch oder ihr überlegen ist, einsetzen.
  • Ein Authentifizierungsprotokoll unter Verwendung von WEP basiert auf einem Anfrage-Antwort-Verfahren unter Verwendung von Algorithmen für Anfrage- und Antwortvorgänge. Wenn bei diesem Verfahren ein Terminal eine am Zugangspunkt empfangene Anfrage unter Verwendung eines gemeinsamen Schlüssels und einer WEP codiert und den Code zum Zugangspunkt überträgt, decodiert der Zugangspunkt die Anfrage unter Verwendung eines vorhergehenden gemeinsamen Schlüssels, wodurch der Anfrager authentifiziert wird. Das Authentifizierungsprotokoll unter Verwendung von WEP ist jedoch nicht gegen alle Angriffe sicher, die an einem derzeitigen WEP-Algorithmus erfolgen.
  • Das andere Authentifizierungsverfahren, das von einem IEEE802.11a-System vorgeschlagen wird, ist ein Authentifizieren eines Terminals auf einem Niveau, das gleich oder höher als eine MAC-Schicht ist. Dieses Authentifizierungsverfahren basiert auf einem Authentifizierungsprotokoll unter Verwendung eines erweiterbaren Authentifizierungsprotokolls (EAP) in einem IEEE802.1X-System, erfordert aber ein konkretes Authentifizierungsprotokoll, so dass es Authentifizierung auf dem selben oder einem höheren Niveau als die MAC-Schicht durchführen kann. Das IEEE802.1X-System definiert kein konkretes Authentifizierungsprotokoll.
  • Wenn das IEEE802.1X-System ein konkretes Authentifizierungsprotokoll vorschlägt, kann das vorgeschlagene konkrete Authentifizierungsprotokoll angewendet werden, um eine Terminalauthentifizierungsfunktion vorzusehen. Gemäß einem auf der Terminalauthentifizierung basierenden Sicherheitsdienst kann jedoch ein nicht autorisierter Benutzer, der zu einem Terminal Zugang erhalten hat, auf eine Authentifizierungsfunktion zugreifen. Gemäß einem auf der Terminalauthentifizierung basie renden Sicherheitsdienst kann ein nicht autorisierter Benutzer, der zu einem Terminal Zugang erhalten hat, auf ein Netzwerk zugreifen, obwohl er oder sie nicht der ursprüngliche Besitzer des Terminals ist. Das heißt, Zugang von Benutzern zu einem Betriebsnetzwerk und einem öffentlichen Zugangsdienst muss geregelt werden.
  • Terminals der nächsten Generation stellen Zugang zu verschiedenen drahtlosen Verbindungen her. Wenn diese Zugänge in einem Terminal realisiert werden, sind Authentifizierungen für mehrere drahtlose Zugänge erforderlich. Um einem gegenseitigen Austauschdienst verschiedener drahtloser Zugänge zu erreichen, muss ein Terminal Authentifizierung für den gegenseitigen drahtlosen Zugang unterstützen. Um dies zu erreichen, erfordern drahtlose Zugangstechniken einen unabhängigen Mechanismus.
  • Um einen Benutzer zu authentifizieren, wird ein Authentifizierungsverfahren unter Verwendung eines Passworts verbreitet verwendet, weil es bequem zu benutzen ist. Allgemeine Authentifizierungssysteme unter Verwendung eines Passworts ergeben jedoch für einen Benutzer einen niedrigen Freiheitsgrad bei der Auswahl eines Passworts. Wenn ein Passwort mit einer Größe von k Bits gewählt wird und eine Wahrscheinlichkeit besteht, dass jedes der k Bits 0 oder 1 ist, 0,5 beträgt, wird ein Passwort mit k Bits ein beliebiger statistischer Schlüssel. Erraten des statistischen Schlüssels bedeutet Aufstellen einer Liste von 2k Zufallsmöglichkeiten für das Passwort. Wenn jedoch ein Benutzer ein Passwort wählt, ist Zufallsauswahl fast unmöglich, und daher ist der Benutzer einem Offline-Angriff zum Erraten des Passworts ausgesetzt.
  • EP 1081895 beschreibt ein sicheres WLAN. Jeder Zugangspunkt erzeugt eine Authentifizierungsnachricht, die zu einer drahtlosen Einrichtung übertragen wird. Wenn das Authentifizierungsverfahren von einem zulässigen Zugangspunkt kommt, sendet die drahtlose Einrichtung ein verschlüsseltes Authentifizierungsverfahren, das zum Beispiel einen Geräteschlüssel, Benutzername und Passwort enthält. Diese werden dann vom Zugangspunkt geprüft.
  • Young Kim beschreibt in "802.11b Wireless LAN Authentication, Encryption and Security, Microsoft Corporation, Online" Authentifizierung eines WLAN unter Verwendung einer MAC-Schicht und eines Benutzerpassworts.
  • Wu beschreibt in "The Secure Remote Passwort Protocol", XP002251154 von http://srp.stanford.edu/ndss.html ein sicheres Passwortprotokoll.
  • Ein anderes sicheres fernes Passwort wird von Arorba et al. in "Secure remote passwort", XP002249354, http://grouper.eee.org/groups/802/11/-Documents/DocumentHolder/1-524.zeip beschrieben.
  • EP 1134929 (Lucent) beschreibt ein Protokoll für sichere gegenseitige Authentifizierung und Schlüsselaustausch. Das Protokoll basiert auf einem Diffie-Hellman-Protokoll, aber der Server speichert kein Passwort. Stattdessen speichert der Server eine Passwortverifizierung, die eine Funktion des Passworts ist und aus der das Passwort nicht bestimmt werden kann.
  • Gemäß der vorliegenden Erfindung wird ein Verfahren zur Steuerung des Netzwerkzugangs wie in Anspruch 1 angegeben, ein Verfahren zum Betrieb eines Passwortauthentifizierungsclient wie in Anspruch 5 angegeben, ein Verfahren zum Betrieb eines Passwortauthentifizierungsservers wie in Anspruch 6 angegeben, ein computerlesbares Aufzeichnungsmedium wie in Anspruch 7 angegeben und ein Authentifizierungsclient wie in Anspruch 8 angegeben zur Verfügung gestellt. Vor teilhafte Ausführungsformen dazu sind in den entsprechenden Unteransprüchen definiert.
  • Die Merkmale und Vorteile der vorliegenden Erfindung werden aus einer ausführlichen Beschreibung einer bevorzugten Ausführungsform mit Bezug zu den begleitenden Zeichnungen besser ersichtlich, in denen:
  • 1 ein Blockdiagramm ist, das ein Verfahren zur Steuerung des Netzwerkzugangs gemäß der vorliegenden Erfindung darstellt, und
  • 2 ein Flussdiagramm ist, das ein Verfahren zur Steuerung des Netzwerkzugangs gemäß der vorliegenden Erfindung darstellt.
  • Die vorliegende Erfindung wird nun genauer mit Bezug zu den begleitenden Zeichnungen beschrieben, in denen eine bevorzugte Ausführungsform der Erfindung gezeigt ist. Diese Erfindung kann jedoch in verschiedenen Formen ausgeführt sein und sollte nicht als auf die hier angegebene Ausführungsform beschränkt betrachtet werden. Vielmehr ist die Ausführungsform dazu vorgesehen, dass die Offenbarung gründlich und vollständig ist und den Rahmen der Erfindung den Fachleuten vollständig vermittelt.
  • Zur Benutzerauthentifizierung beinhaltet die vorliegenden Erfindung einen Schritt zur Authentifizierung eines Terminals, das ein Benutzer besitzt, und einen Schritt zur Authentifizierung des Benutzers unter Verwendung eines Passworts, das der Benutzer kennt. Ebenso sind die Hauptaktionskörper, ein Terminal, ein Zugangspunkt und ein Authentifizierungsserver, die in einem Netzwerk vorliegen, für die Benutzerauthentifizierung gemäß der vorliegenden Erfindung erforderlich. 1 zeigt die Komponenten einem WLAN-System.
  • Mit Bezug zu 1 weisen Terminals 100a und 100b MAC-Protokollstapel 10a bzw. 10b (z. B. IEEE802.11) auf und weisen Rahmenwerke 20a bzw. 20b (z. B. IEEE802.1X) in der zweiten Schicht auf. Die MAC-Proto kollstapel 10a und 10b können auf eine drahtlose Verbindung zugreifen und die Rahmenwerke 20a und 20b ermöglichen Authentifizierung eines Terminals. Die Terminals 100a und 100b beinhalten Prozessoren (nicht gezeigt) zum Empfangen eines Passworts von einem Benutzer und Verarbeiten des empfangenen Passworts. Das Terminal 100a und ein Zugangspunkt 120a bilden ein erstes drahtloses Netzwerk und das Terminal 100b und ein Zugangspunkt 120b bilden ein zweites drahtloses Netzwerk. Die Terminals 100a und 100b können nicht auf einen Host in einem verdrahteten Netzwerk zugreifen, ohne dass sie von den Zugangspunkten 120a und 120b authentifiziert sind. Die Art und Weise, in der die Zugangspunkte 120a und 120b die Pakete der Terminals 100a und 100b verarbeiten, unterscheidet sich in Abhängigkeit davon, wo die Authentifizierung durchgeführt wird. Zum Beispiel werden in einem IEEE802.1X-System von den Terminals 100a und 100b in Verbindung mit einer Authentifizierung versendete Pakete zu einem Authentifizierungsserver 140 im verdrahteten Netzwerk übertragen, ohne dass sie an den Zugangspunkten 120a und 120b einer Authentifizierung unterzogen werden.
  • Es ist erforderlich, dass die Zugangspunkte 120a und 120b drahtlos Zugang zu einem verdrahteten Netzwerk erhalten, und ein Authentifizierungspaket unter Verwendung eines Passworts, das in der vorliegenden Erfindung verwendet wird, an den Authentifizierungsserver 140 im verdrahteten Netzwerk ohne irgendeine Bearbeitung senden. Im IEEE802.1X-System kann ein Zugangspunkt einfach eine Authentifizierungsserverfunktion ausführen oder kann ein Authentifizierungspaket an den Authentifizierungsserver 140 senden, während ein Authentifizierungsserver in einem LAN dazu vorgesehen ist, ein lokale Authentifizierungsfunktion durchzuführen.
  • Der Authentifizierungsserver 140 verarbeitet Authentifizierungsnachrichten, die von den Terminals 100a und 100b angefordert sind und speichert Sessioninformation von den Terminals 100a und 100b, die Sessioninformation, mit der ein Benutzer abgerechnet werden kann. Das heißt, der Authentifizierungsserver 140 besitzt die Personeninformation von Benutzern und zeichnet Informationen zum Inhalt der von den Benutzern genutzten Diensten auf.
  • Bezugszeichen 150 bezeichnet ein Portal.
  • Grundlegende Operationen und Parameter, die zum Authentifizieren eines Benutzers unter Verwendung eines Passworts erforderlich sind, sind wie folgt.
    • n:
    Primzahl mit beliebiger Größe
    g:
    primitives Element für ein mod n
    P.
    Benutzerpasswort
    A, B:
    Zeichen, die einen Benutzer bzw. einen Authentifizierungsserver darstellen
    v:
    Passwortverifizierungswert, der in einem Authentifizierungsserver gespeichert ist
    xA, xB:
    beliebige Geheimschlüssel eines Benutzerterminals bzw. eines Authentifizierungsservers
    yA, yB:
    beliebige öffentliche Schlüssel eines Benutzerterminals bzw. eines Authentifizierungsservers. Hier ist yA = gxA und yB = gxB (wobei die Verwendung von xA und xB sich etwas von denen eines Geheimschlüssels bzw. eines öffentlichen Schlüssels unterscheidet, die in einem allgemeinen Codiersystem mit öffentlichem Schlüssel verwendet werden).
    cA:
    Confounder eines Benutzerterminals. Allgemein wird als cA ein langer Zufallswert gewählt.
    h(·):
    eine unidirektionale Hash-Funktion
    Ex(·):
    ein symmetrischer Schlüsselcodierungsalgorithmus, in dem x als Geheimschlüssel verwendet wird.
  • Da x eine beliebige Länge aufweisen kann, kann ein Codierungsalgorithmus mit einem Schlüssel variabler Größe, wie Blowfish [Sch93] zur Sicherheit verwendet werden, und ein moderner Verschlüsselungsstandard AES (Advanced Encryption Standard), der als Blockcodierungsalgorithmusstandard vom U.S. National Institute of Standard and Technology aufgestellt ist, kann ebenfalls verwendet werden.
    • K:
    Session-Key, der von einem Benutzer und einem Authentifizierungsserver gemeinsam benutzt wird und später für Verschlüsselungskommunikation verwendet werden kann.
  • Mit Bezug zu 2 ist ein Verfahren zur Steuerung eines Netzwerkzugangs gemäß der vorliegenden Erfindung aus zwei Schritten zusammengesetzt. Zunächst wird eine Authentifizierung für ein Terminal durchgeführt. Dann wird in Schritt 300 eine Authentifizierung für den Benutzer des Terminals unter Verwendung eines Passworts durchgeführt. Die Authentifizierung für den Benutzer eines Terminals unter Verwendung eines Passworts wird nach den folgenden Vorbereitungsvorgängen von Schritt 200 durchgeführt.
  • [Schritt 200 zur Passwortregistrierung und Vorbereitungsvorgänge]
  • Als Erstes wird das primitive Element g für das mod n durch Auswählen der Primzahl n beliebiger Größe ermittelt. Hier entsprechen n und g In formationen, die einem Benutzerterminal und einem Authentifizierungsserver gemeinsam sind.
  • Danach wählt ein Benutzer sein Passwort P und berechnet den Passwortverifizierungswert v = gh(p). Wie oben beschrieben, ist h(·) eine unidirektionale Hash-Funktion.
  • Danach überträgt der Benutzer den Wert der Passwortverifizierung v an den Authentifizierungsserver über einen sicheren Kanal.
  • Ein Prozess, bei dem der Benutzer ein Terminal das erste Mal einsetzt und Authentifizierung vom Authentifizierungsserver erlangt, wird nun beschrieben. Wenn der Benutzer nicht der erste Benutzer in einer bestimmten Domäne ist, kann der vierte Unterschritt von Schritt 300 zum Netzwerkzugang ausgelassen werden.
  • [Schritt 300 zum Netzwerkzugang]
  • Im ersten Unterschritt wird Authentifizierung eines Terminals unter Verwendung einer MAC-ID in einem IEEE802.1X-System erreicht.
  • Im zweiten Unterschritt wird eine Internetprotokoll(IP)-Adresse unter Verwendung eines dynamischen Hostkonfigurationsprotokoll(DHCP)-Servers oder dergleichen zugewiesen.
  • Im dritten Unterschritt wird die Adresse des Authentifizierungsservers gebracht.
  • Im vierten Unterschritt lädt der Authentifizierungsserver einen Passwortauthentifizierungsclient herunter.
  • Im fünften Unterschritt gibt der Benutzer sein Passwort in den Passwortauthentifizierungsclient ein.
  • Im sechsten Unterschritt wird eine Authentifizierung zwischen dem Passwortauthentifizierungsclient und dem Authentifizierungsserver basierend auf dem eingegebenen Passwort erreicht.
  • Im siebten Unterschritt greift das Terminal auf ein externes/internes Netzwerk zu, wie Internet/Intranet, nachdem die Authentifizierung akzeptiert ist.
  • Nachfolgend wird der sechste Unterschritt von Schritt 300 (Netzwerkzugang) ausführlicher beschrieben. Schritt 200 (Passwortregistrierung und Vorbereitungsvorgänge) müssen vor dem sechsten Unterschritt zur Authentifizierung durchgeführt sein.
  • Im sechsten Unterschritt berechnet der Passwortauthentifizierungsclient zunächst einen Passwortverifizierungswert v = gh(p) basierend auf einem eingegebenen Passwort P.
  • Zweitens erzeugt der Passwortauthentifizierungsclient drei statistische Werte xA, cA und r.
  • Drittens werden yA = gxA und z1 = h(yA, v, cA) unter Verwendung der erzeugten statistischen Werte berechnet.
  • Viertens überträgt der Passwortauthentifizierungsclient die Werte z1, yA und r über einen Zugangspunkt an den Authentifizierungsserver.
  • Fünftens speichert der Authentifizierungsserver die erhaltenen Werte z1 und yA und bildet einen statistischen Wert xB zum Berechnen von yB = gxB.
  • Sechstens berechnet der Authentifizierungsserver einen Session-Key K = yA xB und h1 = h(r, v, K) basierend auf den erhaltenen Werten yA und r.
  • Siebtens überträgt der Authentifizierungsserver eine Nachricht z2 = Ev (yB, h1), in die der öffentliche Schlüssel yB des Authentifizierungsservers und der berechnete Wert h1 nach einem symmetrischen Schlüsselcodiersystem eincodiert sind, unter Verwendung eines durch den Passwortverifizierungswert v induzierten Schlüssels, an den Passwortauthentifizierungsclient. Hier unterscheidet sich die Länge eines erforderlichen Schlüssels entsprechend einem verwendeten symmetrischen Schlüsselcodiersystem, aber die Länge eines von der Passwortverifizierung geforderten Schlüssels kann vom signifikantesten Bit (MSB) ausgehen.
  • Achtens decodiert der Passwortauthentifizierungsclient die erhaltene codierte Nachricht z2 unter Verwendung des symmetrischen Schlüsselcodiersystems basierend auf einem durch den Passwortverifizierungswert v des Benutzers induzierten Decodierschlüssel und berechnet und speichert einen Session-Key K = yB xA. Danach berechnet der Passwortauthentifizierungsclient h' = h(r, v, K) unter Verwendung des berechneten Session-Key und prüft, ob der decodierte Wert h' gleich dem empfangenen Wert h1 ist. Wenn sie nicht gleich sind, stoppt der Passwortauthentifizierungsclient den Nachrichtenaustausch mit dem Authentifizierungsserver.
  • Neuntens, wenn h' und h1 gleich sind, überträgt der Passwortauthentifizierungsclient an den Authentifizierungsserver eine Nachricht z3 = EyB (cA, K), in der K = yB xA und cA basierend auf einem vom öffentlichen Schlüssel yB des Authentifizierungsservers induzierten Schlüssel codiert sind. Eine erforderliche Schlüssellänge beginnend mit dem MSB von yB wird entsprechend dem verwendeten symmetrischen Schlüsselcodiersystem ermittelt.
  • Zehntens decodiert der Authentifizierungsserver den erhaltenen z3 unter Verwendung eines von yB induzierten Schlüssels und prüft, ob K = yB xA gleich K = yA xB ist. Wenn sie sich unterscheiden, stoppt der Authentifizierungsserver den Nachrichtenaustausch mit dem Benutzerauthentifizierungsclient. Wenn K = yB xA gleich K = yA xB ist, berechnet der Authentifizierungsserver einen Wert h'' = h(yA, v, cA) basierend auf dem im fünften Schritt gespeicherten Wert yA und dem decodierten cA und prüft, ob h'' gleich z1 ist. Wenn sie gleich sind, überträgt der Authentifizierungsserver eine Benutzerauthentifizieurngserfolgsmeldung an den Passwortclient. Wenn sie sich unterscheiden, überträgt der Authentifizierungsserver eine Benutzerauthentifizierungsfehlermeldung an den Passwortclient.
  • Nachdem die Authentifizierung zwischen dem Passwortauthentifizierungsclient und dem Authentifizierungsserver abgeschlossen ist, nutzen der Benutzer und der Authentifizierungsserver neue Geheiminformation gemeinsam, die Verschlüsselungskommunikation ermöglicht.
  • Wie oben beschrieben, kann ein Benutzer unter Verwendung eines Passworts in einem WLAN-System authentifiziert werden. Ungeachtet verschiedener drahtloser Zugänge, kann ein Benutzer derart authentifiziert werden, dass ein Terminal authentifiziert werden kann, selbst wenn es über eine Reihe von Netzwerken wandert.
  • Die Verwendung von Passwörtern, statt dass die Verwaltung eine Medienzugangskontrollidentifizierung (MAC-ID) verwendet, ermöglicht Verwaltung auf Benutzerebene und kann eine intertechnologische Übergabefunktion bereitstellen. Es ist gegenseitige Authentifizierung ohne öffentliche Schlüsselinfrastruktur (PKI) möglich. Ein Internetschlüsselaustausch (IKE), der ein Authentifizierungsprotokoll ist, das bei IP-Sicherheit (IPSec) verwendet wird, muss von PKI oder dergleichen abhängig sein, um eine Gegenseite zu authentifizieren. Die vorliegende Erfindung verwendet jedoch eine passwortabhängige Authentifizierungsmethode, so dass ein Authentifizierungssystem leicht ohne die PKI aufgestellt werden kann.
  • Gemäß der vorliegenden Erfindung ist es möglich zu prüfen, ob ein Benutzer den selben Schlüssel besitzt wie ein Authentifizierungsserver. Kommunikationsdaten sind vor Passwortangriffen sicher, die in einem herkömmlichen System unter Verwendung eines allgemeinen Passworts erfolgreich waren. Authentifizierung eines Terminals und Authentifizierung eines Benutzers werden unabhängig durchgeführt. Es wird gemeinsame Geheiminformation zur Verfügung gestellt, mit der Codierungskommunikation nach Authentifizierung vorgenommen wird. Ein bei einer Session bekannter Schlüssel enthält keine Information zu einem Schlüssel, der bei anderen Sessions verwendet wird. Es wird eine effiziente Authentifizierung durchgeführt.
  • Ein Protokoll für gegenseitige Authentifizierung und Schlüsselaustausch zwischen einem Benutzer und einem Authentifizierungsserver führt gemäß der vorliegenden Erfindung hauptsächlich eine Hash-Funktion und einen symmetrischen Codierungsalgorithmus aus, außer wenn jeder Host modulare Exponenzierung ein Mal für einen Diffie-Hellman-Schlüsselaustausch durchführt. Auf diese Weise werden schnelle Authentifizierung und Schlüsselaustausch realisiert.

Claims (8)

  1. Verfahren zur Steuerung des Netzwerkzugangs in einem drahtlosen System, wobei das Verfahren die Schritte umfasst: (a) Ausführen einer Authentifizierung für ein Terminal (100a) unter Verwendung einer MAC-ID in einem Zugangspunkt (120a); (b) Annehmen einer Benutzereingabe eines Passworts an einen Passwortauthentifizierungsclient im Terminal (100a); (c) Durchführen einer Authentifizierung zwischen dem Passwortauthentifizierungsclient (120a) und einem Authentifizierungsserver (140) basierend auf dem eingegebenen Passwort; und (d) Zugriff des Terminals (100a) auf ein externes/internes Netzwerk, wenn die Authentifizierung in Schritt (a) und die Authentifizierung in Schritt (c) akzeptiert sind, oder ansonsten Übertragen einer Authentifizierungsfehlermeldung an den Benutzer; gekennzeichnet durch den Schritt zwischen den Schritten (a) und (b): Zuweisen einer Internet-Protokoll-Adresse an das Terminal (100a) und Herunterladen des Passwortauthentifizierungsclient vom Authentifizierungsserver; wobei der Schritt (b) umfasst: (b-1) Auswählen einer Primzahl n mit beliebiger Größe und Ermitteln des primitiven Elements g für ein mod n, wobei die große Primzahl n und das primitive Element g Informationen entsprechen, die das Terminal und der Authentifizierungsserver gemeinsam nutzen; (b-2) Berechnen eines Passwortverifizierungswerts v = gh(p) aus dem vom Benutzer gewählten Passwort P; und (b-3) Übertragen des Passwortverifizierungswerts an den Authentifizierungsserver über einen sicheren Kanal, wobei h(·) eine unidirektionale Hash-Funktion bezeichnet.
  2. Verfahren zur Steuerung des Netzwerkzugangs nach Anspruch 1, wobei Schritt (a) in einem IEEE802.1X-System durchgeführt wird.
  3. Verfahren zur Steuerung des Netzwerkzugangs nach Anspruch 1 oder 2, wobei Schritt (c) umfasst: (c-1) Berechnen des Werts z1 = h(yA, v, cA) durch den Passwortauthentifizierungsclient, wobei xA der Geheimschlüssel des Terminals ist, cA der Confounder des Terminals ist und yA = gxA ein öffentlicher Schlüssel ist; (c-2) Übertragen des berechneten Werts z1, des öffentlichen Schlüssels yA = gxA und eines beliebigen Werts r durch den Passwortauthentifizierungsclient an den Authentifizierungsserver über den Zugangspunkt; (c-3) Speichern der empfangenen Werte z1 und yA durch den Authentifizierungsserver und Erzeugen eines Geheimschlüssels xB des Authentifizierungsservers zum Berechnen eines öffentlichen Schlüssels des Authentifizierungsservers, yB = gxB; (c-4) Berechnen eines Session-Key K = yA xB und eines Werts h1 = h(r, v, K) basierend auf den erhaltenen Werten yA und r durch den Authentifizierungsserver; (c-5) Übertragen einer Nachricht z2 = Ev (yB, h1) durch den Authentifizierungsserver an den Passwortauthentifizierungsclient, in die ein öffentlicher Schlüssel yB des Authentifizierungsservers und der berechnete Wert h1 nach einem symmetrischen Schlüsselcodiersystem eincodiert sind, unter Verwendung eines durch den Passwortverifizierungswert v induzierten Schlüssels; (c-6) Decodieren der erhaltenen Nachricht z2 durch den Passwortauthentifizierungsclient unter Verwendung des symmetrischen Schlüsselcodiersystems basierend auf einem durch den Passwortverifizierungswert v des Benutzers induzierten Decodierschlüssel, Berechnen und Speichern des Session-Key K = yB xA, Berechnen von h' = h(r, v, K) unter Verwendung des berechneten Session-Key, Decodieren des berechneten Werts h' und Prüfen, ob der decodierte Wert h' gleich dem empfangenen Wert h1 ist; (c-7) wenn h' nicht gleich h1 ist, Stoppen des Nachrichtenaustauschs mit dem Authentifizierungsserver durch den Passwortauthentifizierungsc lient, oder wenn h' und h1 gleich sind, Übertragen einer Nachricht z3 = EyB (cA, K) durch den Passwortauthentifizierungsclient an den Authentifizierungsserver, in der K = yB xA und cA basierend auf einem vom öffentlichen Schlüssel yB des Authentifizierungsservers induzierten Schlüssel codiert sind; (c-8) Decodieren des erhaltenen Werts z3 durch den Authentifizierungsserver unter Verwendung eines von yB induzierten Schlüssels und Stoppen des Nachrichtenaustauschs mit dem Authentifizierungsclient, wenn K = yB xA sich von K = yA xB unterscheidet, oder ansonsten Berechnen eines Werts h'' = h(yA, v, cA) basierend auf dem in Schritt (c-4) gespeicherten Wert yA und dem decodierten cA und Prüfen, ob h'' gleich z1 ist; und (c-9) Akzeptieren einer Benutzerauthentifizierung durch den Authentifizierungsserver, wenn h'' gleich z1 ist, oder ansonsten Ablehnen der Benutzerauthentifizierung, wobei Ex(·) einen symmetrischen Schlüsselcodierungsalgorithmus bezeichnet, der x als Geheimschlüssel verwendet.
  4. Verfahren zur Steuerung des Netzwerkzugangs nach Anspruch 3, wobei Schritt (c-1) umfasst: Erzeugen dreier statistischer Werte durch den Passwortauthentifizierungsclient, d. h. des Geheimschlüssels xA des Terminals, des Confounders cA des Terminals und eines beliebigen Werts r, und Berechnen des öffentlichen Schlüssels yA = gxA des Terminals und des Werts z1 = h(yA, v, cA) unter Verwendung der erzeugten statistischen Werte.
  5. Verfahren zum Betrieb eines Passwortauthentifizierungsclient umfassend: Berechnen eines Passwortverifizierungswerts v = gh(p) basierend auf einem vom Benutzer eingegebenen Passwort P und einem Wert z1 = h(yA, v, cA), wobei g ein primitives Element ist, xA der Geheimschlüssel des Terminals ist, yA ein öffentlicher Schlüssel yA = gxA ist und cA der Con founder des Terminals ist, wobei h(·) eine unidirektionale Hash-Funktion bezeichnet; Übertragen des berechneten Werts z1, des öffentlichen Schlüssels yA = gxA und eines zufälligen Werts r an einen Authentifizierungsserver über den Zugangspunkt, damit der Authentifizierungsserver einen Geheimschlüssel xB, einen öffentlichen Schlüssel yB = gxB, einen Session-Key K = yA xB und einen Wert h1 = h(r, v, K) basierend auf den empfangenen Werten yA und r erzeugt; Annehmen einer Nachricht z2 = Ev (yB, h1) vom Authentifizierungsserver zum Passwortauthentifizierungsclient, in der der öffentliche Schlüssel yB des Authentifizierungsservers und der berechnete Wert h1 nach einem symmetrischen Schlüsselcodiersystem unter Verwendung eines durch den Passwortverifizierungswert v induzierten Schlüssels eincodiert sind; Decodieren der erhaltenen Nachricht z2 unter Verwendung des symmetrischen Schlüsselcodiersystems basierend auf einem durch den Passwortverifizierungswert v des Benutzers induzierten Decodierschlüssel, Berechnen und Speichern des Session-Key K = yB xA, Berechnen von h' = h(r, v, K) unter Verwendung des berechneten Session-Key, Decodieren des berechneten Werts h' und Prüfen, ob der decodierte Wert h' gleich dem empfangenen Wert h1 ist; wenn h' nicht gleich h1 ist, Stoppen des Nachrichtenaustauschs mit dem Authentifizierungsserver durch den Passwortauthentifizierungsclient, oder wenn h' und h1 gleich sind, Übertragen einer Nachricht z3 = EyB (cA, K) durch den Passwortauthentifizierungsclient an den Authentifizierungsserver, in der K = yB xA und cA basierend auf einem vom öffentlichen Schlüssel yB induzierten Schlüssel des Authentifizierungsservers codiert sind; wobei Ex(·) einen symmetrischen Schlüsselcodierungsalgorithmus bezeichnet, der x als Geheimschlüssel verwendet.
  6. Verfahren zum Betrieb eines Passwortauthentifizierungsservers umfassend: Empfangen eines berechneten Werts z1, eines öffentlichen Schlüssels yA = gxA und eines zufälligen Werts r von einem Authentifizierungsclient, wobei der Passwortverifizierungswert v = gh(p) auf einem vom Benutzer eingegebenen Passwort P basiert, g ein primitives Element ist und z1 = h(yA, v, cA) , wobei xA der Geheimschlüssel des Terminals und cA der Confounder des Terminals sind; Speichern der empfangenen Werte z1 und yA und Erzeugen eines Geheimschlüssels xB des Authentifizierungsservers zum Berechnen eines öffentlichen Schlüssels des Authentifizierungsservers yB = gxB; Berechnen eines Session-Key K = yA xB und eines Werts h1 = h(r, v, K) basierend auf den empfangenen Werten yA und r; Übertragen einer Nachricht z2 = Ev (yB, h1) an den Passwortauthentifizierungsclient, in die ein öffentlicher Schlüssel yB des Authentifizierungsservers und der berechnete Wert h1 nach einem symmetrischen Schlüsselcodiersystem unter Verwendung eines durch den Passwortverifizierungswert v induzierten Schlüssels eincodiert sind, damit der Passwortauthentifizierungsclient die erhaltene Nachricht z2 unter Verwendung des symmetrischen Schlüsselcodiersystems basierend auf einem durch den Passwortverifizierungswert v des Benutzers induzierten Decodierschlüssel decodiert, den Session-Key K = yB xA berechnet, h' = h(r, v, K) unter Verwendung des berechneten Session-Keys berechnet, den berechneten Wert h' decodiert und prüft, ob der decodierte Wert h' gleich dem empfangenen Wert h1 ist; wenn h' und h1 gleich sind, Empfangen einer Nachricht z3 = EyB (cA, K) vom Authentifizierungsclient, in der K = yB xA und cA basierend auf einem vom öffentlichen Schlüssel yB des Authentifizierungsservers induzierten Schlüssel codiert sind; Decodieren des empfangenen Werts z3 unter Verwendung eines von yB induzierten Schlüssels und Stoppen des Nachrichtenaustauschs mit dem Benutzerauthentifizierungsclient, wenn K = yB xA sich von K = yA xB unterscheidet, oder ansonsten Berechnen eines Werts h'' = h(yA, v, cA) basierend auf dem in Schritt (c-4) gespeicherten Wert yA und dem decodierten cA und Prüfen, ob h'' gleich z1 ist; und Akzeptieren einer Benutzerauthentifizierung, wenn h'' gleich z1 ist, oder ansonsten Ablehnen der Benutzerauthentifizierung, wobei Ex(·) einen symmetrischen Schlüsselcodierungsalgorithmus bezeichnet, der x als Geheimschlüssel verwendet.
  7. Computerlesbares Aufzeichnungsmedium, das ein Computerprogramm zur Ausführung des Verfahrens nach einem der Ansprüche 5 oder 6 speichert.
  8. Authentifizierungsclient umfassend: Mittel zum Akzeptieren eines eingegebenen Benutzerpassworts P; Mittel zur drahtlosen Kommunikation mit einem Zugangspunkt; und einen Prozessor; und Code so ausgebildet, dass der Prozessor veranlasst wird, die Schritte des Verfahrens auszuführen: Berechnen eines Passwortverifizierungswerts v = gh(p) basierend auf einem vom Benutzer eingegebenen Passwort P und einem Wert z1 = h(yA, v, cA), wobei xA der Geheimschlüssel des Terminals ist, yA ein öffentlicher Schlüssel yA = gxA ist, h(·) eine unidirektionale Hash-Funktion bezeichnet und g ein primitives Element und cA der Confounder des Terminals sind; Übertragen des berechneten Werts z1, des öffentlichen Schlüssels yA = gxA und eines zufälligen Werts r an einen Authentifizierungsserver über den Zugangspunkt, damit der Authentifizierungsserver einen Geheimschlüssel xB, einen öffentlichen Schlüssel yB = gxB, einen Session-Key K = yA xB und einen Wert h1 = h(r, v, K) basierend auf den empfangenen Werten yA und r erzeugt; Annehmen einer Nachricht z2 = Ev (yB, h1) vom Authentifizierungsserver zum Passwortauthentifizierungsclient, in der der öffentliche Schlüssel yB des Authentifizierungsservers und der berechnete Wert h1 nach einem symmetrischen Schlüsselcodiersystem unter Verwendung eines durch den Passwortverifizierungswert v induzierten Schlüssels eincodiert sind; Decodieren der empfangenen Nachricht z2 unter Verwendung des symmetrischen Schlüsselcodiersystems basierend auf einem durch den Passwortverifizierungswert v des Benutzers induzierten Decodierschlüssel, Berechnen und Speichern des Session-Key K = yB xA, Berechnen von h' = h(r, v, K) unter Verwendung des berechneten Session-Key, Decodieren des berechneten Werts h' und Prüfen, ob der decodierte Wert h' gleich dem empfangenen Wert h1 ist; wenn h' nicht gleich h1 ist, Stoppen des Nachrichtenaustauschs mit dem Authentifizierungsserver durch den Passwortauthentifizierungsclient, oder wenn h' und h1 gleich sind, Übertragen einer Nachricht z3 = EyB (CA, K) durch den Passwortauthentifizierungsclient an den Authentifizierungsserver, in der K = yB xA und cA basierend auf einem vom öffentlichen Schlüssel yB des Authentifizierungservers induzierten Schlüssel codiert sind; wobei Ex(·) einen symmetrischen Schlüsselcodierungsalgorithmus bezeichnet, der x als Geheimschlüssel verwendet.
DE60313910T 2002-03-16 2003-02-14 Verfahren und Aufzeichungsmedium zur Steuerung des Netzzuganges in einer drahtlosen Umgebung Expired - Fee Related DE60313910T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR2002014276 2002-03-16
KR1020020014276A KR100883648B1 (ko) 2002-03-16 2002-03-16 무선 환경에서의 네트웍 접근 통제 방법 및 이를 기록한기록매체

Publications (2)

Publication Number Publication Date
DE60313910D1 DE60313910D1 (de) 2007-07-05
DE60313910T2 true DE60313910T2 (de) 2008-01-17

Family

ID=27764648

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60313910T Expired - Fee Related DE60313910T2 (de) 2002-03-16 2003-02-14 Verfahren und Aufzeichungsmedium zur Steuerung des Netzzuganges in einer drahtlosen Umgebung

Country Status (6)

Country Link
US (1) US20030177350A1 (de)
EP (1) EP1345386B1 (de)
JP (1) JP3863852B2 (de)
KR (1) KR100883648B1 (de)
CN (1) CN1206838C (de)
DE (1) DE60313910T2 (de)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7024690B1 (en) * 2000-04-28 2006-04-04 3Com Corporation Protected mutual authentication over an unsecured wireless communication channel
KR100458955B1 (ko) * 2002-04-18 2004-12-03 (주) 시큐컴 무선랜 보안 방법
US20040054798A1 (en) * 2002-09-17 2004-03-18 Frank Ed H. Method and system for providing seamless connectivity and communication in a multi-band multi-protocol hybrid wired/wireless network
US7620027B2 (en) * 2003-03-14 2009-11-17 Canon Kabushiki Kaisha Communication system, information processing device, connection device, and connection device designation method for designating connection device for communication device to connect to
US7562390B1 (en) * 2003-05-21 2009-07-14 Foundry Networks, Inc. System and method for ARP anti-spoofing security
US7516487B1 (en) * 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
US20040255154A1 (en) * 2003-06-11 2004-12-16 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus
US7876772B2 (en) 2003-08-01 2011-01-25 Foundry Networks, Llc System, method and apparatus for providing multiple access modes in a data communications network
US7735114B2 (en) * 2003-09-04 2010-06-08 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus using dynamic user policy assignment
US7774833B1 (en) * 2003-09-23 2010-08-10 Foundry Networks, Inc. System and method for protecting CPU against remote access attacks
US7743405B2 (en) * 2003-11-07 2010-06-22 Siemens Aktiengesellschaft Method of authentication via a secure wireless communication system
GB0325980D0 (en) * 2003-11-07 2003-12-10 Siemens Ag Secure authentication in a mobile terminal using a local proxy
GB0325978D0 (en) * 2003-11-07 2003-12-10 Siemens Ag Transparent authentication on a mobile terminal using a web browser
CN100450137C (zh) * 2003-11-12 2009-01-07 华为技术有限公司 移动电话用户访问互联网的实现方法
US8528071B1 (en) 2003-12-05 2013-09-03 Foundry Networks, Llc System and method for flexible authentication in a data communications network
KR100674632B1 (ko) * 2004-07-16 2007-01-26 재단법인서울대학교산학협력재단 다운로드와 수행의 병행을 허용하는 이동 단말 장치 코드인증 방법
EP1635528A1 (de) * 2004-09-13 2006-03-15 Alcatel Verfahren für die Gewährleistung des Zugangs zu einem Datenkommunikationsnetzwerk und die entsprechenden Geräte
US20060059538A1 (en) * 2004-09-13 2006-03-16 Xcomm Box, Inc. Security system for wireless networks
US20060068757A1 (en) * 2004-09-30 2006-03-30 Sukumar Thirunarayanan Method, apparatus and system for maintaining a persistent wireless network connection
FR2876521A1 (fr) * 2004-10-07 2006-04-14 France Telecom Procede d'authentification d'un utilisateur, dispositif mettant en oeuvre un tel procede, et serveur de signalisation
CA2578186C (en) * 2004-10-12 2012-07-10 Bce Inc. System and method for access control
KR100600605B1 (ko) * 2004-11-03 2006-07-13 한국전자통신연구원 휴대 인터넷 시스템의 사용자 및 단말 데이터 관리 장치및 방법
FR2877453A1 (fr) * 2004-11-04 2006-05-05 France Telecom Procede de delegation securisee de calcul d'une application bilineaire
US7996894B1 (en) * 2005-02-15 2011-08-09 Sonicwall, Inc. MAC address modification of otherwise locally bridged client devices to provide security
US8010994B2 (en) 2005-05-16 2011-08-30 Alcatel Lucent Apparatus, and associated method, for providing communication access to a communication device at a network access port
US8621577B2 (en) 2005-08-19 2013-12-31 Samsung Electronics Co., Ltd. Method for performing multiple pre-shared key based authentication at once and system for executing the method
WO2007059112A2 (en) * 2005-11-15 2007-05-24 Credant Technologies, Inc. Secure, transparent and continuous synchronization of access credentials in an arbitrary third party system
KR100729729B1 (ko) * 2005-12-10 2007-06-18 한국전자통신연구원 무선 휴대 인터넷 시스템의 액세스 포인트의 인증 장치 및그 방법
KR100790495B1 (ko) * 2006-03-07 2008-01-02 와이즈와이어즈(주) 암호화 알고리즘을 이용한 이동통신 단말기 제어를 위한인증 방법, 시스템, 서버 및 기록매체
DE102007016117A1 (de) * 2007-04-03 2008-10-16 Siemens Ag Verfahren und System zum Bereitstellen eines REL-Tokens
JP4928364B2 (ja) * 2007-06-25 2012-05-09 日本電信電話株式会社 認証方法、登録値生成方法、サーバ装置、クライアント装置及びプログラム
WO2009001447A1 (ja) * 2007-06-27 2008-12-31 Fujitsu Limited 認証方法、認証システム、認証装置及びコンピュータプログラム
KR100924315B1 (ko) * 2007-11-16 2009-11-02 넷큐브테크놀러지 주식회사 보안성이 강화된 무선랜 인증 시스템 및 그 방법
KR101065326B1 (ko) * 2009-08-06 2011-09-16 국방과학연구소 인트라넷 상에서 물리적 네트워크 주소를 이용한 웹 서비스 사용자 인증방법
KR101133210B1 (ko) * 2010-05-22 2012-04-05 오중선 모바일 클라이언트 단말기의 보안인증시스템
KR101493214B1 (ko) 2012-10-31 2015-02-24 삼성에스디에스 주식회사 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치
WO2014069783A1 (ko) * 2012-10-31 2014-05-08 삼성에스디에스 주식회사 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치
KR101483901B1 (ko) * 2014-01-21 2015-01-16 (주)이스트소프트 인트라넷 보안시스템 및 보안방법
US9674203B2 (en) * 2015-03-16 2017-06-06 International Business Machines Corporation File and bit location authentication
CN110831003B (zh) * 2018-08-13 2023-10-13 广东亿迅科技有限公司 基于wlan灵活接入网络的认证方法及系统

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6766454B1 (en) * 1997-04-08 2004-07-20 Visto Corporation System and method for using an authentication applet to identify and authenticate a user in a computer network
US6539479B1 (en) * 1997-07-15 2003-03-25 The Board Of Trustees Of The Leland Stanford Junior University System and method for securely logging onto a remotely located computer
US6282575B1 (en) * 1997-12-11 2001-08-28 Intel Corporation Routing mechanism for networks with separate upstream and downstream traffic
US20020156708A1 (en) * 1998-12-30 2002-10-24 Yzhak Ronen Personalized internet server
US6393484B1 (en) * 1999-04-12 2002-05-21 International Business Machines Corp. System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks
JP2003500923A (ja) * 1999-05-21 2003-01-07 インターナショナル・ビジネス・マシーンズ・コーポレーション セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置
US7174564B1 (en) * 1999-09-03 2007-02-06 Intel Corporation Secure wireless local area network
US6396484B1 (en) * 1999-09-29 2002-05-28 Elo Touchsystems, Inc. Adaptive frequency touchscreen controller using intermediate-frequency signal processing
JP2001211171A (ja) * 2000-01-28 2001-08-03 Advantest Corp 機器認証装置、方法、機器認証プログラムを記録した記録媒体
KR20010083377A (ko) * 2000-02-11 2001-09-01 박순규 시스템 정보를 이용한 사용자-서버간의 신분 인증방법
US7047408B1 (en) * 2000-03-17 2006-05-16 Lucent Technologies Inc. Secure mutual network authentication and key exchange protocol
FI111119B (fi) 2000-05-26 2003-05-30 Radionet Oy Ab Ltd Menetelmä ja laitteisto tiedon siirtämiseksi
JP2001346257A (ja) 2000-06-01 2001-12-14 Akesesu:Kk 携帯型無線端末機のセキュリティシステム、携帯型無線端末機、およびセキュリティ用プログラムを記録した記録媒体
MY134895A (en) * 2000-06-29 2007-12-31 Multimedia Glory Sdn Bhd Biometric verification for electronic transactions over the web
US20020075844A1 (en) * 2000-12-15 2002-06-20 Hagen W. Alexander Integrating public and private network resources for optimized broadband wireless access and method
JP4390122B2 (ja) * 2001-03-14 2009-12-24 富士通株式会社 バイオメトリック情報を用いた利用者認証システム
KR100438155B1 (ko) * 2001-08-21 2004-07-01 (주)지에스텔레텍 무선랜 네트워크 시스템 및 그 운용방법
US7487535B1 (en) * 2002-02-01 2009-02-03 Novell, Inc. Authentication on demand in a distributed network environment

Also Published As

Publication number Publication date
EP1345386A3 (de) 2004-02-04
DE60313910D1 (de) 2007-07-05
JP2003289301A (ja) 2003-10-10
US20030177350A1 (en) 2003-09-18
JP3863852B2 (ja) 2006-12-27
CN1206838C (zh) 2005-06-15
KR100883648B1 (ko) 2009-02-18
CN1445963A (zh) 2003-10-01
EP1345386B1 (de) 2007-05-23
KR20030075224A (ko) 2003-09-26
EP1345386A2 (de) 2003-09-17

Similar Documents

Publication Publication Date Title
DE60313910T2 (de) Verfahren und Aufzeichungsmedium zur Steuerung des Netzzuganges in einer drahtlosen Umgebung
DE60217962T2 (de) Benutzerauthentisierung quer durch die Kommunikationssitzungen
DE60302276T2 (de) Verfahren zur ferngesteuerten Änderung eines Kommunikationspasswortes
DE112005002651B4 (de) Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen
DE602004010519T2 (de) Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung
DE60317123T2 (de) Verfahren zur Sicherung von Kommunikation über ein Netzwerk
US6393484B1 (en) System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks
DE60024319T2 (de) Vereinter einloggungsprozess
DE60011990T2 (de) Verfahren und Vorrichtung in einem Kommunikationsnetzwerk
US8726022B2 (en) Method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely
DE602004007708T2 (de) Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke
DE60029217T2 (de) Verfahren und vorrichtung zum initialisieren von sicheren verbindungen zwischen und nur zwischen zueinandergehörenden schnurlosen einrichtungen
DE60223951T2 (de) System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz
EP2289222B1 (de) Verfahren, authentikationsserver und diensteserver zum authentifizieren eines client
DE112006000618T5 (de) System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk
CN108848111B (zh) 一种基于区块链技术的去中心化虚拟专用网络组建方法
CN101114900A (zh) 一种组播业务认证方法及其装置、系统
DE10151277A1 (de) Verfahren zur Authentifizierung eines Netzwerkzugriffservers bei einem Authentifizierungsserver
DE112015002927B4 (de) Generierung und Verwaltung geheimer Chiffrierschlüssel auf Kennwortgrundlage
EP3220575B1 (de) Verfahren zur herstellung einer sicheren kommunikation zwischen einem client und einem server
DE602004012103T2 (de) Verfahren zum verteilen von passwörtern
DE60130899T2 (de) Wap-sitzung tunneling
DE602004009932T2 (de) Netzwerkgerät, System und Verfahren zur Authentifizierung
Wang et al. Fault-tolerant quantum anonymous voting protocol
EP1468520B1 (de) Verfahren zur datenverkehrssicherung in einer mobilen netzumgebung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee