DE60313910T2 - Verfahren und Aufzeichungsmedium zur Steuerung des Netzzuganges in einer drahtlosen Umgebung - Google Patents
Verfahren und Aufzeichungsmedium zur Steuerung des Netzzuganges in einer drahtlosen Umgebung Download PDFInfo
- Publication number
- DE60313910T2 DE60313910T2 DE60313910T DE60313910T DE60313910T2 DE 60313910 T2 DE60313910 T2 DE 60313910T2 DE 60313910 T DE60313910 T DE 60313910T DE 60313910 T DE60313910 T DE 60313910T DE 60313910 T2 DE60313910 T2 DE 60313910T2
- Authority
- DE
- Germany
- Prior art keywords
- key
- authentication
- value
- password
- authentication server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/71—Hardware identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Description
- Die vorliegende Erfindung betrifft ein Verfahren zur Steuerung eines Zugangs zu einem Netzwerk und Schutz von Kommunikationsdaten in einer drahtlosen Umgebung, und insbesondere ein Zugangssteuerungsverfahren unter Verwendung einer Kombination von Anschlussauthentifizierung und Benutzerauthentifizierung in einem drahtlosen lokalen Netzwerk (nachfolgend als WLAN, Wireless Local Area Network bezeichnet).
- Allgemein sind WLANs LANs (Local Area Network), die Daten über die Luft ohne Notwendigkeit verdrahteter Verbindungen unter Verwendung von elektromagnetischen Wellen, Funk und Infrarot, zwischen Computern oder zwischen einem Computer und einem Kommunikationssystem, das kein Computer ist, übertragen und empfangen. WLANs wurden mit dem jüngsten schnellen Fortschritt von Internetdiensten und drahtloser Kommunikationstechnologie entwickelt. Weil WLANs leicht installiert und unterhalten werden können, werden sie verstärkt für Netzwerkverbindungen zwischen Gebäuden oder an Stellen verwendet, wo verdrahtete Netzwerkeinrichtungen schwierig sind, wie große Büros oder Einkaufszentren. WLANs erreichen jedoch im Vergleich zu verdrahteten Netzwerken schlechte Sicherheit, weil theoretisch jedermann auf das Übertragungsmedium zugreifen kann.
- In dieser Hinsicht gibt es viele Sicherheitsdienste, wie Verschlüsselung, Zugangskontrolle, Authentifizierung, Unleugbarkeit, Integrität oder dergleichen. Alle sind von Bedeutung, aber die Authentifizierungsfunktion ist besonders wichtig in Hinblick auf die Bereitstellung von Qualitätskommunikationsdiensten. Bei einem WLAN wird geeignete Authentifizierung zunächst vor Verschlüsselung und Zugangskontrolle durchgeführt. Eine Authentifizierung in Bezug auf ein Terminal ist notwendigerweise erforderlich in öffentlichen Bereichen oder Unternehmen, um einen WLAN-Dienst bereitzustellen und bei Benutzern abzurechnen. In einem WLAN-System wirkt jedoch eine Sicherheitsfunktion eines Authentifizierungsmechanismus unter Verwendung eines bekannten WEP (Wired Equivalent Privacy) gegen viele Angriffe nicht.
- Ein Authentifizierungsmechanismus in einem herkömmlichen IEEE802.11b-System wird in einen offenen Authentifizierungsmechanismus und einen Shared-Key-Authentifizierungsmechanismus klassifiziert. Nur der Shared-Key-Authentifizierungsmechanismus führt Authentifizierung unter Verwendung eines vorliegenden Schlüssels durch. Der offene Authentifizierungsmechanismus verwendet einen Leerzeichenstrom, der bei einer WLAN-Kartenauthentifizierung basierend auf einem Zugangspunkt geöffnet wird. Der Zugangspunkt kann mit einer WLAN-Karteneinrichtung verbunden werden, nachdem die Karteneinrichtung bedingungslos authentifiziert ist, obwohl die Karteneinrichtung keine ackurate Authentifizierungsinformation bereitstellt. Beim Shared-Key-Authentifizierungsmechanismus wird ein spezieller Zeichenstrom, der von einem Zugangspunkt zu einer WLAN-Karte in einem Anfragevorgang vorgeschlagen wird, in einem Antwortvorgang durch Anfrage-Antwortkommunikation unter Verwendung eines gemeinsamen Schlüssels, der vor Aufnahme der Kommunikation vorbestimmt wird, in einen bestimmten Schlüssel codiert. Dann kann der codierte Zeichenstrom nur mit einem Zugangspunkt verbunden werden, wenn er den Authentifizierungsvorgang passiert, so dass er eine Authentifizierung zur Übertragung von der WLAN-Karte zum Zugangspunkt erhält.
- In einem IEEE802.11b-System authentifiziert sich ein Terminal selbst zu einem Zugangspunkt unter Verwendung eines WEP, das von einer Medienzugangskontroll(MAC)-Schicht bereitgestellt wird. Zum Authentifizieren eines Terminals an einen Zugangspunkt zur Verbesserung eines bekannten Authentifizierungsmechanismus, kann ein IEEE802.11a-System ein Authentifizierungsverfahren unter Verwendung eines WEP oder ein Verfahren zum Definieren eines Authentifizierungsprotokolls in einem IEEE802.1X-System, das zu einer MAC-Schicht identisch oder ihr überlegen ist, einsetzen.
- Ein Authentifizierungsprotokoll unter Verwendung von WEP basiert auf einem Anfrage-Antwort-Verfahren unter Verwendung von Algorithmen für Anfrage- und Antwortvorgänge. Wenn bei diesem Verfahren ein Terminal eine am Zugangspunkt empfangene Anfrage unter Verwendung eines gemeinsamen Schlüssels und einer WEP codiert und den Code zum Zugangspunkt überträgt, decodiert der Zugangspunkt die Anfrage unter Verwendung eines vorhergehenden gemeinsamen Schlüssels, wodurch der Anfrager authentifiziert wird. Das Authentifizierungsprotokoll unter Verwendung von WEP ist jedoch nicht gegen alle Angriffe sicher, die an einem derzeitigen WEP-Algorithmus erfolgen.
- Das andere Authentifizierungsverfahren, das von einem IEEE802.11a-System vorgeschlagen wird, ist ein Authentifizieren eines Terminals auf einem Niveau, das gleich oder höher als eine MAC-Schicht ist. Dieses Authentifizierungsverfahren basiert auf einem Authentifizierungsprotokoll unter Verwendung eines erweiterbaren Authentifizierungsprotokolls (EAP) in einem IEEE802.1X-System, erfordert aber ein konkretes Authentifizierungsprotokoll, so dass es Authentifizierung auf dem selben oder einem höheren Niveau als die MAC-Schicht durchführen kann. Das IEEE802.1X-System definiert kein konkretes Authentifizierungsprotokoll.
- Wenn das IEEE802.1X-System ein konkretes Authentifizierungsprotokoll vorschlägt, kann das vorgeschlagene konkrete Authentifizierungsprotokoll angewendet werden, um eine Terminalauthentifizierungsfunktion vorzusehen. Gemäß einem auf der Terminalauthentifizierung basierenden Sicherheitsdienst kann jedoch ein nicht autorisierter Benutzer, der zu einem Terminal Zugang erhalten hat, auf eine Authentifizierungsfunktion zugreifen. Gemäß einem auf der Terminalauthentifizierung basie renden Sicherheitsdienst kann ein nicht autorisierter Benutzer, der zu einem Terminal Zugang erhalten hat, auf ein Netzwerk zugreifen, obwohl er oder sie nicht der ursprüngliche Besitzer des Terminals ist. Das heißt, Zugang von Benutzern zu einem Betriebsnetzwerk und einem öffentlichen Zugangsdienst muss geregelt werden.
- Terminals der nächsten Generation stellen Zugang zu verschiedenen drahtlosen Verbindungen her. Wenn diese Zugänge in einem Terminal realisiert werden, sind Authentifizierungen für mehrere drahtlose Zugänge erforderlich. Um einem gegenseitigen Austauschdienst verschiedener drahtloser Zugänge zu erreichen, muss ein Terminal Authentifizierung für den gegenseitigen drahtlosen Zugang unterstützen. Um dies zu erreichen, erfordern drahtlose Zugangstechniken einen unabhängigen Mechanismus.
- Um einen Benutzer zu authentifizieren, wird ein Authentifizierungsverfahren unter Verwendung eines Passworts verbreitet verwendet, weil es bequem zu benutzen ist. Allgemeine Authentifizierungssysteme unter Verwendung eines Passworts ergeben jedoch für einen Benutzer einen niedrigen Freiheitsgrad bei der Auswahl eines Passworts. Wenn ein Passwort mit einer Größe von k Bits gewählt wird und eine Wahrscheinlichkeit besteht, dass jedes der k Bits 0 oder 1 ist, 0,5 beträgt, wird ein Passwort mit k Bits ein beliebiger statistischer Schlüssel. Erraten des statistischen Schlüssels bedeutet Aufstellen einer Liste von 2k Zufallsmöglichkeiten für das Passwort. Wenn jedoch ein Benutzer ein Passwort wählt, ist Zufallsauswahl fast unmöglich, und daher ist der Benutzer einem Offline-Angriff zum Erraten des Passworts ausgesetzt.
-
EP 1081895 beschreibt ein sicheres WLAN. Jeder Zugangspunkt erzeugt eine Authentifizierungsnachricht, die zu einer drahtlosen Einrichtung übertragen wird. Wenn das Authentifizierungsverfahren von einem zulässigen Zugangspunkt kommt, sendet die drahtlose Einrichtung ein verschlüsseltes Authentifizierungsverfahren, das zum Beispiel einen Geräteschlüssel, Benutzername und Passwort enthält. Diese werden dann vom Zugangspunkt geprüft. - Young Kim beschreibt in "802.11b Wireless LAN Authentication, Encryption and Security, Microsoft Corporation, Online" Authentifizierung eines WLAN unter Verwendung einer MAC-Schicht und eines Benutzerpassworts.
- Wu beschreibt in "The Secure Remote Passwort Protocol", XP002251154 von http://srp.stanford.edu/ndss.html ein sicheres Passwortprotokoll.
- Ein anderes sicheres fernes Passwort wird von Arorba et al. in "Secure remote passwort", XP002249354, http://grouper.eee.org/groups/802/11/-Documents/DocumentHolder/1-524.zeip beschrieben.
-
EP 1134929 (Lucent) beschreibt ein Protokoll für sichere gegenseitige Authentifizierung und Schlüsselaustausch. Das Protokoll basiert auf einem Diffie-Hellman-Protokoll, aber der Server speichert kein Passwort. Stattdessen speichert der Server eine Passwortverifizierung, die eine Funktion des Passworts ist und aus der das Passwort nicht bestimmt werden kann. - Gemäß der vorliegenden Erfindung wird ein Verfahren zur Steuerung des Netzwerkzugangs wie in Anspruch 1 angegeben, ein Verfahren zum Betrieb eines Passwortauthentifizierungsclient wie in Anspruch 5 angegeben, ein Verfahren zum Betrieb eines Passwortauthentifizierungsservers wie in Anspruch 6 angegeben, ein computerlesbares Aufzeichnungsmedium wie in Anspruch 7 angegeben und ein Authentifizierungsclient wie in Anspruch 8 angegeben zur Verfügung gestellt. Vor teilhafte Ausführungsformen dazu sind in den entsprechenden Unteransprüchen definiert.
- Die Merkmale und Vorteile der vorliegenden Erfindung werden aus einer ausführlichen Beschreibung einer bevorzugten Ausführungsform mit Bezug zu den begleitenden Zeichnungen besser ersichtlich, in denen:
-
1 ein Blockdiagramm ist, das ein Verfahren zur Steuerung des Netzwerkzugangs gemäß der vorliegenden Erfindung darstellt, und -
2 ein Flussdiagramm ist, das ein Verfahren zur Steuerung des Netzwerkzugangs gemäß der vorliegenden Erfindung darstellt. - Die vorliegende Erfindung wird nun genauer mit Bezug zu den begleitenden Zeichnungen beschrieben, in denen eine bevorzugte Ausführungsform der Erfindung gezeigt ist. Diese Erfindung kann jedoch in verschiedenen Formen ausgeführt sein und sollte nicht als auf die hier angegebene Ausführungsform beschränkt betrachtet werden. Vielmehr ist die Ausführungsform dazu vorgesehen, dass die Offenbarung gründlich und vollständig ist und den Rahmen der Erfindung den Fachleuten vollständig vermittelt.
- Zur Benutzerauthentifizierung beinhaltet die vorliegenden Erfindung einen Schritt zur Authentifizierung eines Terminals, das ein Benutzer besitzt, und einen Schritt zur Authentifizierung des Benutzers unter Verwendung eines Passworts, das der Benutzer kennt. Ebenso sind die Hauptaktionskörper, ein Terminal, ein Zugangspunkt und ein Authentifizierungsserver, die in einem Netzwerk vorliegen, für die Benutzerauthentifizierung gemäß der vorliegenden Erfindung erforderlich.
1 zeigt die Komponenten einem WLAN-System. - Mit Bezug zu
1 weisen Terminals100a und100b MAC-Protokollstapel10a bzw.10b (z. B. IEEE802.11) auf und weisen Rahmenwerke20a bzw.20b (z. B. IEEE802.1X) in der zweiten Schicht auf. Die MAC-Proto kollstapel10a und10b können auf eine drahtlose Verbindung zugreifen und die Rahmenwerke20a und20b ermöglichen Authentifizierung eines Terminals. Die Terminals100a und100b beinhalten Prozessoren (nicht gezeigt) zum Empfangen eines Passworts von einem Benutzer und Verarbeiten des empfangenen Passworts. Das Terminal100a und ein Zugangspunkt120a bilden ein erstes drahtloses Netzwerk und das Terminal100b und ein Zugangspunkt120b bilden ein zweites drahtloses Netzwerk. Die Terminals100a und100b können nicht auf einen Host in einem verdrahteten Netzwerk zugreifen, ohne dass sie von den Zugangspunkten120a und120b authentifiziert sind. Die Art und Weise, in der die Zugangspunkte120a und120b die Pakete der Terminals100a und100b verarbeiten, unterscheidet sich in Abhängigkeit davon, wo die Authentifizierung durchgeführt wird. Zum Beispiel werden in einem IEEE802.1X-System von den Terminals100a und100b in Verbindung mit einer Authentifizierung versendete Pakete zu einem Authentifizierungsserver140 im verdrahteten Netzwerk übertragen, ohne dass sie an den Zugangspunkten120a und120b einer Authentifizierung unterzogen werden. - Es ist erforderlich, dass die Zugangspunkte
120a und120b drahtlos Zugang zu einem verdrahteten Netzwerk erhalten, und ein Authentifizierungspaket unter Verwendung eines Passworts, das in der vorliegenden Erfindung verwendet wird, an den Authentifizierungsserver140 im verdrahteten Netzwerk ohne irgendeine Bearbeitung senden. Im IEEE802.1X-System kann ein Zugangspunkt einfach eine Authentifizierungsserverfunktion ausführen oder kann ein Authentifizierungspaket an den Authentifizierungsserver140 senden, während ein Authentifizierungsserver in einem LAN dazu vorgesehen ist, ein lokale Authentifizierungsfunktion durchzuführen. - Der Authentifizierungsserver
140 verarbeitet Authentifizierungsnachrichten, die von den Terminals100a und100b angefordert sind und speichert Sessioninformation von den Terminals100a und100b , die Sessioninformation, mit der ein Benutzer abgerechnet werden kann. Das heißt, der Authentifizierungsserver140 besitzt die Personeninformation von Benutzern und zeichnet Informationen zum Inhalt der von den Benutzern genutzten Diensten auf. - Bezugszeichen
150 bezeichnet ein Portal. - Grundlegende Operationen und Parameter, die zum Authentifizieren eines Benutzers unter Verwendung eines Passworts erforderlich sind, sind wie folgt.
- n:
- Primzahl mit beliebiger Größe
- g:
- primitives Element für ein mod n
- P.
- Benutzerpasswort
- A, B:
- Zeichen, die einen Benutzer bzw. einen Authentifizierungsserver darstellen
- v:
- Passwortverifizierungswert, der in einem Authentifizierungsserver gespeichert ist
- xA, xB:
- beliebige Geheimschlüssel eines Benutzerterminals bzw. eines Authentifizierungsservers
- yA, yB:
- beliebige öffentliche Schlüssel eines Benutzerterminals bzw. eines Authentifizierungsservers. Hier ist yA = gxA und yB = gxB (wobei die Verwendung von xA und xB sich etwas von denen eines Geheimschlüssels bzw. eines öffentlichen Schlüssels unterscheidet, die in einem allgemeinen Codiersystem mit öffentlichem Schlüssel verwendet werden).
- cA:
- Confounder eines Benutzerterminals. Allgemein wird als cA ein langer Zufallswert gewählt.
- h(·):
- eine unidirektionale Hash-Funktion
- Ex(·):
- ein symmetrischer Schlüsselcodierungsalgorithmus, in dem x als Geheimschlüssel verwendet wird.
- Da x eine beliebige Länge aufweisen kann, kann ein Codierungsalgorithmus mit einem Schlüssel variabler Größe, wie Blowfish [Sch93] zur Sicherheit verwendet werden, und ein moderner Verschlüsselungsstandard AES (Advanced Encryption Standard), der als Blockcodierungsalgorithmusstandard vom U.S. National Institute of Standard and Technology aufgestellt ist, kann ebenfalls verwendet werden.
- K:
- Session-Key, der von einem Benutzer und einem Authentifizierungsserver gemeinsam benutzt wird und später für Verschlüsselungskommunikation verwendet werden kann.
- Mit Bezug zu
2 ist ein Verfahren zur Steuerung eines Netzwerkzugangs gemäß der vorliegenden Erfindung aus zwei Schritten zusammengesetzt. Zunächst wird eine Authentifizierung für ein Terminal durchgeführt. Dann wird in Schritt300 eine Authentifizierung für den Benutzer des Terminals unter Verwendung eines Passworts durchgeführt. Die Authentifizierung für den Benutzer eines Terminals unter Verwendung eines Passworts wird nach den folgenden Vorbereitungsvorgängen von Schritt200 durchgeführt. - [Schritt
200 zur Passwortregistrierung und Vorbereitungsvorgänge] - Als Erstes wird das primitive Element g für das mod n durch Auswählen der Primzahl n beliebiger Größe ermittelt. Hier entsprechen n und g In formationen, die einem Benutzerterminal und einem Authentifizierungsserver gemeinsam sind.
- Danach wählt ein Benutzer sein Passwort P und berechnet den Passwortverifizierungswert v = gh(p). Wie oben beschrieben, ist h(·) eine unidirektionale Hash-Funktion.
- Danach überträgt der Benutzer den Wert der Passwortverifizierung v an den Authentifizierungsserver über einen sicheren Kanal.
- Ein Prozess, bei dem der Benutzer ein Terminal das erste Mal einsetzt und Authentifizierung vom Authentifizierungsserver erlangt, wird nun beschrieben. Wenn der Benutzer nicht der erste Benutzer in einer bestimmten Domäne ist, kann der vierte Unterschritt von Schritt
300 zum Netzwerkzugang ausgelassen werden. - [Schritt 300 zum Netzwerkzugang]
- Im ersten Unterschritt wird Authentifizierung eines Terminals unter Verwendung einer MAC-ID in einem IEEE802.1X-System erreicht.
- Im zweiten Unterschritt wird eine Internetprotokoll(IP)-Adresse unter Verwendung eines dynamischen Hostkonfigurationsprotokoll(DHCP)-Servers oder dergleichen zugewiesen.
- Im dritten Unterschritt wird die Adresse des Authentifizierungsservers gebracht.
- Im vierten Unterschritt lädt der Authentifizierungsserver einen Passwortauthentifizierungsclient herunter.
- Im fünften Unterschritt gibt der Benutzer sein Passwort in den Passwortauthentifizierungsclient ein.
- Im sechsten Unterschritt wird eine Authentifizierung zwischen dem Passwortauthentifizierungsclient und dem Authentifizierungsserver basierend auf dem eingegebenen Passwort erreicht.
- Im siebten Unterschritt greift das Terminal auf ein externes/internes Netzwerk zu, wie Internet/Intranet, nachdem die Authentifizierung akzeptiert ist.
- Nachfolgend wird der sechste Unterschritt von Schritt
300 (Netzwerkzugang) ausführlicher beschrieben. Schritt200 (Passwortregistrierung und Vorbereitungsvorgänge) müssen vor dem sechsten Unterschritt zur Authentifizierung durchgeführt sein. - Im sechsten Unterschritt berechnet der Passwortauthentifizierungsclient zunächst einen Passwortverifizierungswert v = gh(p) basierend auf einem eingegebenen Passwort P.
- Zweitens erzeugt der Passwortauthentifizierungsclient drei statistische Werte xA, cA und r.
- Drittens werden yA = gxA und z1 = h(yA, v, cA) unter Verwendung der erzeugten statistischen Werte berechnet.
- Viertens überträgt der Passwortauthentifizierungsclient die Werte z1, yA und r über einen Zugangspunkt an den Authentifizierungsserver.
- Fünftens speichert der Authentifizierungsserver die erhaltenen Werte z1 und yA und bildet einen statistischen Wert xB zum Berechnen von yB = gxB.
- Sechstens berechnet der Authentifizierungsserver einen Session-Key K = yA xB und h1 = h(r, v, K) basierend auf den erhaltenen Werten yA und r.
- Siebtens überträgt der Authentifizierungsserver eine Nachricht z2 = Ev (yB, h1), in die der öffentliche Schlüssel yB des Authentifizierungsservers und der berechnete Wert h1 nach einem symmetrischen Schlüsselcodiersystem eincodiert sind, unter Verwendung eines durch den Passwortverifizierungswert v induzierten Schlüssels, an den Passwortauthentifizierungsclient. Hier unterscheidet sich die Länge eines erforderlichen Schlüssels entsprechend einem verwendeten symmetrischen Schlüsselcodiersystem, aber die Länge eines von der Passwortverifizierung geforderten Schlüssels kann vom signifikantesten Bit (MSB) ausgehen.
- Achtens decodiert der Passwortauthentifizierungsclient die erhaltene codierte Nachricht z2 unter Verwendung des symmetrischen Schlüsselcodiersystems basierend auf einem durch den Passwortverifizierungswert v des Benutzers induzierten Decodierschlüssel und berechnet und speichert einen Session-Key K = yB xA. Danach berechnet der Passwortauthentifizierungsclient h' = h(r, v, K) unter Verwendung des berechneten Session-Key und prüft, ob der decodierte Wert h' gleich dem empfangenen Wert h1 ist. Wenn sie nicht gleich sind, stoppt der Passwortauthentifizierungsclient den Nachrichtenaustausch mit dem Authentifizierungsserver.
- Neuntens, wenn h' und h1 gleich sind, überträgt der Passwortauthentifizierungsclient an den Authentifizierungsserver eine Nachricht z3 = EyB (cA, K), in der K = yB xA und cA basierend auf einem vom öffentlichen Schlüssel yB des Authentifizierungsservers induzierten Schlüssel codiert sind. Eine erforderliche Schlüssellänge beginnend mit dem MSB von yB wird entsprechend dem verwendeten symmetrischen Schlüsselcodiersystem ermittelt.
- Zehntens decodiert der Authentifizierungsserver den erhaltenen z3 unter Verwendung eines von yB induzierten Schlüssels und prüft, ob K = yB xA gleich K = yA xB ist. Wenn sie sich unterscheiden, stoppt der Authentifizierungsserver den Nachrichtenaustausch mit dem Benutzerauthentifizierungsclient. Wenn K = yB xA gleich K = yA xB ist, berechnet der Authentifizierungsserver einen Wert h'' = h(yA, v, cA) basierend auf dem im fünften Schritt gespeicherten Wert yA und dem decodierten cA und prüft, ob h'' gleich z1 ist. Wenn sie gleich sind, überträgt der Authentifizierungsserver eine Benutzerauthentifizieurngserfolgsmeldung an den Passwortclient. Wenn sie sich unterscheiden, überträgt der Authentifizierungsserver eine Benutzerauthentifizierungsfehlermeldung an den Passwortclient.
- Nachdem die Authentifizierung zwischen dem Passwortauthentifizierungsclient und dem Authentifizierungsserver abgeschlossen ist, nutzen der Benutzer und der Authentifizierungsserver neue Geheiminformation gemeinsam, die Verschlüsselungskommunikation ermöglicht.
- Wie oben beschrieben, kann ein Benutzer unter Verwendung eines Passworts in einem WLAN-System authentifiziert werden. Ungeachtet verschiedener drahtloser Zugänge, kann ein Benutzer derart authentifiziert werden, dass ein Terminal authentifiziert werden kann, selbst wenn es über eine Reihe von Netzwerken wandert.
- Die Verwendung von Passwörtern, statt dass die Verwaltung eine Medienzugangskontrollidentifizierung (MAC-ID) verwendet, ermöglicht Verwaltung auf Benutzerebene und kann eine intertechnologische Übergabefunktion bereitstellen. Es ist gegenseitige Authentifizierung ohne öffentliche Schlüsselinfrastruktur (PKI) möglich. Ein Internetschlüsselaustausch (IKE), der ein Authentifizierungsprotokoll ist, das bei IP-Sicherheit (IPSec) verwendet wird, muss von PKI oder dergleichen abhängig sein, um eine Gegenseite zu authentifizieren. Die vorliegende Erfindung verwendet jedoch eine passwortabhängige Authentifizierungsmethode, so dass ein Authentifizierungssystem leicht ohne die PKI aufgestellt werden kann.
- Gemäß der vorliegenden Erfindung ist es möglich zu prüfen, ob ein Benutzer den selben Schlüssel besitzt wie ein Authentifizierungsserver. Kommunikationsdaten sind vor Passwortangriffen sicher, die in einem herkömmlichen System unter Verwendung eines allgemeinen Passworts erfolgreich waren. Authentifizierung eines Terminals und Authentifizierung eines Benutzers werden unabhängig durchgeführt. Es wird gemeinsame Geheiminformation zur Verfügung gestellt, mit der Codierungskommunikation nach Authentifizierung vorgenommen wird. Ein bei einer Session bekannter Schlüssel enthält keine Information zu einem Schlüssel, der bei anderen Sessions verwendet wird. Es wird eine effiziente Authentifizierung durchgeführt.
- Ein Protokoll für gegenseitige Authentifizierung und Schlüsselaustausch zwischen einem Benutzer und einem Authentifizierungsserver führt gemäß der vorliegenden Erfindung hauptsächlich eine Hash-Funktion und einen symmetrischen Codierungsalgorithmus aus, außer wenn jeder Host modulare Exponenzierung ein Mal für einen Diffie-Hellman-Schlüsselaustausch durchführt. Auf diese Weise werden schnelle Authentifizierung und Schlüsselaustausch realisiert.
Claims (8)
- Verfahren zur Steuerung des Netzwerkzugangs in einem drahtlosen System, wobei das Verfahren die Schritte umfasst: (a) Ausführen einer Authentifizierung für ein Terminal (
100a ) unter Verwendung einer MAC-ID in einem Zugangspunkt (120a ); (b) Annehmen einer Benutzereingabe eines Passworts an einen Passwortauthentifizierungsclient im Terminal (100a ); (c) Durchführen einer Authentifizierung zwischen dem Passwortauthentifizierungsclient (120a ) und einem Authentifizierungsserver (140 ) basierend auf dem eingegebenen Passwort; und (d) Zugriff des Terminals (100a ) auf ein externes/internes Netzwerk, wenn die Authentifizierung in Schritt (a) und die Authentifizierung in Schritt (c) akzeptiert sind, oder ansonsten Übertragen einer Authentifizierungsfehlermeldung an den Benutzer; gekennzeichnet durch den Schritt zwischen den Schritten (a) und (b): Zuweisen einer Internet-Protokoll-Adresse an das Terminal (100a ) und Herunterladen des Passwortauthentifizierungsclient vom Authentifizierungsserver; wobei der Schritt (b) umfasst: (b-1) Auswählen einer Primzahl n mit beliebiger Größe und Ermitteln des primitiven Elements g für ein mod n, wobei die große Primzahl n und das primitive Element g Informationen entsprechen, die das Terminal und der Authentifizierungsserver gemeinsam nutzen; (b-2) Berechnen eines Passwortverifizierungswerts v = gh(p) aus dem vom Benutzer gewählten Passwort P; und (b-3) Übertragen des Passwortverifizierungswerts an den Authentifizierungsserver über einen sicheren Kanal, wobei h(·) eine unidirektionale Hash-Funktion bezeichnet. - Verfahren zur Steuerung des Netzwerkzugangs nach Anspruch 1, wobei Schritt (a) in einem IEEE802.1X-System durchgeführt wird.
- Verfahren zur Steuerung des Netzwerkzugangs nach Anspruch 1 oder 2, wobei Schritt (c) umfasst: (c-1) Berechnen des Werts z1 = h(yA, v, cA) durch den Passwortauthentifizierungsclient, wobei xA der Geheimschlüssel des Terminals ist, cA der Confounder des Terminals ist und yA = gxA ein öffentlicher Schlüssel ist; (c-2) Übertragen des berechneten Werts z1, des öffentlichen Schlüssels yA = gxA und eines beliebigen Werts r durch den Passwortauthentifizierungsclient an den Authentifizierungsserver über den Zugangspunkt; (c-3) Speichern der empfangenen Werte z1 und yA durch den Authentifizierungsserver und Erzeugen eines Geheimschlüssels xB des Authentifizierungsservers zum Berechnen eines öffentlichen Schlüssels des Authentifizierungsservers, yB = gxB; (c-4) Berechnen eines Session-Key K = yA xB und eines Werts h1 = h(r, v, K) basierend auf den erhaltenen Werten yA und r durch den Authentifizierungsserver; (c-5) Übertragen einer Nachricht z2 = Ev (yB, h1) durch den Authentifizierungsserver an den Passwortauthentifizierungsclient, in die ein öffentlicher Schlüssel yB des Authentifizierungsservers und der berechnete Wert h1 nach einem symmetrischen Schlüsselcodiersystem eincodiert sind, unter Verwendung eines durch den Passwortverifizierungswert v induzierten Schlüssels; (c-6) Decodieren der erhaltenen Nachricht z2 durch den Passwortauthentifizierungsclient unter Verwendung des symmetrischen Schlüsselcodiersystems basierend auf einem durch den Passwortverifizierungswert v des Benutzers induzierten Decodierschlüssel, Berechnen und Speichern des Session-Key K = yB xA, Berechnen von h' = h(r, v, K) unter Verwendung des berechneten Session-Key, Decodieren des berechneten Werts h' und Prüfen, ob der decodierte Wert h' gleich dem empfangenen Wert h1 ist; (c-7) wenn h' nicht gleich h1 ist, Stoppen des Nachrichtenaustauschs mit dem Authentifizierungsserver durch den Passwortauthentifizierungsc lient, oder wenn h' und h1 gleich sind, Übertragen einer Nachricht z3 = EyB (cA, K) durch den Passwortauthentifizierungsclient an den Authentifizierungsserver, in der K = yB xA und cA basierend auf einem vom öffentlichen Schlüssel yB des Authentifizierungsservers induzierten Schlüssel codiert sind; (c-8) Decodieren des erhaltenen Werts z3 durch den Authentifizierungsserver unter Verwendung eines von yB induzierten Schlüssels und Stoppen des Nachrichtenaustauschs mit dem Authentifizierungsclient, wenn K = yB xA sich von K = yA xB unterscheidet, oder ansonsten Berechnen eines Werts h'' = h(yA, v, cA) basierend auf dem in Schritt (c-4) gespeicherten Wert yA und dem decodierten cA und Prüfen, ob h'' gleich z1 ist; und (c-9) Akzeptieren einer Benutzerauthentifizierung durch den Authentifizierungsserver, wenn h'' gleich z1 ist, oder ansonsten Ablehnen der Benutzerauthentifizierung, wobei Ex(·) einen symmetrischen Schlüsselcodierungsalgorithmus bezeichnet, der x als Geheimschlüssel verwendet.
- Verfahren zur Steuerung des Netzwerkzugangs nach Anspruch 3, wobei Schritt (c-1) umfasst: Erzeugen dreier statistischer Werte durch den Passwortauthentifizierungsclient, d. h. des Geheimschlüssels xA des Terminals, des Confounders cA des Terminals und eines beliebigen Werts r, und Berechnen des öffentlichen Schlüssels yA = gxA des Terminals und des Werts z1 = h(yA, v, cA) unter Verwendung der erzeugten statistischen Werte.
- Verfahren zum Betrieb eines Passwortauthentifizierungsclient umfassend: Berechnen eines Passwortverifizierungswerts v = gh(p) basierend auf einem vom Benutzer eingegebenen Passwort P und einem Wert z1 = h(yA, v, cA), wobei g ein primitives Element ist, xA der Geheimschlüssel des Terminals ist, yA ein öffentlicher Schlüssel yA = gxA ist und cA der Con founder des Terminals ist, wobei h(·) eine unidirektionale Hash-Funktion bezeichnet; Übertragen des berechneten Werts z1, des öffentlichen Schlüssels yA = gxA und eines zufälligen Werts r an einen Authentifizierungsserver über den Zugangspunkt, damit der Authentifizierungsserver einen Geheimschlüssel xB, einen öffentlichen Schlüssel yB = gxB, einen Session-Key K = yA xB und einen Wert h1 = h(r, v, K) basierend auf den empfangenen Werten yA und r erzeugt; Annehmen einer Nachricht z2 = Ev (yB, h1) vom Authentifizierungsserver zum Passwortauthentifizierungsclient, in der der öffentliche Schlüssel yB des Authentifizierungsservers und der berechnete Wert h1 nach einem symmetrischen Schlüsselcodiersystem unter Verwendung eines durch den Passwortverifizierungswert v induzierten Schlüssels eincodiert sind; Decodieren der erhaltenen Nachricht z2 unter Verwendung des symmetrischen Schlüsselcodiersystems basierend auf einem durch den Passwortverifizierungswert v des Benutzers induzierten Decodierschlüssel, Berechnen und Speichern des Session-Key K = yB xA, Berechnen von h' = h(r, v, K) unter Verwendung des berechneten Session-Key, Decodieren des berechneten Werts h' und Prüfen, ob der decodierte Wert h' gleich dem empfangenen Wert h1 ist; wenn h' nicht gleich h1 ist, Stoppen des Nachrichtenaustauschs mit dem Authentifizierungsserver durch den Passwortauthentifizierungsclient, oder wenn h' und h1 gleich sind, Übertragen einer Nachricht z3 = EyB (cA, K) durch den Passwortauthentifizierungsclient an den Authentifizierungsserver, in der K = yB xA und cA basierend auf einem vom öffentlichen Schlüssel yB induzierten Schlüssel des Authentifizierungsservers codiert sind; wobei Ex(·) einen symmetrischen Schlüsselcodierungsalgorithmus bezeichnet, der x als Geheimschlüssel verwendet.
- Verfahren zum Betrieb eines Passwortauthentifizierungsservers umfassend: Empfangen eines berechneten Werts z1, eines öffentlichen Schlüssels yA = gxA und eines zufälligen Werts r von einem Authentifizierungsclient, wobei der Passwortverifizierungswert v = gh(p) auf einem vom Benutzer eingegebenen Passwort P basiert, g ein primitives Element ist und z1 = h(yA, v, cA) , wobei xA der Geheimschlüssel des Terminals und cA der Confounder des Terminals sind; Speichern der empfangenen Werte z1 und yA und Erzeugen eines Geheimschlüssels xB des Authentifizierungsservers zum Berechnen eines öffentlichen Schlüssels des Authentifizierungsservers yB = gxB; Berechnen eines Session-Key K = yA xB und eines Werts h1 = h(r, v, K) basierend auf den empfangenen Werten yA und r; Übertragen einer Nachricht z2 = Ev (yB, h1) an den Passwortauthentifizierungsclient, in die ein öffentlicher Schlüssel yB des Authentifizierungsservers und der berechnete Wert h1 nach einem symmetrischen Schlüsselcodiersystem unter Verwendung eines durch den Passwortverifizierungswert v induzierten Schlüssels eincodiert sind, damit der Passwortauthentifizierungsclient die erhaltene Nachricht z2 unter Verwendung des symmetrischen Schlüsselcodiersystems basierend auf einem durch den Passwortverifizierungswert v des Benutzers induzierten Decodierschlüssel decodiert, den Session-Key K = yB xA berechnet, h' = h(r, v, K) unter Verwendung des berechneten Session-Keys berechnet, den berechneten Wert h' decodiert und prüft, ob der decodierte Wert h' gleich dem empfangenen Wert h1 ist; wenn h' und h1 gleich sind, Empfangen einer Nachricht z3 = EyB (cA, K) vom Authentifizierungsclient, in der K = yB xA und cA basierend auf einem vom öffentlichen Schlüssel yB des Authentifizierungsservers induzierten Schlüssel codiert sind; Decodieren des empfangenen Werts z3 unter Verwendung eines von yB induzierten Schlüssels und Stoppen des Nachrichtenaustauschs mit dem Benutzerauthentifizierungsclient, wenn K = yB xA sich von K = yA xB unterscheidet, oder ansonsten Berechnen eines Werts h'' = h(yA, v, cA) basierend auf dem in Schritt (c-4) gespeicherten Wert yA und dem decodierten cA und Prüfen, ob h'' gleich z1 ist; und Akzeptieren einer Benutzerauthentifizierung, wenn h'' gleich z1 ist, oder ansonsten Ablehnen der Benutzerauthentifizierung, wobei Ex(·) einen symmetrischen Schlüsselcodierungsalgorithmus bezeichnet, der x als Geheimschlüssel verwendet.
- Computerlesbares Aufzeichnungsmedium, das ein Computerprogramm zur Ausführung des Verfahrens nach einem der Ansprüche 5 oder 6 speichert.
- Authentifizierungsclient umfassend: Mittel zum Akzeptieren eines eingegebenen Benutzerpassworts P; Mittel zur drahtlosen Kommunikation mit einem Zugangspunkt; und einen Prozessor; und Code so ausgebildet, dass der Prozessor veranlasst wird, die Schritte des Verfahrens auszuführen: Berechnen eines Passwortverifizierungswerts v = gh(p) basierend auf einem vom Benutzer eingegebenen Passwort P und einem Wert z1 = h(yA, v, cA), wobei xA der Geheimschlüssel des Terminals ist, yA ein öffentlicher Schlüssel yA = gxA ist, h(·) eine unidirektionale Hash-Funktion bezeichnet und g ein primitives Element und cA der Confounder des Terminals sind; Übertragen des berechneten Werts z1, des öffentlichen Schlüssels yA = gxA und eines zufälligen Werts r an einen Authentifizierungsserver über den Zugangspunkt, damit der Authentifizierungsserver einen Geheimschlüssel xB, einen öffentlichen Schlüssel yB = gxB, einen Session-Key K = yA xB und einen Wert h1 = h(r, v, K) basierend auf den empfangenen Werten yA und r erzeugt; Annehmen einer Nachricht z2 = Ev (yB, h1) vom Authentifizierungsserver zum Passwortauthentifizierungsclient, in der der öffentliche Schlüssel yB des Authentifizierungsservers und der berechnete Wert h1 nach einem symmetrischen Schlüsselcodiersystem unter Verwendung eines durch den Passwortverifizierungswert v induzierten Schlüssels eincodiert sind; Decodieren der empfangenen Nachricht z2 unter Verwendung des symmetrischen Schlüsselcodiersystems basierend auf einem durch den Passwortverifizierungswert v des Benutzers induzierten Decodierschlüssel, Berechnen und Speichern des Session-Key K = yB xA, Berechnen von h' = h(r, v, K) unter Verwendung des berechneten Session-Key, Decodieren des berechneten Werts h' und Prüfen, ob der decodierte Wert h' gleich dem empfangenen Wert h1 ist; wenn h' nicht gleich h1 ist, Stoppen des Nachrichtenaustauschs mit dem Authentifizierungsserver durch den Passwortauthentifizierungsclient, oder wenn h' und h1 gleich sind, Übertragen einer Nachricht z3 = EyB (CA, K) durch den Passwortauthentifizierungsclient an den Authentifizierungsserver, in der K = yB xA und cA basierend auf einem vom öffentlichen Schlüssel yB des Authentifizierungservers induzierten Schlüssel codiert sind; wobei Ex(·) einen symmetrischen Schlüsselcodierungsalgorithmus bezeichnet, der x als Geheimschlüssel verwendet.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR2002014276 | 2002-03-16 | ||
KR1020020014276A KR100883648B1 (ko) | 2002-03-16 | 2002-03-16 | 무선 환경에서의 네트웍 접근 통제 방법 및 이를 기록한기록매체 |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60313910D1 DE60313910D1 (de) | 2007-07-05 |
DE60313910T2 true DE60313910T2 (de) | 2008-01-17 |
Family
ID=27764648
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60313910T Expired - Fee Related DE60313910T2 (de) | 2002-03-16 | 2003-02-14 | Verfahren und Aufzeichungsmedium zur Steuerung des Netzzuganges in einer drahtlosen Umgebung |
Country Status (6)
Country | Link |
---|---|
US (1) | US20030177350A1 (de) |
EP (1) | EP1345386B1 (de) |
JP (1) | JP3863852B2 (de) |
KR (1) | KR100883648B1 (de) |
CN (1) | CN1206838C (de) |
DE (1) | DE60313910T2 (de) |
Families Citing this family (40)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7024690B1 (en) * | 2000-04-28 | 2006-04-04 | 3Com Corporation | Protected mutual authentication over an unsecured wireless communication channel |
KR100458955B1 (ko) * | 2002-04-18 | 2004-12-03 | (주) 시큐컴 | 무선랜 보안 방법 |
US20040054798A1 (en) * | 2002-09-17 | 2004-03-18 | Frank Ed H. | Method and system for providing seamless connectivity and communication in a multi-band multi-protocol hybrid wired/wireless network |
US7620027B2 (en) * | 2003-03-14 | 2009-11-17 | Canon Kabushiki Kaisha | Communication system, information processing device, connection device, and connection device designation method for designating connection device for communication device to connect to |
US7562390B1 (en) * | 2003-05-21 | 2009-07-14 | Foundry Networks, Inc. | System and method for ARP anti-spoofing security |
US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US20040255154A1 (en) * | 2003-06-11 | 2004-12-16 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus |
US7876772B2 (en) | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
US7774833B1 (en) * | 2003-09-23 | 2010-08-10 | Foundry Networks, Inc. | System and method for protecting CPU against remote access attacks |
US7743405B2 (en) * | 2003-11-07 | 2010-06-22 | Siemens Aktiengesellschaft | Method of authentication via a secure wireless communication system |
GB0325980D0 (en) * | 2003-11-07 | 2003-12-10 | Siemens Ag | Secure authentication in a mobile terminal using a local proxy |
GB0325978D0 (en) * | 2003-11-07 | 2003-12-10 | Siemens Ag | Transparent authentication on a mobile terminal using a web browser |
CN100450137C (zh) * | 2003-11-12 | 2009-01-07 | 华为技术有限公司 | 移动电话用户访问互联网的实现方法 |
US8528071B1 (en) | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
KR100674632B1 (ko) * | 2004-07-16 | 2007-01-26 | 재단법인서울대학교산학협력재단 | 다운로드와 수행의 병행을 허용하는 이동 단말 장치 코드인증 방법 |
EP1635528A1 (de) * | 2004-09-13 | 2006-03-15 | Alcatel | Verfahren für die Gewährleistung des Zugangs zu einem Datenkommunikationsnetzwerk und die entsprechenden Geräte |
US20060059538A1 (en) * | 2004-09-13 | 2006-03-16 | Xcomm Box, Inc. | Security system for wireless networks |
US20060068757A1 (en) * | 2004-09-30 | 2006-03-30 | Sukumar Thirunarayanan | Method, apparatus and system for maintaining a persistent wireless network connection |
FR2876521A1 (fr) * | 2004-10-07 | 2006-04-14 | France Telecom | Procede d'authentification d'un utilisateur, dispositif mettant en oeuvre un tel procede, et serveur de signalisation |
CA2578186C (en) * | 2004-10-12 | 2012-07-10 | Bce Inc. | System and method for access control |
KR100600605B1 (ko) * | 2004-11-03 | 2006-07-13 | 한국전자통신연구원 | 휴대 인터넷 시스템의 사용자 및 단말 데이터 관리 장치및 방법 |
FR2877453A1 (fr) * | 2004-11-04 | 2006-05-05 | France Telecom | Procede de delegation securisee de calcul d'une application bilineaire |
US7996894B1 (en) * | 2005-02-15 | 2011-08-09 | Sonicwall, Inc. | MAC address modification of otherwise locally bridged client devices to provide security |
US8010994B2 (en) | 2005-05-16 | 2011-08-30 | Alcatel Lucent | Apparatus, and associated method, for providing communication access to a communication device at a network access port |
US8621577B2 (en) | 2005-08-19 | 2013-12-31 | Samsung Electronics Co., Ltd. | Method for performing multiple pre-shared key based authentication at once and system for executing the method |
WO2007059112A2 (en) * | 2005-11-15 | 2007-05-24 | Credant Technologies, Inc. | Secure, transparent and continuous synchronization of access credentials in an arbitrary third party system |
KR100729729B1 (ko) * | 2005-12-10 | 2007-06-18 | 한국전자통신연구원 | 무선 휴대 인터넷 시스템의 액세스 포인트의 인증 장치 및그 방법 |
KR100790495B1 (ko) * | 2006-03-07 | 2008-01-02 | 와이즈와이어즈(주) | 암호화 알고리즘을 이용한 이동통신 단말기 제어를 위한인증 방법, 시스템, 서버 및 기록매체 |
DE102007016117A1 (de) * | 2007-04-03 | 2008-10-16 | Siemens Ag | Verfahren und System zum Bereitstellen eines REL-Tokens |
JP4928364B2 (ja) * | 2007-06-25 | 2012-05-09 | 日本電信電話株式会社 | 認証方法、登録値生成方法、サーバ装置、クライアント装置及びプログラム |
WO2009001447A1 (ja) * | 2007-06-27 | 2008-12-31 | Fujitsu Limited | 認証方法、認証システム、認証装置及びコンピュータプログラム |
KR100924315B1 (ko) * | 2007-11-16 | 2009-11-02 | 넷큐브테크놀러지 주식회사 | 보안성이 강화된 무선랜 인증 시스템 및 그 방법 |
KR101065326B1 (ko) * | 2009-08-06 | 2011-09-16 | 국방과학연구소 | 인트라넷 상에서 물리적 네트워크 주소를 이용한 웹 서비스 사용자 인증방법 |
KR101133210B1 (ko) * | 2010-05-22 | 2012-04-05 | 오중선 | 모바일 클라이언트 단말기의 보안인증시스템 |
KR101493214B1 (ko) | 2012-10-31 | 2015-02-24 | 삼성에스디에스 주식회사 | 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치 |
WO2014069783A1 (ko) * | 2012-10-31 | 2014-05-08 | 삼성에스디에스 주식회사 | 패스워드 기반 인증 방법 및 이를 수행하기 위한 장치 |
KR101483901B1 (ko) * | 2014-01-21 | 2015-01-16 | (주)이스트소프트 | 인트라넷 보안시스템 및 보안방법 |
US9674203B2 (en) * | 2015-03-16 | 2017-06-06 | International Business Machines Corporation | File and bit location authentication |
CN110831003B (zh) * | 2018-08-13 | 2023-10-13 | 广东亿迅科技有限公司 | 基于wlan灵活接入网络的认证方法及系统 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6766454B1 (en) * | 1997-04-08 | 2004-07-20 | Visto Corporation | System and method for using an authentication applet to identify and authenticate a user in a computer network |
US6539479B1 (en) * | 1997-07-15 | 2003-03-25 | The Board Of Trustees Of The Leland Stanford Junior University | System and method for securely logging onto a remotely located computer |
US6282575B1 (en) * | 1997-12-11 | 2001-08-28 | Intel Corporation | Routing mechanism for networks with separate upstream and downstream traffic |
US20020156708A1 (en) * | 1998-12-30 | 2002-10-24 | Yzhak Ronen | Personalized internet server |
US6393484B1 (en) * | 1999-04-12 | 2002-05-21 | International Business Machines Corp. | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks |
JP2003500923A (ja) * | 1999-05-21 | 2003-01-07 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置 |
US7174564B1 (en) * | 1999-09-03 | 2007-02-06 | Intel Corporation | Secure wireless local area network |
US6396484B1 (en) * | 1999-09-29 | 2002-05-28 | Elo Touchsystems, Inc. | Adaptive frequency touchscreen controller using intermediate-frequency signal processing |
JP2001211171A (ja) * | 2000-01-28 | 2001-08-03 | Advantest Corp | 機器認証装置、方法、機器認証プログラムを記録した記録媒体 |
KR20010083377A (ko) * | 2000-02-11 | 2001-09-01 | 박순규 | 시스템 정보를 이용한 사용자-서버간의 신분 인증방법 |
US7047408B1 (en) * | 2000-03-17 | 2006-05-16 | Lucent Technologies Inc. | Secure mutual network authentication and key exchange protocol |
FI111119B (fi) | 2000-05-26 | 2003-05-30 | Radionet Oy Ab Ltd | Menetelmä ja laitteisto tiedon siirtämiseksi |
JP2001346257A (ja) | 2000-06-01 | 2001-12-14 | Akesesu:Kk | 携帯型無線端末機のセキュリティシステム、携帯型無線端末機、およびセキュリティ用プログラムを記録した記録媒体 |
MY134895A (en) * | 2000-06-29 | 2007-12-31 | Multimedia Glory Sdn Bhd | Biometric verification for electronic transactions over the web |
US20020075844A1 (en) * | 2000-12-15 | 2002-06-20 | Hagen W. Alexander | Integrating public and private network resources for optimized broadband wireless access and method |
JP4390122B2 (ja) * | 2001-03-14 | 2009-12-24 | 富士通株式会社 | バイオメトリック情報を用いた利用者認証システム |
KR100438155B1 (ko) * | 2001-08-21 | 2004-07-01 | (주)지에스텔레텍 | 무선랜 네트워크 시스템 및 그 운용방법 |
US7487535B1 (en) * | 2002-02-01 | 2009-02-03 | Novell, Inc. | Authentication on demand in a distributed network environment |
-
2002
- 2002-03-16 KR KR1020020014276A patent/KR100883648B1/ko not_active IP Right Cessation
-
2003
- 2003-02-14 EP EP03250931A patent/EP1345386B1/de not_active Expired - Fee Related
- 2003-02-14 JP JP2003035865A patent/JP3863852B2/ja not_active Expired - Fee Related
- 2003-02-14 CN CNB031044476A patent/CN1206838C/zh not_active Expired - Fee Related
- 2003-02-14 DE DE60313910T patent/DE60313910T2/de not_active Expired - Fee Related
- 2003-03-10 US US10/383,729 patent/US20030177350A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
EP1345386A3 (de) | 2004-02-04 |
DE60313910D1 (de) | 2007-07-05 |
JP2003289301A (ja) | 2003-10-10 |
US20030177350A1 (en) | 2003-09-18 |
JP3863852B2 (ja) | 2006-12-27 |
CN1206838C (zh) | 2005-06-15 |
KR100883648B1 (ko) | 2009-02-18 |
CN1445963A (zh) | 2003-10-01 |
EP1345386B1 (de) | 2007-05-23 |
KR20030075224A (ko) | 2003-09-26 |
EP1345386A2 (de) | 2003-09-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60313910T2 (de) | Verfahren und Aufzeichungsmedium zur Steuerung des Netzzuganges in einer drahtlosen Umgebung | |
DE60217962T2 (de) | Benutzerauthentisierung quer durch die Kommunikationssitzungen | |
DE60302276T2 (de) | Verfahren zur ferngesteuerten Änderung eines Kommunikationspasswortes | |
DE112005002651B4 (de) | Verfahren und Vorrichtung zur Authentifikation von mobilen Vorrichtungen | |
DE602004010519T2 (de) | Fernzugriffs-vpn-aushandlungsverfahren und aushandlungseinrichtung | |
DE60317123T2 (de) | Verfahren zur Sicherung von Kommunikation über ein Netzwerk | |
US6393484B1 (en) | System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks | |
DE60024319T2 (de) | Vereinter einloggungsprozess | |
DE60011990T2 (de) | Verfahren und Vorrichtung in einem Kommunikationsnetzwerk | |
US8726022B2 (en) | Method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely | |
DE602004007708T2 (de) | Verfahren zur gemeinsamen Authentifizierung und Berechtigung über unterschiedliche Netzwerke | |
DE60029217T2 (de) | Verfahren und vorrichtung zum initialisieren von sicheren verbindungen zwischen und nur zwischen zueinandergehörenden schnurlosen einrichtungen | |
DE60223951T2 (de) | System, Apparat und Methode zur SIM basierten Authentifizierung und Verschlüsselung beim Zugriff auf ein drahtloses lokales Netz | |
EP2289222B1 (de) | Verfahren, authentikationsserver und diensteserver zum authentifizieren eines client | |
DE112006000618T5 (de) | System und Verfahren zur Verteilung von Schlüsseln in einem drahtlosen Netzwerk | |
CN108848111B (zh) | 一种基于区块链技术的去中心化虚拟专用网络组建方法 | |
CN101114900A (zh) | 一种组播业务认证方法及其装置、系统 | |
DE10151277A1 (de) | Verfahren zur Authentifizierung eines Netzwerkzugriffservers bei einem Authentifizierungsserver | |
DE112015002927B4 (de) | Generierung und Verwaltung geheimer Chiffrierschlüssel auf Kennwortgrundlage | |
EP3220575B1 (de) | Verfahren zur herstellung einer sicheren kommunikation zwischen einem client und einem server | |
DE602004012103T2 (de) | Verfahren zum verteilen von passwörtern | |
DE60130899T2 (de) | Wap-sitzung tunneling | |
DE602004009932T2 (de) | Netzwerkgerät, System und Verfahren zur Authentifizierung | |
Wang et al. | Fault-tolerant quantum anonymous voting protocol | |
EP1468520B1 (de) | Verfahren zur datenverkehrssicherung in einer mobilen netzumgebung |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee |