ES2274358T3 - Metodo y aparato para el control del acceso de un dipositivo terminal inlambrico en una red de comunicaciones. - Google Patents
Metodo y aparato para el control del acceso de un dipositivo terminal inlambrico en una red de comunicaciones. Download PDFInfo
- Publication number
- ES2274358T3 ES2274358T3 ES04018185T ES04018185T ES2274358T3 ES 2274358 T3 ES2274358 T3 ES 2274358T3 ES 04018185 T ES04018185 T ES 04018185T ES 04018185 T ES04018185 T ES 04018185T ES 2274358 T3 ES2274358 T3 ES 2274358T3
- Authority
- ES
- Spain
- Prior art keywords
- authentication
- terminal device
- wireless terminal
- access
- access point
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/08—Access point devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Método para controlar el acceso de un dispositivo terminal inalámbrico (303, 404) en una red de comunicaciones, comprendiendo la red de comunicaciones: un punto de acceso (501) para establecer una conexión de comunicación con el dispositivo terminal inalámbrico, un servidor de autenticación (505) para proporcionar un servicio de autenticación con vistas a que el dispositivo terminal inalámbrico se autentique con la red de comunicaciones, un agente de autenticación (504) para retransmitir información de autenticación entre el dispositivo terminal inalámbrico y el servidor de autenticación, y un controlador de acceso para retransmitir paquetes de datos de dispositivos terminales inalámbricos y bloquear paquetes de datos de dispositivos terminales inalámbricos, una funcionalidad de controlador de acceso (502) que comprende una lista de control de acceso (503) que es una lista de dispositivos terminales inalámbricos autenticados, estando configurado el dispositivo terminal inalámbrico para usaruno de los siguientes métodos de autenticación con vistas a autenticarse con la red de comunicaciones: un primer método de autenticación en el que el punto de acceso (501) retransmite información de autenticación entre el dispositivo terminal inalámbrico y el servidor de autenticación (505), un segundo método de autenticación en el que el agente de autenticación (504) retransmite información de autenticación entre el dispositivo terminal inalámbrico y el servidor de autenticación (505), caracterizado porque comprende las etapas siguientes identificar (101) en el punto de acceso (501) si el dispositivo terminal inalámbrico está usando el primer método de autenticación o el segundo método de autenticación.
Description
Método y aparato para el control del acceso de
un dispositivo terminal inalámbrico en una red de
comunicaciones.
La presente invención se refiere a un método y a
un aparato para el control del acceso de un dispositivo terminal
inalámbrico a una red de comunicaciones y particularmente, aunque no
de forma necesaria, para retransmitir paquetes de datos de un
dispositivo terminal inalámbrico que tiene acceso controlado a una
red de área local inalámbrica.
Típicamente, una red de área local inalámbrica
presenta una red que comprende dispositivos terminales, tales como
dispositivos terminales inalámbricos u ordenadores portátiles y
puntos de acceso, en los que la transmisión de datos entre los
dispositivos terminales y los puntos de acceso se lleva a cabo
parcial o totalmente de forma inalámbrica usando ondas de
radiocomunicaciones o tecnología de infrarrojos.
La estructura de las redes de telecomunicaciones
se describe generalmente usando el modelo OSI (Interconexión de
Sistemas Abiertos), el cual define las interfaces a través de las
cuales se comunican entre sí los diferentes dispositivos y el
software relacionado. El modelo OSI se basa en un concepto de capas,
conociéndose la capa más baja, o primera capa, como Capa Física que
abarca todos los aspectos lógicos, eléctricos y mecánicos referentes
a la transferencia de datos. La segunda capa del protocolo, es
decir, la Capa de Enlace de Datos, es responsable del
establecimiento de las conexiones, de la corrección de errores y de
la liberación de las conexiones. La tercera capa del protocolo, es
decir, la Capa de Red, proporciona una transferencia de datos que no
depende de la estructura de la red. Las capas subsiguientes son la
Capa de Transporte (cuarta capa), la Capa de Sesión (quinta capa),
la Capa de Presentación (sexta capa), y la Capa de Aplicación
(séptima capa).
En el sistema OWLAN (Red de Area Local
Inalámbrica de Operador), la autenticación y el control del acceso
tienen lugar actualmente sobre la tercera capa del modelo OSI, es
decir, la capa de red, o capa IP, y la asociación de la WLAN entre
el dispositivo terminal y el Punto de Acceso se lleva a cabo sin
autenticación. Un punto de acceso es un dispositivo físico, tal
como una estación base, que interconecta una red inalámbrica con
otra por cable. En la Autenticación de Sistemas Abiertos, el
acontecimiento de asociación no implica una autenticación real,
sino que la autenticación de los sistemas abiertos, realizada antes
de la asociación, es una autenticación nula. Después de la
asociación, típicamente al dispositivo terminal se le proporciona
una dirección IP después del acontecimiento de asociación por medio
de un método DHCP (Protocolo de Configuración Dinámica del
Anfitrión) basado en IP. A continuación, la autenticación se lleva
a cabo ejecutando un protocolo de autenticación basado en IP.
Aunque el protocolo de autenticación también utiliza capas de
protocolo por encima de la capa IP, a la autenticación se le hace
referencia en este caso como autenticación de la tercera capa del
protocolo ya que típicamente el control del acceso se implementa
sobre la tercera capa del protocolo. La solución de la LAN
Inalámbrica de operador incluye el Protocolo de Autenticación de
Acceso a la Red (NAAP), el cual es un protocolo de la tercera capa
de protocolo para autenticar el terminal inalámbrico usando el
Módulo de Identidad de Abonado GSM. Otro de los ejemplos de un
protocolo de autenticación de la tercera capa de protocolo es las
soluciones basadas en el Protocolo de Transferencia de Hipertexto
(HTTP), en el que la autenticación se realiza usando una página de
la Malla Mundial Multimedia (WWW) en la cual el usuario rellena las
credenciales. Todavía otro de los ejemplos de un protocolo de
autenticación de la tercera capa de protocolo es el Protocolo de
Intercambio de Claves de Internet (IKE), el cual se usa cuando se
establece una conexión de la Red Privada Virtual. En todos estos
ejemplos, es necesario que el terminal inalámbrico ejecute el
protocolo de autenticación de la tercera capa de protocolo antes de
que pueda acceder a los recursos para los cuales se está imponiendo
el control del acceso.
La normalización proporciona un marco para que
los fabricantes de hardware y software posibiliten el uso conjunto
de productos de fabricantes diferentes. El título de la normativa
WLAN es IEEE 802.11 y se ha complementado gradualmente con una
serie de normativas auxiliares. Según la futura normativa IEEE
802.11i, la autenticación WLAN se llevará a cabo de acuerdo con un
método de autenticación de la segunda capa de protocolo, tal como
un protocolo IEEE802.1x antes de la transmisión de paquetes IP entre
el dispositivo terminal y la red.
El primer encaminador en el sistema OWLAN, es
decir, el encaminador frontera, el cual se encuentra entre la red
de comunicaciones y los terminales inalámbricos conectados a la red
de área local inalámbrica, funciona en la OWLAN como la otra parte
en la autenticación llevada a cabo según la tercera capa de
protocolo, es decir, la autenticación de sistemas abiertos, y
mantiene una Lista de Control de Acceso (ACL) de dispositivos
terminales autenticados. El IEEE está normalizando un nuevo sistema
de autenticación WLAN en el que la autenticación se realiza en
relación con el Punto de Acceso. Si la red de acceso desarrolla
únicamente el nuevo sistema de autenticación WLAN, en ese caso, el
sistema OWLAN actual, tal como la solución LAN Inalámbrica de
operador Versión 1.0 de Nokia, no se puede usar ya que al cliente
no se le permite ejecutar el protocolo de autenticación de la
tercera capa de protocolo sin realizar una autenticación en primer
lugar según el protocolo IEEE 802.1x. Como algunos usuarios
adquirirán dispositivos terminales nuevos mientras que otros
dispondrán de dispositivos terminales antiguos, existirán
terminales "antiguos" que puedan acceder a la red usando el
método de autenticación de la tercera capa de protocolo y existirán
además terminales "nuevos" que puedan acceder a la red usando
el método de autenticación según la normativa IEEE 802.1x. También
existirán redes que comprendan puntos de acceso que funcionen
únicamente según la normativa IEEE 802.1x y otros puntos de acceso
que funcionen como parte de un sistema OWLAN. Uno de los problemas
a los que se enfrentará la normalización de los sistemas actuales
es la incompatibilidad del sistema abierto actual y los futuros
sistemas de autenticación de la segunda capa de protocolo, es
decir, los terminales actuales no pueden acceder a redes según la
normativa IEEE 802.1x y los terminales futuros según la normativa
IEEE802.1x no pueden acceder a las redes actuales del sistema
abierto.
La publicación WO 01/41470 presenta un método y
un aparato para permitir que una estación móvil en una red
inalámbrica realice una autenticación de la red en asociación con
servicios móviles de datos por paquetes. En esta solución, se
utiliza un CHAP (Protocolo de Autenticación por Desafío Mutuo)
antes de una posible utilización de protocolos de
autenticación según el IP Móvil. Dicho de otro modo, existe el
requisito de que todas las terminales móviles que puedan
autenticarse mediante la red inalámbrica soporten a CHAP.
De esta manera se han inventado un método y un
aparato para permitir que un terminal inalámbrico acceda a una red
usando bien una autenticación de la tercera capa de protocolo, tal
como la autenticación de sistemas abiertos, o bien una
autenticación de la segunda capa de protocolo, por ejemplo, según el
protocolo IEEE 802.1x. Un Punto de Acceso de la invención permite
tanto la Autenticación de Sistemas Abiertos, en la cual el
dispositivo terminal se autentica en una fase posterior según la
tercera capa del protocolo, como la autenticación de la segunda
capa del protocolo, por ejemplo la autenticación IEEE 802.1x. Usando
la invención, ciertos elementos de red de la solución LAN
Inalámbrica pueden soportar de una forma retrocompatible tanto la
nueva normativa de autenticación de la capa 2 IEEE 802.1x como la
autenticación actual de la capa 3.
En la solución actual LAN Inalámbrica de
Operador de Nokia, el controlador de acceso es responsable de
mantener una lista de control de acceso y de realizar un protocolo
de autenticación de la tercera capa de protocolo. En la presente
invención, estas funcionalidades se separan en una funcionalidad del
controlador de acceso lógico y una funcionalidad del agente de
autenticación para realizar un protocolo de autenticación de la
tercera capa de protocolo. La red se organiza de manera que por lo
menos parte de los paquetes de los dispositivos terminales
atraviesan el elemento de red que contiene la funcionalidad de
controlador de acceso lógico. La funcionalidad de agente de
autenticación hace referencia a la implementación del protocolo de
autenticación de la tercera capa de red, por ejemplo, la
implementación del protocolo NAAP, el protocolo de autenticación
HTTP (Protocolo de Transferencia de Hipertexto) o el protocolo de
Intercambio de Claves de Internet (IKE). La funcionalidad del
controlador de acceso y la funcionalidad del agente de autenticación
no se implementan necesariamente en el mismo elemento de red
físico, sino que es posible implementar la funcionalidad de
controlador de acceso en el dispositivo de punto de acceso o
alternativamente en algún otro dispositivo.
Si se usa la autenticación de la tercera capa de
protocolo, en ese caso el agente de autenticación funciona como la
entidad autenticadora que ejecuta el protocolo de autenticación de
la tercera capa de protocolo, tal como en la solución actual de la
LAN Inalámbrica de operador de Nokia. Una autenticación
satisfactoria da como resultado la adición del terminal a una lista
de control de acceso. Si la funcionalidad de controlador de acceso
reside en un dispositivo aparte del agente de autenticación, en ese
caso el agente de autenticación envía la información del terminal
al elemento de red que contiene la funcionalidad de controlador de
acceso. Un autenticador es una entidad que facilita la
autenticación de acceso a red del dispositivo terminal funcionando
como entidad par en el protocolo de autenticación usado entre el
terminal y el autenticador. Un servidor de autenticación es una
entidad que proporciona un servicio de autenticación a un
autenticador. Este servicio determina, a partir de las credenciales
proporcionadas por el solicitante, es decir, el dispositivo
terminal, si dicho solicitante está autorizado a acceder a los
servicios proporcionados por el autenticador. Si se ejecuta la
autenticación de la segunda capa de protocolo, en ese caso el Punto
de Acceso funcionará en primer lugar tal como se especifica en las
normativas IEEE y actuará como la entidad Autenticadora.
Adicionalmente, después de una autenticación satisfactoria, el
Punto de Acceso actualiza la lista de control de acceso de manera
que también se retransmiten los paquetes de los clientes
autenticados en la segunda capa de protocolo. Si la funcionalidad
de controlador de acceso reside en un dispositivo aparte del punto
de acceso, en ese caso el punto de acceso envía la información del
terminal al elemento de red que contiene la funcionalidad de
controlador de acceso.
La invención proporciona una solución que
permite que un sistema de red de área local inalámbrica, tal como
la LAN Inalámbrica de Operador de Nokia, soporte tanto una normativa
de autenticación de la segunda capa de protocolo, es decir, Capa 2,
tal como una normativa de autenticación según el IEEE 802.1x, como
la normativa de autenticación actual que se basa en la tercera capa
de protocolo, es decir, Capa 3.
Cuando se usa la Autenticación de Sistemas
Abiertos, el sistema funciona de forma similar a la del sistema
actual LAN Inalámbrica de Operador de Nokia, en el cual el
dispositivo terminal y el agente de autenticación son las partes
implicadas en la autenticación. El agente de autenticación
retransmite información referente a la autenticación entre el
dispositivo terminal y un servidor de autenticación, y es capaz de
actualizar la lista de usuarios autenticados, con independencia de
cuál sea el elemento de red que mantiene la lista.
Cuando se va a llevar a cabo una autenticación
de acuerdo con la segunda capa de protocolo, tal como la
autenticación IEEE 802.1x, el punto de acceso funciona según la
normativa IEEE 802.1x, actuando como la parte de autenticación y
retransmitiendo información referente a la autenticación entre el
dispositivo terminal y el servidor de autenticación.
Adicionalmente, después de una autenticación satisfactoria se
actualiza la lista de control de acceso, por ejemplo, por parte del
punto de acceso o el servidor de autenticación, para permitir que el
elemento de red que contiene la funcionalidad de controlador de
acceso también retransmita paquetes de terminales autenticados de
acuerdo con la segunda capa de protocolo.
En cuanto a los terminales que utilizan la
autenticación de la segunda capa de protocolo, en la implementación
según la invención, la interfaz proporcionada entre el terminal y la
red está en total concordancia con la normativa. La invención
tampoco fija ningún requisito nuevo sobre los terminales que
utilizan la autenticación de la tercera capa de protocolo.
Las ventajas de la invención incluyen la
compatibilidad con el sistema abierto actual, en el que la
autenticación se lleva a cabo en la tercera capa de protocolo, y
con un sistema en el que la autenticación se lleve a cabo sobre la
segunda capa de protocolo, por ejemplo, según la normativa IEEE
802.1x. Con independencia del método de autenticación, el elemento
de red que contiene la funcionalidad de controlador de acceso es
capaz de llevar a cabo las rutinas de contabilidad en relación con
la transferencia de paquetes de datos. Además, los dispositivos
según la nueva normativa pueden funcionar en una red según la
normativa actual de sistemas abiertos.
Según un primer aspecto de la invención, se
proporciona un método está previsto para el control de acceso de un
dispositivo terminal inalámbrico en una red de comunicaciones,
comprendiendo la red de comunicaciones un punto de acceso para
establecer una conexión de comunicación con el dispositivo terminal
inalámbrico, un servidor de autenticación para proporcionar un
servicio de autenticación con vistas a que el dispositivo terminal
inalámbrico se autentique con la red de comunicaciones, y un agente
de autenticación para retransmitir información de autenticación
entre el dispositivo terminal inalámbrico y el servidor de
autenticación, y un controlador de acceso para retransmitir
paquetes de datos de dispositivos terminales inalámbricos
autenticados y bloquear paquetes de datos de dispositivos
terminales inalámbricos no autenticados, y una funcionalidad de
controlador de acceso que comprende una lista de control de acceso
que es una lista de dispositivos terminales inalámbricos
autenticados, estando configurado el dispositivo terminal
inalámbrico para usar uno de los siguientes métodos de
autenticación con vistas a autenticarse con la red de
comunicaciones: un primer método de autenticación en el que el
punto de acceso retransmite información de autenticación entre el
dispositivo terminal inalámbrico y el servidor de autenticación, un
segundo método de autenticación en el que el agente de autenticación
retransmite información de autenticación entre el dispositivo
terminal inalámbrico y el servidor de autenticación, estando
caracterizado el método porque comprende las siguientes etapas: se
identifica en el punto de acceso si el dispositivo terminal
inalámbrico está usando el primer método de autenticación o el
segundo método de autenticación, de manera que si el dispositivo
terminal inalámbrico se autentica usando el primer método de
autenticación, se llevan a cabo las etapas siguientes: el punto de
acceso retransmite información de autenticación entre el
dispositivo terminal inalámbrico y el servidor de autenticación,
enviando el punto de acceso datos identificadores del dispositivo
terminal inalámbrico, en respuesta a la autenticación satisfactoria,
a la lista de control de acceso, y añadiendo el controlador de
acceso los datos identificadores del dispositivo terminal
inalámbrico a la lista de control de acceso y retransmitiendo
paquetes de datos del dispositivo terminal inalámbrico incluido en
la lista de control de acceso y si el dispositivo terminal
inalámbrico se autentica usando el segundo método de autenticación,
se llevan a cabo las etapas siguientes: el punto de acceso
retransmite información de autenticación entre el dispositivo
terminal inalámbrico y el agente de autenticación, retransmitiendo
el agente de autenticación información de autenticación entre el
dispositivo terminal inalámbrico y el servidor de autenticación,
enviando el agente de autenticación los datos identificadores del
dispositivo terminal inalámbrico, en respuesta a la autenticación
satisfactoria, a la lista de control de acceso, y añadiendo el
controlador de acceso los datos identificadores del dispositivo
terminal inalámbrico a la lista de control de acceso y
retransmitiendo los paquetes de datos del dispositivo terminal
inalámbrico incluidos en la lista de control de acceso.
De acuerdo con un segundo aspecto de la
invención, se proporciona un punto de acceso para establecer una
conexión de comunicación con un dispositivo terminal inalámbrico en
una red de comunicaciones, comprendiendo dicha red de
comunicaciones un servidor de autenticación para proporcionar un
servicio de autenticación con vistas a que el dispositivo terminal
inalámbrico se autentique con la red de comunicaciones, y un agente
de autenticación para retransmitir información de autenticación
entre el dispositivo terminal inalámbrico y el servidor de
autenticación, y un controlador de acceso para retransmitir paquetes
de datos de dispositivos terminales inalámbricos autenticados y
bloquear paquetes de datos de dispositivos terminales inalámbricos
no autenticados, una funcionalidad de controlador de acceso que
comprende una lista de control de acceso que es una lista de los
dispositivos inalámbricos autenticados, estando caracterizado el
punto de acceso porque está configurado para aceptar que el
dispositivo terminal inalámbrico use uno de los siguientes métodos
de autenticación con vistas a autenticarse con la red de
comunicaciones: un primer método de autenticación en el que el punto
de acceso está configurado para retransmitir información de
autenticación entre el dispositivo terminal inalámbrico y el
servidor de autenticación, un segundo método de autenticación en el
que el punto de acceso está configurado para retransmitir
información de autenticación entre el dispositivo terminal
inalámbrico y un agente de autenticación, con lo cual el punto de
acceso comprende además unos medios de identificación destinados a
identificar si el dispositivo terminal inalámbrico está usando el
primer método de autenticación o el segundo método de autenticación,
unos primeros medios de retransmisión para retransmitir la
información de autenticación entre el dispositivo terminal
inalámbrico y el servidor de autenticación como una respuesta a una
situación en la que se ha identificado que el dispositivo terminal
inalámbrico está usando el primer método de autenticación, unos
primeros medios de envío destinados a enviar los datos
identificadores del dispositivo terminal inalámbrico, como una
respuesta a una autenticación satisfactoria del dispositivo
terminal inalámbrico según el primer método de autenticación, a la
lista de control de acceso, unos segundos medios de retransmisión
destinados a retransmitir la información de autenticación entre el
dispositivo terminal inalámbrico y el agente de autenticación como
una respuesta a una situación en la que se ha identificado que el
dispositivo terminal inalámbrico está usando el segundo método de
autenticación, y unos segundos medios de envío destinados a enviar
datos identificadores del dispositivo terminal inalámbrico, como
una respuesta a la autenticación satisfactoria del dispositivo
terminal inalámbrico según el segundo método de autenticación, a la
lista de control de acceso.
Según un tercer aspecto de la invención, se
proporciona un sistema para el control de acceso de un dispositivo
terminal inalámbrico en una red de comunicaciones, comprendiendo la
red de comunicaciones: un punto de acceso para establecer una
conexión de comunicación al dispositivo terminal inalámbrico, un
servidor de autenticación para proporcionar un servicio de
autenticación con vistas a que el dispositivo terminal inalámbrico
se autentique con la red de comunicaciones, un agente de
autenticación destinado a retransmitir la información de
autenticación entre el dispositivo terminal inalámbrico y el
servidor de autenticación, y un controlador de acceso para
retransmitir paquetes de datos de dispositivos terminales
inalámbricos autenticados y bloquear los paquetes de datos de los
dispositivos inalámbricos no autenticados, una funcionalidad de
controlador de acceso que comprende una lista de control de acceso
que es una lista de los dispositivos terminales inalámbricos
autenticados, estando configurado dicho dispositivo terminal
inalámbrico para utilizar uno de los siguientes métodos de
autenticación con vistas a autenticarse con la red de
comunicaciones: un primer método de autenticación en el que el
punto de acceso está configurado para retransmitir información de
autenticación entre el dispositivo terminal inalámbrico y el
servidor de autenticación, un segundo método de autenticación en el
que el agente de autenticación retransmite información de
autenticación entre el dispositivo terminal inalámbrico y el
servidor de autenticación, caracterizándose el sistema porque
comprende: unos medios de identificación para identificar en el
punto de acceso si el dispositivo terminal inalámbrico está usando
el primer método de autenticación o el segundo método de
autenticación, unos primeros medios de retransmisión destinados a
retransmitir en el punto de acceso la información de autenticación
del primer método de autenticación entre el dispositivo terminal
inalámbrico y el servidor de autenticación, unos segundos medios de
retransmisión destinados a retransmitir en el punto de acceso la
información de autenticación del segundo método de autenticación
entre el dispositivo terminal inalámbrico y el agente de
autenticación, unos terceros medios de retransmisión en el agente de
autenticación para retransmitir la información de autenticación del
segundo método de autenticación entre el punto de acceso y el
servidor de autenticación, unos primeros medios de envío destinados
a enviar desde el punto de acceso datos identificadores del
dispositivo terminal inalámbrico, como una respuesta a la
autenticación satisfactoria del dispositivo terminal inalámbrico
según el primer método de autenticación, a la lista de control de
acceso, unos segundos medios de envío destinados a enviar desde el
agente de autenticación datos identificadores del dispositivo
terminal inalámbrico, como una respuesta a la autenticación
satisfactoria del dispositivo terminal inalámbrico según el segundo
método de autenticación, a la lista de control de acceso, y unos
medios de retransmisión en la funcionalidad de controlador de
acceso para retransmitir paquetes de datos del dispositivo terminal
inalámbrico incluido en la lista de control de acceso.
A continuación se describirá la invención de
forma más detallada haciendo referencia a los dibujos adjuntos, en
los cuales
la Figura 1 es un diagrama de flujo que ilustra
un método según una forma de realización de la invención;
la Figura 2 muestra un dispositivo según una
forma de realización de la invención;
la Figura 3 muestra el sistema actual de WLAN de
Operador de Nokia;
la Figura 4 muestra un sistema según el
protocolo IEEE 802.1x;
la Figura 5 muestra un sistema según una forma
de realización de la invención;
la Figura 6 muestra un diagrama de flujo de un
método según una forma de realización alternativa de la
invención;
la Figura 7 muestra un punto de acceso según una
forma de realización alternativa de la invención; y
la Figura 8 muestra un sistema según una forma
de realización alternativa de la invención.
La Figura 1 muestra un diagrama de flujo de
método según una forma de realización de la invención. En la etapa
101, un punto de acceso, y un dispositivo terminal, tal como un
dispositivo de comunicaciones inalámbricas, establecen una conexión
y se asocian mutuamente. A continuación, por iniciativa del punto de
acceso, la rutina comprueba si se trata de una autenticación de
acuerdo con la segunda capa de protocolo (etapa 102) o una
autenticación de sistemas abiertos según la tercera capa de
protocolo (etapa 103). Esta comprobación se realiza en el punto de
acceso basándose en mensajes de autenticación y asociación tal como
se explicará posteriormente. En un sistema WLAN según la normativa
IEEE 802.11, si el terminal está usando la autenticación de sistemas
abiertos, en primer lugar envía al punto de acceso un mensaje de
solicitud de autenticación que indica la autenticación de sistemas
abiertos. El punto de acceso responde con un mensaje de respuesta de
autenticación. En realidad, el intercambio de estos mensajes
iniciales de autenticación no autentica al terminal sino que su
función es nula; por ello, el nombre autenticación de sistemas
abiertos. Dicha autenticación de sistemas abiertos también es
posible en sistemas WLAN según la normativa IEEE 802.11i. En un
sistema WLAN según la normativa IEEE 802.11i, si el terminal está
usando el método de autenticación 802.1x, no existen mensajes
iniciales de solicitud y respuesta de autenticación sino que el
terminal se asocia en primer lugar al punto de acceso enviando una
solicitud de asociación al punto de acceso. La solicitud comprende
una solicitud de autenticación usando el método de autenticación
según la normativa IEEE 802.1x. De este modo, el punto de acceso
identifica el método de autenticación que está usando el
dispositivo terminal basándose en los mensajes de autenticación y
asociación. Si el terminal utiliza el método de Autenticación de
sistemas Abiertos, dicho terminal recibe una dirección IP, por
ejemplo, de un servidor DHCP, el cual puede estar ubicado en el
punto de acceso, el agente de autenticación, o en algún otro lugar
de la red (104), después de lo cual se ejecuta un protocolo de
autenticación basado en IP según la tercera capa de protocolo
(105). Se lleva a cabo una autenticación de capa IP entre un
dispositivo terminal y un agente de autenticación. Después de una
autenticación de capa IP satisfactoria, el terminal autenticado se
actualiza en una lista de control de acceso mantenida en el elemento
de red que incluye la funcionalidad de controlador de acceso (etapa
106 y 107). Esto permite que el controlador de acceso retransmita
paquetes de datos del dispositivo terminal. Si la funcionalidad de
controlador de acceso reside en el agente de autenticación, en ese
caso el agente de autenticación es capaz de actualizar de forma
independiente la lista de control de acceso enviando internamente
los datos identificadores del terminal a la funcionalidad de
controlador de acceso. Si la funcionalidad de controlador de acceso
reside en algún otro elemento de red que no sea el agente de
autenticación, en ese caso el agente de autenticación puede
actualizar la lista de control de acceso enviando un mensaje al
elemento de red que contiene la funcionalidad de controlador de
acceso. Por ejemplo, este mensaje se puede enviar a través del
protocolo IP usando el Protocolo de Datagrama de Usuario (UDP). El
mensaje incluye por lo menos los datos identificadores del terminal
autenticado, tales como una dirección IP del terminal, el cual se
va a actualizar en la lista de control de acceso.
Si el dispositivo terminal se autentica de
acuerdo con la segunda capa de protocolo, el protocolo IEEE 802.1x
(etapa 102), la autenticación se lleva a cabo en primer lugar entre
el dispositivo terminal y el punto de acceso (etapa 108). Después
de una autenticación satisfactoria según el protocolo IEEE 802.1x,
el terminal recibe una dirección IP, por ejemplo, del servidor
DHCP, el cual puede estar ubicado por ejemplo en el punto de acceso
o en el agente de autenticación, o en el algún otro lugar de la red
(etapa 109), y el punto de acceso transmite información sobre el
acontecimiento a la funcionalidad de controlador de acceso (etapa
106). Si el punto de acceso contiene la funcionalidad de
controlador de acceso, en ese caso el punto de acceso actualiza de
forma independiente la lista de control de acceso enviando
internamente la información del terminal a la funcionalidad de
controlador de acceso. Si la funcionalidad de controlador de acceso
reside en algún otro elemento de red que no sea el punto de acceso,
en ese caso el punto de acceso actualiza la lista de control de
acceso enviando un mensaje al elemento de red que contiene la
funcionalidad de controlador de acceso. Por ejemplo, este mensaje
se puede enviar a través del protocolo IP usando el Protocolo de
Datagrama de Usuario (UDP). El mensaje incluye por lo menos los
datos identificadores del terminal autenticado, tales como una
dirección IP o una dirección MAC del terminal, el cual se va a
actualizar en la lista de control de acceso. A continuación, la
funcionalidad de controlador de acceso añade a la lista que mantiene
(etapa 107) la información, por ejemplo, la dirección IP o MAC del
dispositivo terminal autenticado. Esto permite que la funcionalidad
de controlador de acceso retransmita paquetes de datos del terminal
(etapa 110).
Incluso si la funcionalidad de controlador de
acceso está separada de la entidad autenticadora, tal como el punto
de acceso o el agente de autenticación, la entidad autenticadora no
debe enviar necesariamente al controlador de acceso información
explícita de una autenticación satisfactoria si el controlador de
acceso puede llegar a esa conclusión de otra manera, por ejemplo,
de la siguiente forma. En relación con la autenticación, la entidad
autenticadora se comunica típicamente con el servidor de
autenticación, el cual se encuentra además dentro de la red. La
comunicación tiene lugar habitualmente usando lo que se conoce como
protocolo AAA (Autenticación, Autorización, Contabilidad), por
ejemplo el protocolo RADIUS (Servicio de Usuario de Marcación con
Autenticación Remota) o DIAMETER. Si la funcionalidad de
controlador de acceso funciona como un servidor proxy RADIUS y
transmite mensajes del protocolo AAA entre la entidad autenticadora
y el servidor de autenticación, la funcionalidad de controlador de
acceso ya obtiene información sobre una autenticación satisfactoria
examinando los mensajes RADIUS. Uno de los problemas que surge en
esta situación en el caso de la autenticación IEEE 802.1x es que el
controlador de acceso necesita la dirección IP del dispositivo
terminal, la cual no es conocida todavía en el momento en el que
resulta satisfactoria la autenticación, para la lista que mantiene.
No obstante, si la funcionalidad de controlador de acceso actúa
como servidor DHCP distribuyendo direcciones IP después de la
autenticación 802.1x, en ese caso la lista se puede actualizar
combinando, en la funcionalidad de controlador de acceso,
información sobre la autenticación satisfactoria, la dirección MAC
del terminal obtenida de este modo, y la ejecución satisfactoria
del protocolo DHCP, con lo cual se obtiene una dirección IP
correspondiente a la dirección MAC.
La Figura 2 muestra un punto de acceso 200 de
una forma de realización de la invención. El punto de acceso 200
comprende un procesador 201 y una memoria 202 para ejecutar las
operaciones en cuestión y por lo menos una aplicación 203 para la
realización, por ejemplo, identificación, de un método de
autenticación. El punto de acceso 200 comprende además una interfaz
205 para la conexión con el encaminador, con servidores, tales como
un controlador de acceso, o, por ejemplo, un servidor de
autenticación. El punto de acceso comprende además unos medios de
identificación 207 para identificar si el dispositivo terminal está
usando el primer o el segundo método de autenticación.
Preferentemente, el punto de acceso identifica el método de
autenticación recibiendo un mensaje desde el terminal, indicando
dicho mensaje el método de autenticación que está usando el
terminal. Si el terminal utiliza el método de autenticación de
sistemas abiertos, el mensaje es preferentemente un mensaje de
solicitud de autenticación según la normativa IEEE 802.11, dicho
mensaje de solicitud de autenticación indica autenticación de
sistemas abiertos. Si el terminal utiliza el método de autenticación
IEEE 802.1x, el mensaje es un mensaje de solicitud de asociación
preferentemente según la normativa IEEE 802.11i. Dicho mensaje de
solicitud de asociación comprende un elemento de conjunto de
autenticación que indica la autenticación IEEE 802.1x. El punto de
acceso comprende además unos medios de envío para enviar los datos
identificadores del terminal autenticado a la lista del controlador
de acceso si el dispositivo terminal está usando el método de
autenticación en el que el punto de acceso retransmite información
de autenticación entre el terminal y el servidor de autenticación.
El punto de acceso comprende además unos medios de retransmisión 206
para retransmitir información de autenticación entre el dispositivo
terminal de uno de entre los siguientes: el servidor de
autenticación si el dispositivo terminal está usando el primer
método de autenticación, el agente de autenticación si el
dispositivo terminal está usando el segundo método de autenticación.
En los casos en los que la funcionalidad de control de acceso
lógico esté contenida en el punto de acceso, el punto de acceso
comprende además unos medios de control de acceso 208 para
retransmitir paquetes de datos de terminales autenticados y bloquear
paquetes de datos de terminales no autenticados.
Un terminal que utiliza el método de
autenticación de sistemas abiertos recibe una dirección IP para ser
usada desde el servidor DHCP, el cual puede estar ubicado en el
agente de autenticación, o alternativamente, en el punto de acceso
o en algún otro lugar de la red. El punto de acceso 200 retransmite
mensajes de autenticación entre el terminal y el agente de
autenticación, el cual funciona como la entidad autenticadora y
autentica el dispositivo terminal usando el método de autenticación
basado en IP de la tercera capa de protocolo. Típicamente, el
agente de autenticación usa el servicio de autenticación
proporcionado por el servidor de autenticación retransmitiendo
adicionalmente la información de autenticación entre el dispositivo
terminal y el servidor de autenticación, el cual verifica la
información de autenticación. Después de la autenticación, el agente
de autenticación envía información sobre una autenticación
satisfactoria y los datos identificadores del terminal, tales como
la dirección IP del terminal o la dirección MAC, hacia el
controlador de acceso, el cual los añade a la lista de control de
acceso 204 y comienza a retransmitir los paquetes de datos del
terminal.
Cuando un terminal usa el protocolo IEEE 802.1x
para la autenticación, el punto de acceso funciona como entidad
autenticadora y autentica al terminal usando el protocolo IEEE
802.1x de la segunda capa de protocolo. Típicamente, el punto de
acceso usa el servicio de autenticación proporcionado por el
servidor de autenticación retransmitiendo la información de
autenticación entre el dispositivo terminal y el servidor de
autenticación, el cual verifica la información de autenticación. El
punto de acceso envía información sobre una autenticación
satisfactoria y los datos identificadores del terminal, tales como
la dirección IP del terminal o la dirección MAC, hacia el
controlador de acceso, el cual añade los datos identificadores del
terminal a la lista de control de acceso 204 y comienza a
retransmitir los paquetes de datos del terminal.
La Figura 3 muestra el sistema actual de WLAN de
Operador de Nokia. El sistema comprende un dispositivo terminal
inalámbrico 303, tal como un terminal WLAN, que está configurado
para usar la autenticación de sistemas abiertos con vistas a
autenticarse con la red, un punto de acceso 301, para proporcionar
una conexión inalámbrica desde el dispositivo 303 de comunicaciones
a la red, un controlador de acceso 302 para retransmitir información
de autenticación entre el dispositivo terminal 303 y un servidor de
autenticación 307, para mantener una lista 309 del controlador de
acceso de dispositivos terminales autenticados (por ejemplo, el
dispositivo terminal 303) y para retransmitir paquetes de datos de
dichos dispositivos terminales autenticados incluidos en la lista
309. El sistema comprende además el servidor de autenticación 307
para proporcionar un servicio de autenticación a un autenticador,
tal como el punto de acceso 301 determinando si el dispositivo
terminal está autorizado a acceder a los servicios proporcionados
por el punto de acceso. El sistema puede comprender además
servidores, tales como un servidor DHCP 305 para proporcionar una
dirección IP al dispositivo terminal 302 cuando se usa la
autenticación de sistemas abiertos, un servidor 306 de contabilidad
para llevar la contabilidad de la cantidad de datos transferidos
hacia y desde el dispositivo terminal y un encaminador 308 para
encaminar paquetes de datos del dispositivo terminal.
Cuando se lleva a cabo la autenticación del
dispositivo terminal inalámbrico según la tercera capa de protocolo,
tal como la autenticación de sistemas abiertos, el dispositivo
terminal 303 se asocia al punto de acceso 301. La autenticación no
se lleva a cabo todavía en este momento. Se forma una dirección IP
para el dispositivo terminal 303, por ejemplo, por medio del
protocolo DHCP. A continuación viene la autenticación real de la
tercera capa de protocolo. El en una de las formas de realización
del sistema OWLAN, por ejemplo, el dispositivo 303 de
comunicaciones difunde un mensaje de búsqueda para buscar un
servidor de autenticación 307, respondiendo a dicho mensaje el
servidor de autenticación 307. Basándose en el mensaje de respuesta,
el dispositivo terminal 303 sabe que la red en cuestión requiere
una autenticación de la tercera capa de protocolo, basada en IP,
entre el dispositivo terminal 303 y el controlador de acceso 302. El
controlador de acceso 302 intercambia mensajes de autenticación con
el servidor de autenticación 307. En la autenticación SIM, por
ejemplo, se transmite la Identidad de Abonado Móvil Internacional
(IMSI) hacia el servidor de autenticación 307. El controlador de
acceso 302 se comunica con el servidor de autenticación 306 usando
un protocolo AAA (Autenticación, Autorización, Contabilidad), tal
como el protocolo RADIUS (Servicio de Usuario de Marcación con
Autenticación Remota) o DIAMETER.
El servidor de autenticación 307 obtiene
desafíos GSM (el desafío GSM es un parámetro, es decir, un número
aleatorio de 128 bits, usado en una autenticación GSM), y envía los
desafíos al controlador de acceso 302, usando el protocolo AAA, el
cual los retransmite adicionalmente hacia el dispositivo terminal
303 usando el protocolo de autenticación de la tercera capa de
protocolo NAAP. A continuación, el dispositivo terminal 303 calcula
un valor de respuesta correspondiente al desafío emitido usando una
clave secreta almacenada en la tarjeta SIM. El valor de respuesta
es un número de 32 bits y el dispositivo terminal envía la respuesta
al controlador de acceso 302, con el protocolo de autenticación de
la tercera capa de protocolo. El controlador de acceso 302
retransmite la información hacia el servidor de autenticación 307
con el protocolo AAA. El servidor de autenticación 307 verifica la
respuesta comprobando si el terminal ha calculado o no un valor de
respuesta correcto. Si la respuesta recibida es correcta, el
servidor de autenticación 307 envía una indicación de autenticación
satisfactoria hacia el controlador de acceso 302 con el protocolo
AAA, el cual retransmite la indicación hacia el terminal 303 con el
protocolo de autenticación de la tercera capa de protocolo. Después
de la autenticación, los datos identificadores del dispositivo
terminal 303 se añaden a la lista 309 de control de acceso por parte
del controlador de acceso 302. El controlador de acceso 302
únicamente transmite paquetes de datos del dispositivo de
comunicaciones cuyos datos identificadores, tales como una dirección
IP o MAC, se encuentran en la lista 309.
La Figura 4 muestra un sistema según el
protocolo IEEE 802.1x. El sistema comprende un dispositivo terminal
inalámbrico 404, tal como un terminal WLAN, configurado para usar el
método de autenticación según el protocolo IEEE 802.1x con vistas a
autenticarse con la red, un punto de acceso 401 para establecer una
conexión de comunicación con el dispositivo terminal 404 y para
retransmitir información de autenticación entre el dispositivo
terminal 404 y un servidor de autenticación 402. El sistema
comprende además el servidor de autenticación 402 para proporcionar
un servicio de autenticación a un autenticador, tal como el punto de
acceso 401, determinando si el dispositivo terminal 404 está
autorizado a acceder a los servicios proporcionados por el punto de
acceso 401 y un servidor de contabilidad 405 para llevar la
contabilidad de la cantidad de datos transferidos hacia y desde el
dispositivo terminal. El sistema comprende además uno o más
encaminadores 403 para encaminar paquetes de datos del dispositivo
terminal 404.
La entidad autenticadora, tal como el punto de
acceso 401, se comunica típicamente con el servidor de autenticación
402 usando un protocolo AAA (Autenticación, Autorización,
Contabilidad), de forma similar a la solución LAN Inalámbrica de
Operador de Nokia descrita anteriormente en la Figura 3. Cuando se
ha autenticado satisfactoriamente el terminal, el punto de acceso
retransmite paquetes de datos entre el dispositivo terminal 404 y el
encaminador 403.
La Figura 5 muestra un sistema según una forma
de realización de la invención. A continuación, la invención se
ilustra a título de ejemplo en un entorno que comprende un
dispositivo terminal inalámbrico 303, tal como un terminal WLAN,
que se puede autenticar usando un método de autenticación de la
tercera capa de protocolo, tal como la autenticación de sistemas
abiertos y un dispositivo terminal inalámbrico 404, tal como un
terminal WLAN, que se puede autenticar usando el método de
autenticación según la normativa IEEE 802.1x, tal como un terminal
LAN Inalámbrico que use la normativa IEEE 802.11i. Los terminales
son capaces de establecer una conexión con una red de
comunicaciones, la cual comprende un punto de acceso 501, para
proporcionar una conexión inalámbrica desde el dispositivo 303, 304
de comunicaciones a la red y para retransmitir información de
autenticación entre el dispositivo terminal 404 y un servidor de
autenticación 505. El punto de acceso comprende una funcionalidad
502 de controlador de acceso lógico para retransmitir paquetes de
datos del terminal autenticado y bloquear paquetes de datos de
terminales no autenticados, y una lista 503 de dispositivos
terminales autenticados. La funcionalidad 502 de controlador de
acceso y la lista 503 puede estar ubicadas alternativamente, por
ejemplo, en un agente de autenticación 504, un encaminador 508 o en
algún otro lugar de la red. El sistema comprende además un agente
de autenticación 504 para retransmitir información de autenticación
entre el dispositivo terminal 303 y el servidor de autenticación
505. El sistema comprende además servidores, tales como un servidor
DHCP 506 para proporcionar una dirección IP para el dispositivo
terminal 303, un servidor de contabilidad 507 para llevar la
contabilidad de la cantidad de datos transferidos hacia y desde el
dispositivo terminal, y un servidor de autenticación 505 para
proporcionar un servicio de autenticación a un autenticador. El
autenticador es uno de los siguientes: el punto de acceso 501 o el
agente de autenticación 504. El servidor de autenticación 505
determina si el dispositivo terminal está autorizado a acceder a los
servicios proporcionados por el autenticador. El sistema comprende
además uno o más encaminadores 508 para encaminar paquetes de datos
de los dispositivos terminales 303, 404.
El punto de acceso 501 envía mensajes, tales
como mensajes baliza según la normativa IEEE 802.11i ó IEEE 802.11,
hacia el entorno del punto de acceso. Dicho mensaje baliza puede
comprender un elemento de conjunto de autenticación que comprenda
además información sobre el método de autenticación con el que puede
funcionar el punto de acceso, por ejemplo, el método de
autenticación según la normativa IEEE 802.11i. Un terminal
inalámbrico 404 que implemente la normativa IEEE 802.11i reconocerá
que el punto de acceso soporta el protocolo de autenticación IEEE
802.1x. Un terminal inalámbrico 303 que no implemente la normativa
IEEE 802.11i no procesa el elemento de conjunto de autenticación,
sino que interpreta el mensaje baliza según la normativa IEEE 802.11
y de este modo reconoce que el punto de acceso 501 soporta las
asociaciones de sistemas abiertos. El terminal 303, 404 recibe el
mensaje baliza enviado desde el punto de acceso 501. El dispositivo
terminal 303, 404 puede obtener varios mensajes baliza de varios
puntos de acceso que se encuentren dentro del alcance del terminal.
Como alternativa a los mensajes baliza, el terminal 303, 404,
también puede tener conocimiento de puntos de acceso locales
enviando mensajes, tales como un mensaje de solicitud sonda según
la normativa IEEE 802.11i o la normativa IEEE 802.11, a todos los
puntos de acceso que están dentro del alcance del terminal. Cuando
el punto de acceso 501 recibe el mensaje de solicitud sonda, el
terminal 303, 404 envía, en respuesta a dicha solicitud sonda, un
mensaje, tal como el mensaje de respuesta sonda según la normativa
IEEE 802.11i o IEEE 802.11. El mensaje de respuesta sonda al
dispositivo terminal 404 se envía según la normativa IEEE 802.11i y
comprende el elemento de conjunto de autenticación que comprende
información sobre el método de autenticación. El mensaje de
respuesta sonda hacia el dispositivo terminal 303 se puede enviar
según la normativa IEEE 802.11 y por ello no es necesario que
incluya el elemento de conjunto de autenticación. El terminal 303,
404 recibe el mensaje de respuesta sonda desde el punto de acceso
501. El dispositivo terminal 303, 404 puede obtener varios mensajes
de respuesta sonda de varios puntos de acceso que se encuentren
dentro del alcance del terminal.
Después de descubrir puntos de acceso locales
adecuados basándose en mensajes baliza o mensajes sonda, el
dispositivo terminal 303, 404 selecciona el punto de acceso que
soporte el método de autenticación que está usando el terminal. El
dispositivo terminal 404 que soporta la normativa IEEE 802.11i y
desea usar el método de autenticación IEEE 802.1x añade el elemento
de conjunto de autenticación al mensaje, tal como un mensaje de
solicitud de asociación según la normativa IEEE802.11i. El
dispositivo terminal 303 que desea usar la autenticación de
sistemas abiertos, en primer lugar inicia la autenticación abierta
enviando un mensaje de solicitud de autenticación, al cual responde
el punto de acceso 501 con un mensaje de respuesta de autenticación
que indica autenticación satisfactoria. Después de la autenticación
abierta viene la asociación. El dispositivo terminal 303 no incluye
ningún elemento de conjunto de autenticación en los mensajes de
asociación que envía. Después de esto, el terminal 303, 404 envía
el mensaje de solicitud de asociación al punto de acceso. Basándose
en el mensaje de solicitud de autenticación o asociación, el punto
de acceso 501 identifica el método de autenticación que está usando
el dispositivo terminal 303, 404.
Cuando se lleva a cabo la autenticación del
dispositivo de comunicaciones inalámbricas según la tercera capa
del protocolo, el dispositivo 303 de comunicaciones se asocia al
punto de acceso 501, no llevándose a cabo la autenticación todavía
en este momento. Se forma una dirección IP para el dispositivo 303
de comunicaciones, por ejemplo, por medio del protocolo DHCP. A
continuación viene la autenticación real de la tercera capa de
protocolo. En una de las formas de realización del sistema OWLAN,
por ejemplo, el dispositivo terminal 303 difunde un mensaje de
búsqueda para buscar un agente de autenticación 504, respondiendo a
dicho mensaje el agente de autenticación. Basándose en el mensaje
de respuesta, el dispositivo 303 de comunicaciones sabe que la red
en cuestión requiere una autenticación de la tercera capa de
protocolo, basada en IP, entre el dispositivo 303 de comunicaciones
y el agente de autenticación 504. El agente de autenticación 504
intercambia mensajes de autenticación con el servidor de
autenticación 505 usando un protocolo AAA. El procedimiento de
autenticación es similar al sistema de LAN Inalámbrica de Operador
de Nokia descrito en la Figura 3. El agente de autenticación 504
recibe una notificación de autenticación satisfactoria proveniente
del servidor 507 de autenticación por medio del protocolo AAA.
Después de la autenticación, el agente de autenticación envía los
datos identificadores, tales como una dirección IP, del dispositivo
terminal 303, a la funcionalidad 502 de controlador de acceso. En
esta forma de realización, la funcionalidad 502 de controlador de
acceso se implementa en el dispositivo 501 de punto de acceso. El
agente de autenticación 504 envía un mensaje al punto de acceso 501.
Por ejemplo, el mensaje se puede formar usando el Protocolo de
Datagrama de Usuario (UDP) sobre el Protocolo de Internet (IP). El
mensaje incluye por lo menos los datos identificadores del
dispositivo terminal 303. Al recibir el mensaje, la funcionalidad
502 de controlador de acceso en el punto de acceso 501 añade los
datos identificadores a la lista 503 de control de acceso. La
funcionalidad 502 de controlador de acceso únicamente retransmite
paquetes de datos del dispositivo terminal cuyos datos
identificadores, tales como una dirección IP o MAC, se encuentran
en la lista 503. Típicamente, la autenticación se debe repetir
después de un periodo de tiempo específico por parte del
dispositivo de comunicaciones, por ejemplo si el dispositivo
terminal se desactiva (debido a un nivel bajo de batería), abandona
la red (zona de sombra) o interrumpe automáticamente el uso de un
servicio. El controlador de acceso 502 mantiene un registro de la
duración de la conexión del dispositivo 303 de comunicaciones y del
número de paquetes de datos transmitidos/recibidos. El controlador
de acceso 502 envía la información al servidor de autenticación 505
o al servidor de contabilidad 507, por ejemplo, para que sirva como
base para la facturación del usuario. Como alternativa, se puede
llevar a cabo una autenticación según la tercera capa de protocolo
de tal manera que cuando el usuario active un navegador de la Malla
Mundial Multimedia (WWW), el agente de autenticación 504 envíe al
navegador del terminal 303 una página que interrogue sobre la
identificación del usuario y la contraseña, con lo cual se
identifica el usuario y el mismo se añade a la lista 503 de control
de acceso. Todavía de forma alternativa, se puede llevar a cabo una
autenticación según la tercera capa de protocolo usando un software
de Red Privada Virtual (VPN), en el cual la autenticación del
usuario se realiza típicamente como parte del protocolo de
Intercambio de Claves de Internet (IKE).
En la autenticación de la segunda capa de
protocolo, el dispositivo 404 de comunicaciones y el punto de acceso
501 llegan a un acuerdo ya durante la asociación de que usarán la
autenticación WLAN (y no la autenticación de sistemas abiertos como
en la autenticación de la tercera capa de protocolo). La
autenticación WLAN se lleva a cabo tal como se especifica en el
protocolo IEEE 802.1x. Después de una autenticación satisfactoria,
se informa a la funcionalidad 502 de controlador de acceso sobre el
acontecimiento y la misma añade el dispositivo terminal 304
autenticado de acuerdo con la segunda capa de protocolo a la lista
503 de control de acceso y comienza a retransmitir los paquetes del
dispositivo terminal autenticado. Como la funcionalidad 502 de
controlador de acceso se implementa en el dispositivo de punto de
acceso 501, el punto de acceso 501 es capaz de enviar localmente
los datos identificadores del terminal hacia la funcionalidad 502 de
controlador de acceso. La lista 503 de control de acceso comprende
datos identificadores de terminales autenticados según tanto la
tercera como la segunda capa de protocolo. Después de la
autenticación de la segunda capa de protocolo, ya no es necesario
que el agente de autenticación 504 someta al dispositivo terminal
404 a la autenticación de la tercera capa de protocolo, gracias a
que los datos identificadores del dispositivo terminal 404 ya están
en la lista 503.
En una forma de realización alternativa de la
presente invención, se proporciona una diferenciación de servicios
para clases diferentes de dispositivos terminales. La Figura 6
muestra un diagrama de flujo de un método según la forma de
realización alternativa de la invención. En la etapa 601, un punto
de acceso, y un dispositivo terminal, tal como un dispositivo de
comunicaciones inalámbricas, establecen una conexión y se asocian
mutuamente. Por iniciativa del punto de acceso, a continuación la
rutina comprueba si se trata de una autenticación de acuerdo con la
segunda capa de protocolo o una autenticación de sistemas abiertos
según la tercera capa de protocolo, etapa 602. El terminal
establece comunicaciones con el punto de acceso enviando una
solicitud de autenticación o asociación al punto de acceso. La
solicitud comprende una solicitud de autenticación usando el método
de autenticación que está usando el dispositivo. En la etapa 603, el
punto de acceso WLAN clasifica los clientes WLAN en diferentes
clases basándose preferentemente en el método de autenticación
usando por los clientes WLAN o basándose en algunos otros
parámetros que se intercambian durante la fase de asociación y
autenticación. En la etapa 604, el punto de acceso retransmite
paquetes de datos basándose en la clasificación. Cuando se
retransmiten paquetes de datos entre la red inalámbrica y la red por
cable (Sistema de Distribución, DS) se tiene en cuenta la clase de
cliente. Por ejemplo, el método de autenticación, el cual se
selecciona en la asociación, se puede usar para clasificar usuarios
de manera que los clientes de sistemas abiertos sea dirigidos a una
LAN Virtual (VLAN) diferente a la de los clientes IEEE
802.1x/802.11i. En el caso del 802.1x, el punto de acceso puede
diferenciar además clientes basándose en la parte del nombre de
dominio de la identidad de usuario (Identificador de Acceso a la
Red, NAI). El nombre de dominio identifica el servidor RADIUS que
autentica al usuario. Por ejemplo, un punto de acceso WLAN de
empresa puede dirigir los clientes que son autenticados por el
servidor RADIUS de empresa a una VLAN diferente a la de los clientes
que son autenticados por otros servidores RADIUS. En aras de una
mayor simplicidad, el método de autenticación (sistema abierto o
IEEE 802.1x) se usa en este caso como un ejemplo del parámetro
según el cual el punto de acceso clasifica los terminales
inalámbricos en clases diferentes. Para un experto en la materia
resultará evidente que la invención no se limita a la clasificación
de los terminales según el método de autenticación y que existen
otros parámetros según los cuales el punto de acceso puede dividir
terminales en clases independientes. El punto de acceso puede usar
cualquier parámetro del que tenga conocimiento al producirse el
establecimiento de las comunicaciones como base para la
clasificación. El parámetro puede estar relacionado con la
tecnología de radiocomunicaciones, la autenticación o la asociación
u otras áreas del establecimiento de la comunicación, tales como la
banda de radiofrecuencia, la velocidad de datos usada por el
terminal, el Identificador de Acceso a la Red o parte del mismo, o
el tipo de Protocolo de Autenticación Extensible (EAP) usado en la
autenticación IEEE 802.1x.
La Figura 7 muestra un punto de acceso según una
forma de realización alternativa de la invención. El punto de
acceso 700 comprende un procesador 701 y una memoria 702 para
ejecutar las operaciones en cuestión y por lo menos una aplicación
703 para la realización, por ejemplo, identificación, de un método
de autenticación. El punto de acceso 700 comprende además una
interfaz 705 para la conexión con el encaminador, con servidores,
tales como un controlador de acceso, o, por ejemplo un servidor de
autenticación. El punto de acceso comprende además unos medios de
identificación 207 para identificar, al producirse el
establecimiento de la comunicación, si el dispositivo terminal está
usando el primer o el segundo método de autenticación.
Preferentemente, el punto de acceso identifica el método de
autenticación recibiendo un mensaje desde el terminal, comprendiendo
dicho mensaje el método de autenticación que está usando el
terminal. Si el terminal está usando el primer método de
autenticación, el mensaje es preferentemente un mensaje de solicitud
de asociación según la normativa IEEE 802.11i, comprendiendo dicho
mensaje de solicitud de asociación un elemento de conjunto de
autenticación que indica la autenticación IEEE 802.1x. Si el
terminal está usando el segundo método de autenticación, el mensaje
es preferentemente un mensaje de solicitud de autenticación según la
normativa IEEE 802.11, indicando dicho mensaje de solicitud de
autenticación una autenticación de sistemas abiertos. El dispositivo
comprende además unos medios de clasificación 704 para clasificar
terminales en clases diferentes basándose en el método de
autenticación identificado. El punto de acceso comprende además unos
medios de retransmisión 706 para retransmitir paquetes de datos de
los terminales inalámbricos entre la red inalámbrica y la red por
cable, teniendo en cuenta dichos medios de retransmisión la clase
del cliente al dirigir paquetes de datos de dispositivos terminales
de clases diferentes a canales lógicos independientes. El uso de
redes LAN Virtuales diferentes para clases de terminal diferentes
es un ejemplo de cómo tener en cuenta la clase del terminal cuando
se retransmiten paquetes de datos. Al producirse la recepción de un
paquete de datos desde un terminal inalámbrico, el punto de acceso
en primer lugar detecta la clase de terminal correspondiente al
terminal inalámbrico emisor preferentemente basándose en el campo
de dirección MAC de origen del paquete de datos y a continuación
retransmite el paquete de datos hacia la red inalámbrica usando el
Identificador del LAN Virtual asociado a la clase de terminal, de
manera que los paquetes provenientes de clientes de sistemas
abiertos se retransmiten usando un identificador de LAN Virtual
diferente al correspondiente a los paquetes provenientes de clientes
802.1x. Además, al producirse la recepción de un paquete de datos
de unidifusión proveniente de la red por cable, el punto de acceso
detecta en primer lugar la clase de terminal correspondiente al
terminal inalámbrico de destino, preferentemente basándose en el
campo de dirección MAC de destino del paquete de datos, y a
continuación verifica que el Identificador de LAN Virtual del
paquete de datos es correcto, es decir, el que debería ser para la
clase de terminal detectada. El punto de acceso únicamente
retransmite el paquete de datos al terminal inalámbrico de destino
si el paquete se recibió proveniente de la red por cable con el
Identificador de LAN Virtual correcto. Si el identificador de LAN
Virtual es incorrecto, el punto de acceso rechaza preferentemente el
paquete de datos. Al producirse la recepción de un paquete de datos
de multidifusión o de difusión generalizada proveniente de la red
por cable, el punto de acceso no puede detectar la clase de
terminal correspondiente a un dispositivo terminal individual, ya
que pueden existir varios destinos. En este caso, el punto de acceso
puede procesar todavía los paquetes de datos según la clase de
terminal indicada en el identificador de LAN Virtual. Por ejemplo,
las tramas de datos de multidifusión o de difusión generalizada
destinadas a clientes de sistemas abiertos se pueden transmitir sin
cifrado o protección de la integridad, mientras que a las tramas de
datos de multidifusión o de difusión generalizada destinadas a
clientes IEEE 802.1x se les puede aplicar la seguridad de paquetes
IEEE 802.11i.
Como alternativa a las LAN Virtuales, el punto
de acceso puede diferenciar los paquetes de datos basándose en la
subred IP o intervalo de direcciones IP. En este ejemplo, el punto
de acceso garantiza que al terminal inalámbrico se le asigna una
dirección IP de la subred o intervalo IP que se corresponde con la
clase de terminal identificada al producirse el establecimiento de
las comunicaciones. Preferentemente, el punto de acceso retransmite
los paquetes DHCP enviados por el terminal inalámbrico en la fase de
configuración IP hacia un servidor DHCP adecuado basándose en la
clase de terminal, de manera que al terminal se le asigna una
dirección de la subred IP o intervalo de direcciones IP correctos.
Al producirse la recepción de un paquete de datos proveniente de un
terminal inalámbrico, el punto de acceso en primer lugar detecta la
clase de terminal preferentemente basándose en el campo de
dirección MAC de origen del paquete de datos y a continuación
verifica que el campo de dirección IP de origen (u otro campo de
protocolo que comprenda una dirección IP) del paquete de datos
recibido pertenece a la subred IP o intervalo de direcciones IP
correctos, asociados a la clase de terminal detectada. El punto de
acceso retransmite únicamente el paquete de datos hacia la red por
cable en el caso de que dicha verificación resulte satisfactoria.
Si dicha verificación no es satisfactoria, preferentemente el punto
de acceso rechaza el paquete de datos. Además, al producirse la
recepción de un paquete de datos de unidifusión proveniente de la
red por cable, el punto de acceso detecta en primer lugar la clase
de terminal preferentemente basándose en el campo de dirección MAC
de destino, y a continuación verifica que el campo de dirección IP
de destino del paquete de datos pertenece a la subred IP o intervalo
de direcciones IP correctos, asociados a la clase de terminal
detectada. El punto de acceso retransmite únicamente el paquete de
datos hacia el terminal inalámbrico de destino en el caso de que
dicha verificación resulte satisfactoria. Si dicha verificación no
es satisfactoria, el punto de acceso preferentemente rechaza el
paquete de datos. Al producirse la recepción de un paquete de datos
de multidifusión o de difusión generalizada proveniente de la red
por cable, el punto de acceso todavía puede detectar una clase de
terminal correcta basándose en un campo de protocolo que comprenda
una dirección IP. Se puede aplicar un procesado diferente, tal como
un cifrado o una protección de integridad diferentes, a paquetes de
datos de multidifusión o de difusión generalizada destinados a
clientes de sistemas abiertos y a clientes IEEE 802.1x. En aras de
una mayor simplicidad, el uso de LAN Virtuales independientes para
clases de cliente diferentes se utiliza como ejemplo de cómo el
punto de acceso tiene en cuenta la clase de terminal cuando se
retransmiten paquetes de datos entre los terminales inalámbricos y
la red por cable. Para un experto en la materia resultará evidente
que la invención no se limita al uso de LAN Virtuales diferentes
para cada clase de terminal y que existen otras formas de tener en
cuenta la clase de terminal en la retransmisión de paquetes de
datos. Como alternativa a las LAN Virtuales, el punto de acceso
puede tener en cuenta la clase de terminal usando cualquier método
de diferenciación de paquetes de datos en canales lógicos
independientes, basándose en la clase del terminal, cuando se
retransmiten paquetes de datos entre la red inalámbrica y la red
por cable. Otro de los ejemplos de dicho método es la tunelización
de paquetes hacia destinos diferentes basándose en la clase del
terminal. Al producirse la recepción de un paquete de datos
proveniente del terminal inalámbrico, el punto de acceso detecta la
clase de terminal preferentemente basándose en el campo de dirección
MAC de origen del paquete recibido. A continuación el punto de
acceso encapsula el paquete recibido dentro de un paquete nuevo. El
destino del paquete nuevo se selecciona basándose en la clase del
terminal, de manera que clases de terminal diferentes se tunelizan
hacia destinos diferentes. El encapsulado es preferentemente un
encapsulado IP, en el que se elimina el encabezamiento MAC original,
y el paquete IP resultante se encapsula dentro de un paquete IP
nuevo. A continuación, el paquete IP se reenvía según la dirección
de destino IP nueva. De forma correspondiente, los paquetes de
datos recibidos desde la red por cable también se pueden tunelizar.
Al producirse la recepción de un paquete de datos proveniente de la
red inalámbrica, el punto de acceso detecta la clase de terminal
preferentemente basándose en la dirección IP de origen en el
encabezamiento IP externo, cuando para cada clase de terminal se
usan diferentes puntos de inicio de tunelización. A continuación, el
punto de acceso desencapsula el paquete tunelizado y retransmite el
paquete de datos resultante hacia el terminal inalámbrico de
destino.
La Figura 8 muestra un sistema según una forma
de realización alternativa de la invención. A continuación, la
invención se ilustra a título de ejemplo en un entorno que comprende
un dispositivo terminal 303 que se puede autenticar usando un
método de autenticación de la tercera capa de protocolo, tal como la
autenticación de sistemas abiertos y un terminal 404 que se puede
autenticar usando el método de autenticación según la normativa
IEEE 802.1x, tal como un terminal LAN Inalámbrico que use la
normativa IEEE 802.11i. Los terminales son capaces de establecer
una conexión con una red de comunicaciones, la cual comprende un
punto de acceso 801, para proporcionar una conexión inalámbrica
desde el dispositivo 303, 404 de comunicaciones a la red y para
retransmitir información de autenticación entre el dispositivo
terminal 404 y un servidor de autenticación 806. El sistema
comprende además un controlador de acceso 802, que comprende una
funcionalidad de controlador de acceso lógico para retransmitir
paquetes de datos del terminal autenticado por el sistema abierto y
bloquear paquetes de datos de terminal no autenticados, y una lista
803 de dispositivos terminales del sistema abierto autenticados. El
controlador de acceso 802 está retransmitiendo información de
autenticación entre el dispositivo terminal 303 y el servidor de
autenticación 806. El sistema comprende además servidores, tales
como un servidor DHCP 804 para proporcionar una dirección IP para
el dispositivo terminal 303, un servidor de contabilidad 805 para
llevar la contabilidad de la cantidad de datos transferida hacia y
desde el dispositivo terminal, y un servidor de autenticación 806
para proporcionar un servicio de autenticación a un autenticador,
siendo dicho autenticador uno de los siguientes: el punto de acceso
801 y el controlador de acceso 802, determinando si el dispositivo
terminal está autorizado a acceder a los servicios proporcionados
por el autenticador, y uno o más encaminadores 807 para encaminar
paquetes de datos de los dispositivos terminales 303, 404.
Este sistema ilustrativo está dispuesto de tal
manera que el control del acceso de la red para el terminal 303 del
sistema abierto se implementa en el dispositivo controlador de
acceso 802, y el control de acceso de la red para el terminal IEEE
802.1x 404 se implementa en el dispositivo de punto de acceso 801.
La disposición se basa en la clasificación de paquetes de datos,
que se sitúa en el dispositivo de punto de acceso 801, en canales
lógicos independientes basándose en el método de autenticación del
terminal.
Cuando un dispositivo terminal 303 que usa el
método de autenticación de sistemas abiertos establece
comunicaciones con el punto de acceso, el punto de acceso 801
asigna el terminal 303 a una clase de terminal para la cual el
controlador de acceso 802 utiliza un control de acceso en la tercera
capa del protocolo. Mediante el uso de LAN Virtuales, el
controlador de acceso 802 se configura para imponer un control de
acceso para los paquetes de datos recibidos con un identificador de
LAN Virtual asignado a terminales de sistemas abiertos. Si para
separar paquetes de datos en canales lógicos se usan subredes IP o
intervalos de direcciones IP independientes, el controlador de
acceso 802 se configura para imponer un control de acceso a los
paquetes de datos de terminales 303 que usan una dirección IP de
entre la subred o intervalo de direcciones IP de terminales de
sistemas abiertos.
Cuando un dispositivo terminal 404 establece
comunicaciones con el punto de acceso 801 y se autentica con el
método de autenticación IEEE 802.1x, el punto de acceso 801 asigna
el terminal 404 a una clase de terminal para la cual el controlador
de acceso 802 no utiliza un control de acceso. Con las LAN
Virtuales, es posible configurar el controlador de acceso 802 para
encaminar paquetes de datos con el identificador de LAN Virtual
asociado al terminal IEEE 802.1x 404 sin imponer ningún control de
acceso. Como alternativa, la LAN Virtual asociada a los terminales
IEEE 802.1x 404 puede utilizar otro dispositivo encaminador 807 a
través del cual se encaminen los paquetes de datos de los
terminales IEEE 802.1x 404, de manera que los paquetes de datos no
atraviesen el controlador de acceso 802. Si para separar paquetes de
datos en canales lógicos se usan subredes IP o intervalos de
direcciones IP independientes, el controlador de acceso 802 se puede
configurar para encaminar paquetes de datos de terminales 404 que
usan una dirección IP de entre las subred o intervalo de direcciones
IP de terminales IEEE 802.1x sin imponer un control de acceso.
La forma de realización alternativa de la
invención según las figuras 6 a 8 hace que resulte posible usar la
misma red de radiocomunicaciones WLAN con varios fines. La misma red
de radiocomunicaciones puede prestar servicio a clientes WLAN
heredados tales como clientes OWLAN de la versión 1 que usen
autenticación de sistemas abiertos, y clientes WLAN nuevos que usen
las normativos IEEE nuevas, tales como clientes OWLAN de la versión
2 que usen la autenticación IEEE 802.1x. Una implementación extrema
del punto de acceso de la presente invención podría ser vista por
los clientes de comunicaciones inalámbricas como dos puntos de
acceso independientes. Uno de los puntos de acceso "virtuales"
permitiría asociaciones de sistemas abiertos y el otro punto de
acceso asociaciones 802.1x. Una implementación más sencilla sería
vista como un punto de acceso individual aunque soportaría tanto la
asociación abierta como la asociación 802.1x.
Otro de los objetivos de la forma de realización
alternativa son las redes protegidas que están construidas
actualmente sobre la tecnología de las Redes Privadas Virtuales
(VPN), tales como las redes de empresa. Uno de los puntos de acceso
que implementa la presente invención podría encaminar clientes de
sistemas abiertos a la LAN existente la cual está separada por una
pasarela VPN con respecto a la red protegida. Por esta razón, los
clientes de sistemas abiertos necesitarán establecer una conexión
VPN para acceder a la red protegida. El punto de acceso podría
encaminar clientes IEEE 802.11i a una LAN Virtual diferente, la cual
presente una conectividad directa con la red protegida. De este
modo, la presente invención proporciona una vía de despliegue
gestionada desde la solución actual de la WLAN de empresa a la
solución IEEE 802.11i nueva.
En otro sistema ilustrativo que utiliza la forma
de realización alternativa de la presente invención, la
clasificación de terminales en el dispositivo de punto de acceso se
puede usar para dirigir paquetes de datos de dispositivos
terminales que usan la autenticación de sistemas abiertos a una red
no controlada, en la cual no se impone ningún control de acceso.
Dicha red no controlada puede ser una Intranet local u otra red con
recursos limitados y gratis que estén disponibles para cualquier
persona. En este ejemplo, los paquetes de datos de dispositivos
terminales que usan la autenticación IEEE 802.1x son dirigidos a una
red controlada, tal como la red Internet de ámbito global. Dicha
red controlada es tal que está únicamente disponible para terminales
que se autentican usando el método de autenticación IEEE
802.1x.
Las ventajas de la forma de realización
alternativa descrita anteriormente son: una única red de
radiocomunicaciones WLAN puede soportar de forma segura clientes
WLAN tanto heredados como nuevos, los clientes WLAN heredados y
nuevos pueden usar subredes IP diferentes y servicios diferentes, no
se requiere ningún soporte en las estaciones inalámbricas.
La invención no se limita a la autenticación de
sistemas abiertos y la autenticación según el protocolo IEEE802.11i
o el protocolo IEEE 802.1x. La primera forma de realización de la
invención se puede usar en cualquiera de los sistemas mencionados
en los que un terminal pueda acceder a la red usando un punto de
acceso o un agente de autenticación como autenticador. La segunda
forma de realización de la invención se puede usar en cualquiera de
los sistemas mencionados en los que resulte ventajoso proporcionar
un servicio diferente para clases diferentes de terminales,
basándose dicha clase identificada de terminal en un parámetro del
establecimiento de la comunicación.
La descripción anterior ilustra la
implementación de la invención y sus formas de realización por medio
de ejemplos. Para un experto en la materia resultará evidente que
la invención no se limita a los detalles de las formas de
realización descritas anteriormente y que también existen otras
formas de implementar la invención sin desviarse con respecto a las
características de la misma. Por lo tanto, las anteriores formas de
realización deberían considerarse a título ilustrativo y no
limitativo. De este modo, las posibilidades de implementar y usar
la invención están limitadas únicamente por las reivindicaciones
adjuntas y por esta razón las diferentes implementaciones
alternativas de la invención, incluyendo implementaciones
equivalentes, definidas en las reivindicaciones, también pertenecen
al alcance de la invención.
Claims (18)
1. Método para controlar el acceso de un
dispositivo terminal inalámbrico (303, 404) en una red de
comunicaciones, comprendiendo la red de comunicaciones:
un punto de acceso (501) para establecer una
conexión de comunicación con el dispositivo terminal
inalámbrico,
un servidor de autenticación (505) para
proporcionar un servicio de autenticación con vistas a que el
dispositivo terminal inalámbrico se autentique con la red de
comunicaciones,
un agente de autenticación (504) para
retransmitir información de autenticación entre el dispositivo
terminal inalámbrico y el servidor de autenticación, y
un controlador de acceso para retransmitir
paquetes de datos de dispositivos terminales inalámbricos y
bloquear paquetes de datos de dispositivos terminales inalámbricos,
una funcionalidad de controlador de acceso (502) que comprende una
lista de control de acceso (503) que es una lista de dispositivos
terminales inalámbricos autenticados,
estando configurado el dispositivo terminal
inalámbrico para usar uno de los siguientes métodos de autenticación
con vistas a autenticarse con la red de comunicaciones: un primer
método de autenticación en el que el punto de acceso (501)
retransmite información de autenticación entre el dispositivo
terminal inalámbrico y el servidor de autenticación (505), un
segundo método de autenticación en el que el agente de autenticación
(504) retransmite información de autenticación entre el dispositivo
terminal inalámbrico y el servidor de autenticación (505),
caracterizado porque comprende las etapas siguientes
identificar (101) en el punto de acceso (501) si
el dispositivo terminal inalámbrico está usando el primer método de
autenticación o el segundo método de autenticación,
de tal manera que el dispositivo terminal
inalámbrico se autentica (102) mediante la utilización del primer
método de autenticación, llevando a cabo las etapas siguientes:
el punto de acceso retransmite (108) información
de autenticación entre el dispositivo terminal inalámbrico y el
servidor de autenticación,
el punto de acceso envía (106) datos
identificadores del dispositivo terminal inalámbrico en respuesta a
una autenticación satisfactoria, a la lista de control de acceso,
y
el controlador de acceso añade (107) los datos
identificadores del dispositivo terminal inalámbrico a la lista de
control de acceso y retransmite los paquetes de datos del
dispositivo terminal inalámbrico incluido en la lista de control de
acceso, y
si el dispositivo terminal inalámbrico se
autentica (103) mediante la utilización del segundo método de
autenticación, llevando a cabo las etapas siguientes:
el punto de acceso retransmite (105) información
de autenticación entre el dispositivo terminal inalámbrico y el
agente de autenticación,
el agente de autenticación retransmite
información de autenticación entre el dispositivo terminal
inalámbrico y el servidor de autenticación,
el agente de autenticación envía (106) datos
identificadores del dispositivo terminal inalámbrico, en respuesta
a una autenticación satisfactoria, a la lista de control de acceso,
y
el controlador de acceso añade (107) los datos
identificadores del dispositivo terminal inalámbrico a la lista de
control de acceso y retransmite paquetes de datos del dispositivo
terminal inalámbrico incluido en la lista de control de acceso.
2. Método según la reivindicación 1,
caracterizado porque la funcionalidad de controlador de
acceso (502, 503) se implementa como parte del punto de acceso
(501).
3. Método según la reivindicación 1,
caracterizado porque la funcionalidad del controlador de
acceso (502, 503) se implementa como parte del agente de
autenticación (504).
4. Método según la reivindicación 1,
caracterizado porque la funcionalidad del controlador de
acceso (502, 503) se implementa en un dispositivo separado del
punto de acceso y del agente de autenticación.
5. Método según la reivindicación 1,
caracterizado porque los datos identificadores comprenden por
lo menos uno de entre los siguientes: una dirección IP y una
dirección MAC del dispositivo terminal inalámbrico.
6. Método según la reivindicación 1,
caracterizado porque el primer método de autenticación se
lleva a cabo según el protocolo IEEE 802.1X.
7. Método según la reivindicación 6,
caracterizado porque el primer método de autenticación se
lleva a cabo según el protocolo IEEE 802. 11i.
8. Método según la reivindicación 1,
caracterizado porque el segundo método de autenticación se
lleva a cabo a través de un protocolo de Internet.
9. Método según la reivindicación 8,
caracterizado porque el segundo método de autenticación se
lleva a cabo según un protocolo de intercambio de claves de
Internet o un protocolo de transferencia de hipertexto.
10. Método según las reivindicaciones 6 a 9,
caracterizado porque el punto de acceso identifica el método
de autenticación mediante la recepción de un mensaje de solicitud de
asociación del dispositivo terminal inalámbrico.
11. Método según la reivindicación 10,
caracterizado porque el mensaje de solicitud de asociación
comprende un elemento de conjunto de autenticación, comprendiendo
asimismo dicho elemento de conjunto de autenticación la información
del método de autenticación que está usando el dispositivo.
12. Método según cualquiera de las
reivindicaciones 2 a 11, caracterizado porque el método
comprende asimismo renovar la autenticación tras un periodo de
tiempo.
13. Punto de acceso (501) para establecer una
conexión de comunicación a un dispositivo terminal inalámbrico en
una red de comunicaciones, comprendiendo dicha red de
comunicaciones
un servidor de autenticación (505) para
proporcionar un servicio de autenticación con vistas a que el
dispositivo terminal inalámbrico se autentique con la red de
comunicaciones
un agente de autenticación (504) para
retransmitir información de autenticación entre el dispositivo
terminal inalámbrico y el servidor de autentica-
ción, y
ción, y
un controlador de acceso para retransmitir
paquetes de datos de dispositivos terminales inalámbricos y bloquear
los paquetes de datos de los dispositivos terminales autenticados,
una funcionalidad de controlador de acceso (502, 503) que comprende
una lista de control de acceso (503) que es una lista de los
dispositivos terminales inalámbricos autenticados,
caracterizado porque el punto de acceso
está configurado para aceptar que el dispositivo terminal
inalámbrico use uno de los siguientes métodos de autenticación con
vistas a autenticarse con la red de comunicaciones: un primer
método de autenticación en el que el punto de acceso está
configurado para retransmitir información de autenticación entre el
dispositivo terminal inalámbrico y el servidor de autenticación, un
segundo método de autenticación en el que el punto de acceso está
configurado para retransmitir información de autenticación entre el
dispositivo terminal inalámbrico y un agente de autenticación, en el
que el punto de acceso comprende
identificar unos medios (207) para identificar
si el dispositivo terminal inalámbrico está usando el primer método
de autenticación o el segundo método de autenticación,
unos primeros medios de retransmisión (201, 205,
206) para retransmitir la información de autenticación entre el
dispositivo terminal inalámbrico y el servidor de autenticación como
una respuesta a una situación en la que se ha identificado que el
dispositivo terminal inalámbrico está usando el primer método de
autenticación está usando,
unos primeros medios de envío (201, 205) para
enviar los datos identificadores de envío del dispositivo terminal
inalámbrico, como una respuesta a una autenticación satisfactoria
del dispositivo terminal inalámbrico según el primer método de
autenticación, a la lista de control de acceso
unos segundos medios de retransmisión (201, 205,
206) para retransmitir información de autenticación entre el
dispositivo terminal inalámbrico y el agente de autenticación como
una respuesta a una situación en la que se ha identificado que el
dispositivo terminal inalámbrico está usando el segundo método de
autenticación,
unos segundos medios de envío (201, 205) para
enviar los datos de identificación del dispositivo terminal
inalámbrico, como una respuesta a una autenticación satisfactoria
del dispositivo terminal inalámbrico según el segundo método de
autenticación, a la lista de control de acceso.
14. Punto de acceso según la reivindicación 13,
caracterizado porque los medios de identificación están
dispuestos para identificar el método de autenticación mediante la
recepción de un mensaje de solicitud de asociación a partir del
dispositivo terminal inalámbrico.
15. Punto de acceso según la reivindicación 14,
caracterizado porque los medios de identificación están
dispuestos para detectar un elemento de conjunto de autenticación a
partir del mensaje de solicitud de asociación, comprendiendo dicho
elemento de conjunto de autenticación información del método de
autenticación que el dispositivo terminal inalámbrico está
usando.
16. Punto de acceso según la reivindicación 13,
caracterizado porque el punto de acceso comprende unos medios
de detección que están dispuestos para detectar la autenticación
satisfactoria del dispositivo terminal inalámbrico que está usando
dicho primer método de autenticación mediante la recepción de un
mensaje del servidor de autenticación.
17. Punto de acceso según la reivindicación 13,
caracterizado porque el punto de acceso comprende unos medios
de detección que están dispuestos para detectar la autenticación
satisfactoria del dispositivo terminal inalámbrico que está usando
dicho segundo método de autenticación mediante la recepción de un
mensaje de uno de entre los siguientes: el agente de autenticación o
el servidor de autenticación.
18. Sistema para el control de acceso de un
dispositivo terminal inalámbrico (303, 404) en una red de
comunicaciones, comprendiendo la red de comunicaciones:
un punto de acceso (501) para establecer una
conexión de comunicación con el dispositivo terminal
inalámbrico,
un servidor de autenticación (505) para
proporcionar un servicio de autenticación para que el dispositivo
terminal inalámbrico (303, 404) se autentique con la red de
comunicaciones,
un agente de autenticación (504) para
retransmitir información de autenticación entre el dispositivo
terminal inalámbrico (303) y el servidor de autenticación (505),
y
un controlador de acceso (502) para retransmitir
paquetes de datos de dispositivos terminales inalámbricos
autenticados y bloquear paquetes de datos de dispositivos terminales
inalámbricos no autenticados, una funcionalidad de controlador de
acceso que comprende una lista de control de acceso (503) que es una
lista del dispositivo terminal inalámbrico autenticado,
estando configurado el dispositivo terminal
inalámbrico (303, 404) para usar uno de los siguientes métodos de
autenticación con vistas a autenticarse con la red de
comunicaciones: un primer método de autenticación en el que el
punto de acceso (801) retransmite información de autenticación entre
el dispositivo terminal inalámbrico (303, 404) y el servidor de
autenticación (505), un segundo método de autenticación en el que
el agente de autenticación (504) retransmite información de
autenticación entre el dispositivo terminal inalámbrico (303) y el
servidor de autenticación (505), caracterizado porque el
sistema comprende:
unos medios de identificación para identificar
en un punto de acceso (501) si el dispositivo terminal inalámbrico
(303, 404) está usando el primer método de autenticación o el
segundo método de autenticación,
unos primeros medios de retransmisión para
retransmitir en el punto de acceso (501) la información de
autenticación del primer método de autenticación entre el
dispositivo terminal inalámbrico (404) y el servidor de
autenticación (505),
unos segundos medios de retransmisión para
retransmitir en el punto de acceso (501) información de
autenticación del segundo método de autenticación entre el
dispositivo terminal inalámbrico (303) y el agente de autenticación
(504),
unos terceros medios de retransmisión en el
agente de autenticación (504) para retransmitir información de
autenticación del segundo método de autenticación entre el punto de
acceso (501) y el servidor de autenticación (505),
unos primeros medios de envío para enviar desde
el punto de acceso (501) unos datos identificadores del dispositivo
terminal inalámbrico (404), como una respuesta a la autenticación
satisfactoria del dispositivo terminal inalámbrico según el primer
método de autenticación, a la lista de control de acceso (503),
y
unos segundos medios de envío para enviar desde
el agente de autenticación (504) unos datos identificadores del
dispositivo terminal inalámbrico (303) como una respuesta a la
autenticación satisfactoria del dispositivo terminal inalámbrico
según el segundo método de autenticación, a la lista de control de
acceso (503), y
unos medios de retransmisión en la funcionalidad
del controlador de acceso (502) para retransmitir paquetes de datos
del dispositivo terminal inalámbrico (303, 404) incluido en la lista
de control de acceso.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP02250352A EP1330073B1 (en) | 2002-01-18 | 2002-01-18 | Method and apparatus for access control of a wireless terminal device in a communications network |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2274358T3 true ES2274358T3 (es) | 2007-05-16 |
Family
ID=8185651
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES02250352T Expired - Lifetime ES2258134T3 (es) | 2002-01-18 | 2002-01-18 | Metodo y aparato para el control del acceso de un dispositivo terminal inalambrico en una red de comunicaciones. |
ES04018185T Expired - Lifetime ES2274358T3 (es) | 2002-01-18 | 2002-01-18 | Metodo y aparato para el control del acceso de un dipositivo terminal inlambrico en una red de comunicaciones. |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES02250352T Expired - Lifetime ES2258134T3 (es) | 2002-01-18 | 2002-01-18 | Metodo y aparato para el control del acceso de un dispositivo terminal inalambrico en una red de comunicaciones. |
Country Status (5)
Country | Link |
---|---|
US (1) | US8045530B2 (es) |
EP (2) | EP1523129B1 (es) |
AT (2) | ATE345000T1 (es) |
DE (1) | DE60209858T2 (es) |
ES (2) | ES2258134T3 (es) |
Families Citing this family (125)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7301946B2 (en) * | 2000-11-22 | 2007-11-27 | Cisco Technology, Inc. | System and method for grouping multiple VLANs into a single 802.11 IP multicast domain |
US6947768B2 (en) * | 2001-09-28 | 2005-09-20 | Kabushiki Kaisha Toshiba | Base station apparatus and terminal apparatus |
US7986937B2 (en) | 2001-12-20 | 2011-07-26 | Microsoft Corporation | Public access point |
US7188364B2 (en) * | 2001-12-20 | 2007-03-06 | Cranite Systems, Inc. | Personal virtual bridged local area networks |
CN100399840C (zh) | 2002-05-13 | 2008-07-02 | 汤姆森特许公司 | 无缝公共无线局域网用户认证 |
US7421266B1 (en) | 2002-08-12 | 2008-09-02 | Mcafee, Inc. | Installation and configuration process for wireless network |
DE10393526T5 (de) * | 2002-10-17 | 2005-09-29 | Enterasys Networks, Inc., Andover | System und Verfahren für IEEE 802.1X Benutzerauthentifizierung in einem Netzzutrittsgerät |
JP4120415B2 (ja) * | 2003-02-10 | 2008-07-16 | 株式会社日立製作所 | トラフィック制御計算装置 |
US7130646B2 (en) * | 2003-02-14 | 2006-10-31 | Atheros Communications, Inc. | Positioning with wireless local area networks and WLAN-aided global positioning systems |
US7522669B2 (en) * | 2003-02-21 | 2009-04-21 | Atheros Communications, Inc. | Method and apparatus for selective disregard of co-channel transmissions on a medium |
WO2004077851A1 (en) | 2003-02-24 | 2004-09-10 | Autocell Laboratories, Inc. | Wireless access protocol system and method |
US7869822B2 (en) | 2003-02-24 | 2011-01-11 | Autocell Laboratories, Inc. | Wireless network apparatus and system field of the invention |
WO2004084464A2 (en) * | 2003-03-14 | 2004-09-30 | Thomson Licensing | A flexible wlan access point architecture capable of accommodating different user devices |
US7774828B2 (en) * | 2003-03-31 | 2010-08-10 | Alcatel-Lucent Usa Inc. | Methods for common authentication and authorization across independent networks |
JP4019006B2 (ja) * | 2003-04-02 | 2007-12-05 | Necインフロンティア株式会社 | 無線ネットワークシステム、無線基地局及びそれらに用いる無線移動端末代理処理方法 |
US7421732B2 (en) * | 2003-05-05 | 2008-09-02 | Nokia Corporation | System, apparatus, and method for providing generic internet protocol authentication |
US20040225709A1 (en) * | 2003-05-06 | 2004-11-11 | Joseph Kubler | Automatically configuring security system |
US8606885B2 (en) * | 2003-06-05 | 2013-12-10 | Ipass Inc. | Method and system of providing access point data associated with a network access point |
EP1629655A1 (en) * | 2003-06-05 | 2006-03-01 | Wireless Security Corporation | Methods and systems of remote authentication for computer networks |
EP1643691B1 (en) * | 2003-07-04 | 2007-12-05 | Nippon Telegraph and Telephone Corporation | Remote access vpn mediation method and mediation device |
US20080312941A1 (en) * | 2007-06-14 | 2008-12-18 | Qualcomm Incorporated | Separable billing for personal data services |
US8060419B2 (en) * | 2003-07-31 | 2011-11-15 | Qualcomm Incorporated | Method and apparatus for providing separable billing services |
US6980535B2 (en) * | 2003-08-28 | 2005-12-27 | Motorola, Inc. | Passive probing for handover in a local area network |
US7934005B2 (en) * | 2003-09-08 | 2011-04-26 | Koolspan, Inc. | Subnet box |
CN1599338A (zh) * | 2003-09-19 | 2005-03-23 | 皇家飞利浦电子股份有限公司 | 增强无线局域网安全的方法 |
GB0324364D0 (en) * | 2003-10-17 | 2003-11-19 | Nokia Corp | Authentication of messages in a communication system |
US7506065B2 (en) * | 2003-11-26 | 2009-03-17 | Hewlett-Packard Development Company, L.P. | Remote mirroring using IP encapsulation |
ES2271503T3 (es) * | 2003-11-26 | 2007-04-16 | France Telecom | Autentificacion entre una terminal movil de red celular y un punto de acceso de la red de corto alcance. |
US7624431B2 (en) * | 2003-12-04 | 2009-11-24 | Cisco Technology, Inc. | 802.1X authentication technique for shared media |
US7046647B2 (en) | 2004-01-22 | 2006-05-16 | Toshiba America Research, Inc. | Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff |
WO2005076536A1 (en) * | 2004-02-04 | 2005-08-18 | Matsushita Electric Industrial Co., Ltd. | Method and apparatus for generating packet frames for carrying data |
CN1934884B (zh) * | 2004-02-06 | 2010-09-29 | 艾利森电话股份有限公司 | 对所有接入点使用单个标识符在蜂窝网和未许可无线电接入网之间切换 |
EP3462765B1 (en) * | 2004-02-18 | 2021-06-23 | Telefonaktiebolaget LM Ericsson (publ) | Method and apparatus for unlicensed-radio access in a mobile radio communications system |
US7515901B1 (en) * | 2004-02-25 | 2009-04-07 | Sun Microsystems, Inc. | Methods and apparatus for authenticating devices in a network environment |
US8112082B2 (en) * | 2004-03-08 | 2012-02-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Unlicensed-radio access networks in mobile cellular communication networks |
CN1926817B (zh) * | 2004-03-09 | 2011-07-06 | 艾利森电话股份有限公司 | 通过非许可无线电接入网络的分组无线电传输 |
EP1740003A4 (en) * | 2004-03-31 | 2012-02-22 | Nec Corp | WIRELESS COMMUNICATION NETWORK SYSTEM AND COMMUNICATION SERVICE PROVISION METHOD, PROGRAM AND RECORDING MEDIUM FOR THE SYSTEM |
US20050245235A1 (en) * | 2004-04-29 | 2005-11-03 | Sarosh Vesuna | System and method for wireless network security |
KR100610872B1 (ko) * | 2004-05-07 | 2006-08-08 | 주식회사 케이티프리텔 | 와이파이 단말기의 사용자 서비스 인증 방법 및 장치 |
ES2311821T3 (es) * | 2004-05-12 | 2009-02-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Sistema de autenticacion. |
US7400731B2 (en) * | 2004-06-07 | 2008-07-15 | Jeou-Kai Lin | Scalable technique for ensuring real-time, end-to-end security in a multimedia mobile network |
JP3897034B2 (ja) * | 2004-07-28 | 2007-03-22 | 日本電気株式会社 | 無線lanシステム、無線lan端末、携帯網アクセスサーバ及びそれらに用いる認証方法 |
US7194763B2 (en) * | 2004-08-02 | 2007-03-20 | Cisco Technology, Inc. | Method and apparatus for determining authentication capabilities |
US7532607B1 (en) | 2004-11-04 | 2009-05-12 | At&T Intellectual Property Ii, L.P. | Ad-hoc IP closed user group networks |
US7917944B2 (en) * | 2004-12-13 | 2011-03-29 | Alcatel Lucent | Secure authentication advertisement protocol |
EP1834466B1 (en) * | 2004-12-30 | 2009-05-06 | Telecom Italia S.p.A. | Method and system for detecting attacks in wireless data communication networks |
US20060172697A1 (en) * | 2005-02-02 | 2006-08-03 | Gallego Fernando P | Information broadcasting and support system using mobile devices |
JP4173866B2 (ja) * | 2005-02-21 | 2008-10-29 | 富士通株式会社 | 通信装置 |
EP1878285B1 (en) * | 2005-04-26 | 2011-08-10 | Vodafone Group PLC | Fast user plane establishment in a telecommunications network |
US8010994B2 (en) * | 2005-05-16 | 2011-08-30 | Alcatel Lucent | Apparatus, and associated method, for providing communication access to a communication device at a network access port |
US8116287B2 (en) * | 2005-07-29 | 2012-02-14 | Microsoft Corporation | Transmitting a communication from a wireless access point indicating hidden networks |
US7876735B2 (en) * | 2005-07-29 | 2011-01-25 | Microsoft Corporation | Transmitting a communication from a wireless access point indicating available networks and their capabilities |
FR2889780A1 (fr) * | 2005-08-10 | 2007-02-16 | Alcatel Sa | Controle d'acces d'un equipement mobile a un reseau de communication ip par modification dynamique des politiques d'acces |
CN100454865C (zh) * | 2005-08-23 | 2009-01-21 | 华为技术有限公司 | 实现网络服务提供商域名发现的方法 |
FI20051061A0 (fi) * | 2005-10-21 | 2005-10-21 | Nokia Corp | Vertaisyhteyden luominen |
US8411616B2 (en) | 2005-11-03 | 2013-04-02 | Piccata Fund Limited Liability Company | Pre-scan for wireless channel selection |
US8559350B2 (en) * | 2005-12-20 | 2013-10-15 | Microsoft Corporation | Mechanism to convey discovery information in a wireless network |
US8478300B2 (en) | 2005-12-20 | 2013-07-02 | Microsoft Corporation | Proximity service discovery in wireless networks |
JP4851798B2 (ja) * | 2006-01-25 | 2012-01-11 | Necインフロンティア株式会社 | 無線通信システム、無線lan基地局及びそれらに用いる設定内容確認/変更方法 |
US20070180499A1 (en) * | 2006-01-31 | 2007-08-02 | Van Bemmel Jeroen | Authenticating clients to wireless access networks |
US20100169954A1 (en) * | 2006-02-22 | 2010-07-01 | Nec Corporation | Wireless Access System and Wireless Access Method |
US8745253B2 (en) * | 2006-03-08 | 2014-06-03 | Alcatel Lucent | Triggering DHCP actions from IEEE 802.1x state changes |
US10681151B2 (en) | 2006-05-15 | 2020-06-09 | Microsoft Technology Licensing, Llc | Notification framework for wireless networks |
US8326296B1 (en) | 2006-07-12 | 2012-12-04 | At&T Intellectual Property I, L.P. | Pico-cell extension for cellular network |
US8849297B2 (en) * | 2006-07-14 | 2014-09-30 | Qualcomm Incorporated | Call establishment and maintenance in a wireless network |
US8108904B1 (en) * | 2006-09-29 | 2012-01-31 | Juniper Networks, Inc. | Selective persistent storage of controller information |
US7912495B2 (en) * | 2006-11-06 | 2011-03-22 | Asustek Computer Inc. | Fixed bit rate wireless communications apparatus and method |
JP5263602B2 (ja) * | 2007-02-08 | 2013-08-14 | 日本電気株式会社 | アクセス制御システム、アクセス制御方法、電子装置、及び制御プログラム |
US8180323B2 (en) * | 2007-04-09 | 2012-05-15 | Kyocera Corporation | Non centralized security function for a radio interface |
US20080285545A1 (en) * | 2007-05-14 | 2008-11-20 | Broadcom Corporation | Voice over ip customer premises equipment |
US8045960B2 (en) * | 2007-05-31 | 2011-10-25 | Honeywell International Inc. | Integrated access control system and a method of controlling the same |
US7907735B2 (en) | 2007-06-15 | 2011-03-15 | Koolspan, Inc. | System and method of creating and sending broadcast and multicast data |
CN101132403B (zh) | 2007-08-08 | 2012-09-05 | 华为技术有限公司 | 业务授权方法及服务器 |
CN101442516B (zh) * | 2007-11-20 | 2012-04-25 | 华为技术有限公司 | 一种dhcp认证的方法、系统和装置 |
US8330122B2 (en) | 2007-11-30 | 2012-12-11 | Honeywell International Inc | Authenticatable mark, systems for preparing and authenticating the mark |
JP4891268B2 (ja) * | 2008-01-15 | 2012-03-07 | キヤノン株式会社 | 通信装置、制御方法、プログラム、記憶媒体 |
JP5538680B2 (ja) * | 2008-01-15 | 2014-07-02 | キヤノン株式会社 | 通信装置、制御方法、プログラム、記憶媒体 |
CN101217440B (zh) * | 2008-01-15 | 2011-03-30 | 杭州华三通信技术有限公司 | 无线局域网中ap接入ac的方法及接入设备 |
CN101232419B (zh) | 2008-01-18 | 2010-12-08 | 西安西电捷通无线网络通信股份有限公司 | 一种基于原语的无线个域网接入方法 |
CN101227362B (zh) * | 2008-01-18 | 2012-05-23 | 西安西电捷通无线网络通信股份有限公司 | 一种无线个域网接入方法 |
RU2519329C2 (ru) * | 2008-02-08 | 2014-06-10 | Колгейт-Палмолив Компани | Композиции и устройства |
US9105031B2 (en) * | 2008-02-22 | 2015-08-11 | Microsoft Technology Licensing, Llc | Authentication mechanisms for wireless networks |
US8819422B2 (en) * | 2008-04-22 | 2014-08-26 | Motorola Mobility Llc | System and methods for access control based on a user identity |
US8719420B2 (en) * | 2008-05-13 | 2014-05-06 | At&T Mobility Ii Llc | Administration of access lists for femtocell service |
US8522312B2 (en) | 2008-05-13 | 2013-08-27 | At&T Mobility Ii Llc | Access control lists and profiles to manage femto cell coverage |
US8090616B2 (en) | 2008-09-08 | 2012-01-03 | Proctor Jr James Arthur | Visual identification information used as confirmation in a wireless communication |
US8510801B2 (en) | 2009-10-15 | 2013-08-13 | At&T Intellectual Property I, L.P. | Management of access to service in an access point |
US8325644B2 (en) * | 2009-11-06 | 2012-12-04 | Qualcomm Incorporated | Mixed mode preamble design for signaling number of streams per client |
US8451784B2 (en) | 2009-11-06 | 2013-05-28 | At&T Mobility Ii Llc | Virtual neighbor objects for managing idle mode mobility in a wireless network |
CN102088388B (zh) * | 2009-12-02 | 2014-04-02 | 上海贝尔股份有限公司 | 自动分配/获取虚拟局域网配置信息的方法及设备 |
CN101771704B (zh) * | 2010-01-22 | 2016-03-30 | 中兴通讯股份有限公司 | 一种安全的数据传输的方法和系统 |
GB201008633D0 (en) * | 2010-05-24 | 2010-07-07 | Gigle Networks Iberia Sl | Communications apparatus |
JP5698475B2 (ja) * | 2010-07-29 | 2015-04-08 | キヤノン株式会社 | 通信装置、中継装置、通信装置の制御方法、中継装置の制御方法およびプログラム |
KR101587003B1 (ko) * | 2010-09-07 | 2016-01-20 | 삼성전자주식회사 | 무선 통신 시스템에서 와이 파이 연결 확인을 위한 장치 및 방법 |
WO2012078000A2 (ko) * | 2010-12-09 | 2012-06-14 | 엘지전자 주식회사 | 무선통신 시스템에서 단말 및 기지국 간 접속 방법 및 그 장치 |
US10169094B2 (en) * | 2011-04-27 | 2019-01-01 | Hewlett Packard Enterprise Development Lp | Dynamic transaction-persistent server load balancing |
US8495714B2 (en) * | 2011-07-20 | 2013-07-23 | Bridgewater Systems Corp. | Systems and methods for authenticating users accessing unsecured wifi access points |
CN102497378B (zh) * | 2011-12-15 | 2015-03-18 | 杭州华三通信技术有限公司 | 为客户端动态选择dhcp服务器的方法和装置 |
WO2013090940A1 (en) * | 2011-12-16 | 2013-06-20 | Huawei Technologies Co., Ltd. | System and method for concurrent address allocation and authentication |
WO2013153233A1 (en) * | 2012-04-13 | 2013-10-17 | Anyfi Networks Ab | End-to-end security in an ieee 802.11 communication system |
US9219541B2 (en) * | 2012-06-13 | 2015-12-22 | All Purpose Networks LLC | Baseband data transmission and reception in an LTE wireless base station employing periodically scanning RF beam forming techniques |
US8565689B1 (en) | 2012-06-13 | 2013-10-22 | All Purpose Networks LLC | Optimized broadband wireless network performance through base station application server |
US9503927B2 (en) | 2012-06-13 | 2016-11-22 | All Purpose Networks LLC | Multiple-use wireless network |
US9882950B2 (en) | 2012-06-13 | 2018-01-30 | All Purpose Networks LLC | Methods and systems of an all purpose broadband network |
US9084143B2 (en) | 2012-06-13 | 2015-07-14 | All Purpose Networks LLC | Network migration queuing service in a wireless network |
US10001791B2 (en) | 2012-07-27 | 2018-06-19 | Assa Abloy Ab | Setback controls based on out-of-room presence information obtained from mobile devices |
EP2878114B1 (en) * | 2012-07-27 | 2020-06-03 | Assa Abloy Ab | Presence-based credential updating |
US9144096B2 (en) | 2012-09-07 | 2015-09-22 | Qualcomm Incorporated | Systems, apparatus, and methods for association in multi-hop networks |
US9426837B2 (en) | 2012-09-07 | 2016-08-23 | Qualcomm Incorporated | Systems, apparatus and methods for association in multi-hop networks |
US9301276B2 (en) | 2012-09-07 | 2016-03-29 | Qualcomm Incorporated | Systems, apparatus, and methods for association in multi-hop networks |
CN104662873B (zh) | 2012-09-25 | 2018-06-26 | 汤姆逊许可公司 | 用于减少由迁移引起的核心网络流量的方法和装置 |
KR102336293B1 (ko) * | 2014-12-19 | 2021-12-07 | 삼성전자 주식회사 | 전자기기의 제어 방법 및 장치 |
CN105871964B (zh) * | 2015-01-23 | 2020-08-07 | 中兴通讯股份有限公司 | 用户设备ue处理方法及装置 |
CN104602229B (zh) * | 2015-02-04 | 2018-02-06 | 重庆邮电大学 | 一种针对wlan与5g融合组网应用场景的高效初始接入认证方法 |
US10200342B2 (en) * | 2015-07-31 | 2019-02-05 | Nicira, Inc. | Dynamic configurations based on the dynamic host configuration protocol |
US10237351B2 (en) * | 2015-11-23 | 2019-03-19 | Dojo-Labs Ltd | Sub-networks based security method, apparatus and product |
WO2017101070A1 (en) * | 2015-12-17 | 2017-06-22 | Intel Corporation | Fast moving scenario access point switching |
WO2017182012A1 (es) * | 2016-04-20 | 2017-10-26 | Bancoink Sas | Sistema microfinanciero digital de monedas |
CN106534117B (zh) * | 2016-11-10 | 2020-03-06 | 新华三技术有限公司 | 一种认证方法和装置 |
EP3662370B1 (en) | 2018-01-08 | 2023-12-27 | All Purpose Networks, Inc. | Internet of things system with efficient and secure communications network |
US10827019B2 (en) | 2018-01-08 | 2020-11-03 | All Purpose Networks, Inc. | Publish-subscribe broker network overlay system |
CN110401951B (zh) * | 2018-04-25 | 2022-10-18 | 华为技术有限公司 | 认证无线局域网中终端的方法、装置和系统 |
US10667099B2 (en) * | 2018-08-09 | 2020-05-26 | Goodrich Corporation | WAIC interface device |
US11930359B2 (en) * | 2020-09-26 | 2024-03-12 | Mcafee, Llc | Wireless access point with multiple security modes |
CN112788028A (zh) * | 2021-01-10 | 2021-05-11 | 何顺民 | 一种获取网络参数的方法和系统 |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6115376A (en) * | 1996-12-13 | 2000-09-05 | 3Com Corporation | Medium access control address authentication |
JP3529621B2 (ja) * | 1997-05-12 | 2004-05-24 | 株式会社東芝 | ルータ装置、データグラム転送方法及び通信システム |
US7233997B1 (en) * | 1997-06-26 | 2007-06-19 | British Telecommunications Plc | Data communications |
US6023464A (en) * | 1997-12-23 | 2000-02-08 | Mediaone Group, Inc. | Auto-provisioning of user equipment |
US7058414B1 (en) * | 2000-05-26 | 2006-06-06 | Freescale Semiconductor, Inc. | Method and system for enabling device functions based on distance information |
KR20010099946A (ko) * | 1998-12-23 | 2001-11-09 | 추후제출 | 음성/ip를 지원하는 무선 로컬 루프 시스템 |
AU5435600A (en) * | 1999-06-08 | 2000-12-28 | Telefonaktiebolaget Lm Ericsson (Publ) | Mobile internet access |
US6826160B1 (en) * | 1999-07-07 | 2004-11-30 | 3Com Corporation | Dynamic bandwidth allocation through multi-channel time slot assignment and migration for broadband access |
JP3570310B2 (ja) * | 1999-10-05 | 2004-09-29 | 日本電気株式会社 | 無線lanシステムにおける認証方法と認証装置 |
US6785823B1 (en) * | 1999-12-03 | 2004-08-31 | Qualcomm Incorporated | Method and apparatus for authentication in a wireless telecommunications system |
EP1128597B1 (en) * | 2000-02-22 | 2004-07-07 | Telefonaktiebolaget LM Ericsson (publ) | Method and arrangement in a communication network |
FI111208B (fi) * | 2000-06-30 | 2003-06-13 | Nokia Corp | Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä |
US6842463B1 (en) * | 2000-07-14 | 2005-01-11 | Nortel Networks Limited | Automated and adaptive management of bandwidth capacity in telecommunications networks |
US7120129B2 (en) * | 2001-03-13 | 2006-10-10 | Microsoft Corporation | System and method for achieving zero-configuration wireless computing and computing device incorporating same |
US20020174335A1 (en) * | 2001-03-30 | 2002-11-21 | Junbiao Zhang | IP-based AAA scheme for wireless LAN virtual operators |
US7181530B1 (en) * | 2001-07-27 | 2007-02-20 | Cisco Technology, Inc. | Rogue AP detection |
EP1451981A1 (en) * | 2001-10-29 | 2004-09-01 | MPNET International, Inc. | Method, system, and data structure for multimedia communications |
US7325246B1 (en) * | 2002-01-07 | 2008-01-29 | Cisco Technology, Inc. | Enhanced trust relationship in an IEEE 802.1x network |
-
2002
- 2002-01-18 DE DE60209858T patent/DE60209858T2/de not_active Expired - Lifetime
- 2002-01-18 ES ES02250352T patent/ES2258134T3/es not_active Expired - Lifetime
- 2002-01-18 AT AT04018185T patent/ATE345000T1/de not_active IP Right Cessation
- 2002-01-18 EP EP04018185A patent/EP1523129B1/en not_active Expired - Lifetime
- 2002-01-18 EP EP02250352A patent/EP1330073B1/en not_active Expired - Lifetime
- 2002-01-18 ES ES04018185T patent/ES2274358T3/es not_active Expired - Lifetime
- 2002-01-18 AT AT02250352T patent/ATE320684T1/de not_active IP Right Cessation
-
2003
- 2003-01-21 US US10/347,947 patent/US8045530B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
DE60209858D1 (de) | 2006-05-11 |
EP1523129A3 (en) | 2005-04-20 |
EP1523129A2 (en) | 2005-04-13 |
US20040208151A1 (en) | 2004-10-21 |
ATE345000T1 (de) | 2006-11-15 |
ATE320684T1 (de) | 2006-04-15 |
EP1330073B1 (en) | 2006-03-15 |
EP1523129B1 (en) | 2006-11-08 |
ES2258134T3 (es) | 2006-08-16 |
DE60209858T2 (de) | 2006-08-17 |
EP1330073A1 (en) | 2003-07-23 |
US8045530B2 (en) | 2011-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2274358T3 (es) | Metodo y aparato para el control del acceso de un dipositivo terminal inlambrico en una red de comunicaciones. | |
US7934094B2 (en) | Method, system and apparatus to support mobile IP version 6 services | |
US9445272B2 (en) | Authentication in heterogeneous IP networks | |
US7929528B2 (en) | System and method to support networking functions for mobile hosts that access multiple networks | |
CA2413944C (en) | A zero-configuration secure mobility networking technique with web-base authentication method for large wlan networks | |
US7155526B2 (en) | Method and system for transparently and securely interconnecting a WLAN radio access network into a GPRS/GSM core network | |
US6970459B1 (en) | Mobile virtual network system and method | |
ES2258487T3 (es) | Prevencion de la simulacion de identidad en sistemas de telecomunicacion. | |
EP1878169B1 (en) | Operator shop selection in broadband access related application | |
ES2662591T3 (es) | Procedimiento y servidor para la facilitación de una clave de movilidad | |
AU2005236981B2 (en) | Improved subscriber authentication for unlicensed mobile access signaling | |
ES2251459T3 (es) | Autenticacion en una red de tranmisison de datos por paquetes. | |
ES2349292T3 (es) | Procedimiento y servidor para proporcionar una clave de movilidad. | |
ES2337585T3 (es) | Procedimiento para transmitir paquetes de datos basados en el protocolo de transmision de ethernet entre al menos una unidad de comunicacion movil y un sistema de comunicaciones. | |
US20060171365A1 (en) | Method and apparatus for L2TP dialout and tunnel switching | |
ES2321878T3 (es) | Activacion forzada especifica para un abonado de proxy mobiles ip (pmip) en lugar de client mobile ip (cmip). | |
JP2008518566A (ja) | 無線ネットワーク用のセキュリティを提供するシステムおよび方法 | |
BRPI0611781A2 (pt) | método e equipamento para atribuição dinámica de endereço nativo por agente nativo em interfuncionamento de múltiplas redes | |
CN103108324A (zh) | 一种接入认证方法及系统 | |
JP3833932B2 (ja) | Ipアドレスを端末アイデンティティとして使用可能なipネットワーク | |
ES2616499T3 (es) | Aparatos y método para autenticación en redes de IP heterogéneas | |
JP2009124711A (ja) | ローカルネットワーク相互接続における移動端末に対してネットワークに基づくトンネルを設定する方法 |