ES2387599T3 - Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica - Google Patents

Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica Download PDF

Info

Publication number
ES2387599T3
ES2387599T3 ES09013590T ES09013590T ES2387599T3 ES 2387599 T3 ES2387599 T3 ES 2387599T3 ES 09013590 T ES09013590 T ES 09013590T ES 09013590 T ES09013590 T ES 09013590T ES 2387599 T3 ES2387599 T3 ES 2387599T3
Authority
ES
Spain
Prior art keywords
authentication
access
wlan
iwf
wireless device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES09013590T
Other languages
English (en)
Inventor
Raymond T. Hsu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qualcomm Inc
Original Assignee
Qualcomm Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qualcomm Inc filed Critical Qualcomm Inc
Application granted granted Critical
Publication of ES2387599T3 publication Critical patent/ES2387599T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Un aparato (204) de función de interoperación, IWF, en comunicación con una red (202) de área local inalámbrica, WLAN, y una red de comunicación celular, que se comunica con un dispositivo (208) inalámbrico, estando el aparato (204) de IWF adaptado para determinar una capacidad de autenticación asociada al dispositivo (208) inalámbrico a partir de una base (210) de datos usando una identidad recibida de dicho dispositivo (208) inalámbrico, en el que dicha capacidad de autenticación comprende bien un algoritmo de autenticación celular y cifrado de voz, CAVE, o bien un algoritmo de acuerdo de clave de autenticación, AKA, comprendiendo el aparato (204) de IWF: dicha base (210) de datos adaptada para almacenar la capacidad de autenticación correspondiente al dispositivo (208) inalámbrico; una interfaz de WLAN configurada para: enviar, a través de la WLAN (202), un desafío de acceso al dispositivo (208) inalámbrico basándose en dicha capacidad de autenticación determinada; y recibir, a través de la WLAN (202), una petición de acceso desde el dispositivo (208) inalámbrico para acceder a la WLAN, conteniendo la petición de acceso una respuesta al desafío de acceso desde el dispositivo (208) inalámbrico, en el que la respuesta al desafío de acceso es generada por el dispositivo (208) inalámbrico basándose en una clave de autenticación predeterminada; y una interfaz de control de acceso, AC, configurada para transmitir una petición de autenticación a la red de comunicación celular, y para recibir una respuesta de autenticación generada por la red de comunicación celular basándose en la clave de autenticación predeterminada, en la cual se determina si el aparato de IWF posee información necesaria para autenticar el dispositivo inalámbrico (208) para acceder a la WLAN, en el cual la solicitud de autenticación se transmite a la red de comunicación celular si el aparato de IWF no posee la información necesaria para autenticar el dispositivo inalámbrico (208) para acceder a la WLAN, y en el cual la solicitud de autenticación no se transmite a la red de comunicación celular si se determina que el aparato de IWF ya posee la información necesaria para autenticar el dispositivo inalámbrico para acceder a la WLAN.

Description

Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica.
Descripción
Antecedentes
Campo
La presente invención se refiere a una función de interoperación para un sistema de comunicación y, más específicamente, a mecanismos para la autenticación común y el intercambio de claves a través de una función de interoperación para su uso en una red de área local inalámbrica (WLAN).
Antecedentes
Una red de área local inalámbrica (WLAN) permite a los usuarios un acceso prácticamente sin restricciones a redes de servicios y datos del protocolo de Internet (IP). El uso de una WLAN no se limita a ordenadores portátiles y otros dispositivos informáticos, sino que se está expandiendo rápidamente para incluir teléfonos móviles, asistentes digitales personales (PDA) y otros pequeños dispositivos inalámbricos con soporte por parte de una red o portadora externa. Por ejemplo, un dispositivo inalámbrico que se comunica a través de una portadora celular puede itinerar hacia una WLAN en un cibercafé o espacio de trabajo. En esta situación, el dispositivo inalámbrico tiene acceso al sistema celular, pero desea acceder a la WLAN. El acceso a la WLAN requiere autenticación. Como el dispositivo inalámbrico ya ha obtenido acceso al sistema celular, la necesidad de otra autenticación es redundante. Hay una necesidad, por tanto, de una función de interoperación que permita una autenticación común para el acceso a un sistema celular y a una WLAN. Se reclama atención al artículo “Wireless LAN Access Architecture for Mobile Operators” [“Arquitectura de acceso a LAN inalámbrica para operadores móviles”]: Ala-Laurila, J et al. Revista de Comunicación de IEEE, páginas 82 a 89, noviembre de 2001; Centro de Servicio de IEEE, Piscataway, N.J., EE UU. El artículo describe una arquitectura de sistema de LAN que combina tecnología de acceso por radio a WLAN con funciones de gestión de abonados basadas en el SIM del operador móvil e infraestructuras de itinerancia. En el sistema revelado el acceso a la WLAN es autenticado y facturado usando el SIM del GSM.
También se reclama atención al documento US 6 128 389 A, que da a conocer un centro de autenticación segura (SAC) que puede acoplarse a sistemas de gestión segura de claves de autenticación (SAMS) de diversos proveedores de sistemas de comunicación. En un ejemplo del proceso de autenticación para estaciones móviles a las que dan servicio sistemas basados en IS-41 usando el algoritmo CAVE de autenticación celular y cifrado de voz, un sistema de servicio transmite un indicador de desafío global y un número aleatorio a la estación móvil. En respuesta, la estación móvil genera una señal de autenticación. El sistema de servicio envía la señal de autenticación al SAC. Si el SAC no dispone de datos secretos compartidos (SSD), o quiere actualizar los SSD, el SAC transmite una petición al SAMS.
Resumen
Según la presente invención, se proporcionan un aparato de Función de Interoperación, IWF, en comunicación con una red de área local inalámbrica, WLAN, y una red de comunicación celular en comunicación con un dispositivo inalámbrico, según lo estipulado en la reivindicación 1, y un procedimiento para autenticar un dispositivo inalámbrico por parte de una red de comunicación celular para acceder a una red de área local inalámbrica, WLAN, según lo estipulado en la reivindicación 3, y un producto de programa de ordenador, según lo estipulado en la reivindicación 7. Realizaciones adicionales se reivindican en las reivindicaciones dependientes.
Breve descripción de los dibujos
La FIG. 1 es un sistema de comunicación que incluye una red de área local inalámbrica (WLAN).
La FIG. 2 es un sistema de comunicación que tiene una unidad de función de interoperación (IWF).
La FIG. 3 es un diagrama de sincronismo de un proceso de autenticación en un sistema de comunicación
La FIG. 4 es un diagrama de flujo de un proceso de autenticación.
La FIG. 5 es un diagrama de sincronismo de un proceso de autenticación en un sistema de comunicación.
La FIG. 6 es un diagrama de flujo de un proceso de autenticación en una IWF en un sistema de comunicación.
La FIG. 7 es un diagrama de flujo del procesamiento de autenticación en una estación móvil.
Descripción detallada
El término “ejemplar” se usa en el presente documento con el significado de “que sirve como un ejemplo, caso o ilustración“. Cualquier realización descrita en el presente documento como “ejemplar” no debe interpretarse necesariamente como preferida o ventajosa respecto a otras realizaciones.
Una estación de abonado HDR, denominada en el presente documento un terminal de acceso (AT), puede ser móvil
o fija, y puede comunicarse con una o más estaciones base HDR, denominadas en el presente documento transceptores de banco de módems (MPT). Un terminal de acceso transmite y recibe paquetes de datos a través de uno o más transceptores de banco de módems a un controlador de estación base HDR, denominado en el presente documento un controlador de banco de módems (MPC). Los transceptores de banco de módems y controladores de banco de módems son partes de una red denominada red de acceso. Una red de acceso transporta paquetes de datos entre múltiples terminales de acceso. La red de acceso puede estar conectada además a redes adicionales fuera de la red de acceso, tales como una intranet corporativa o Internet, y puede transportar paquetes de datos entre cada terminal de acceso y tales redes externas. Un terminal de acceso que ha establecido una conexión de canal de tráfico activo con uno o más transceptores de banco de módems se denomina terminal de acceso activo, y se dice que está en estado de tráfico. Un terminal de acceso que está en el proceso de establecer una conexión de canal de tráfico activo con uno o más transceptores de banco de módems se dice que está en un estado de establecimiento de conexión. Un terminal de acceso puede ser cualquier dispositivo de datos que se comunica a través de una canal inalámbrico o a través de un canal por cable usando, por ejemplo, fibra óptica o cables coaxiales. Un terminal de acceso puede ser además cualquiera entre varios tipos de dispositivos que incluyen, pero no se limitan a, tarjeta de PC, tarjeta Compact Flash, módem externo o interno, o teléfono inalámbrico o de línea fija. El enlace de comunicación a través del cual el terminal de acceso envía señales al transceptor de banco de módems se denomina enlace inverso. El enlace de comunicación a través del cual un transceptor de banco de módems envía señales a un terminal de acceso se denomina enlace directo.
Se ilustra una red 100 de de área local inalámbrica (WLAN) en la FIG. 1 que tiene múltiples puntos 106, 108, 110 de acceso (AP). Un AP es un concentrador o puente que proporciona un control de topología en estrella del lado inalámbrico de la WLAN 100, así como acceso a la red por cable.
Cada AP 106, 108, 110, así como otros no mostrados, da soporte a una conexión a un servicio de datos, tal como Internet. Una estación 102 de trabajo, tal como un ordenador portátil, u otro dispositivo informático digital, se comunica con un AP a través de la interfaz aérea, de ahí la expresión LAN Inalámbrica. El AP se comunica entonces con un servidor de autenticación (AS) o centro de autenticación (AC). El AC es un componente para realizar servicios de autenticación para dispositivos que solicitan su admisión a una red. Las implementaciones incluyen el servicio de usuario de acceso telefónico de autenticación remota (RADIUS), que es una autenticación de usuario de Internet descrita en el documento RFC 2138, “Remote Autentication Dial in User Service (RADIUS)” [“Servicio de usuario de acceso telefónico de autenticación remota (RADIUS)”] de C. Rigney et al., publicado en abril de 1997, y otros servidores de autenticación, autorización y contabilidad (AAA).
La conexión inalámbrica a redes está surgiendo como un aspecto significativo de la operación entre redes. Presenta un conjunto de aspectos únicos basado en el hecho de que el único límite de una red inalámbrica es la intensidad de la señal de radio. No hay ningún cableado para definir la pertenencia como miembro en una red. No hay ningún procedimiento físico que restrinja a un sistema dentro del alcance de radio para que sea un miembro de una red inalámbrica. La conexión inalámbrica a redes, más que cualquier otra tecnología de conexión a redes, necesita un mecanismo de control de acceso y autenticación. Diversos grupos están trabajando actualmente en el desarrollo de un mecanismo de autenticación estándar. Actualmente, la norma aceptada es la IEEE 802.11.
La naturaleza de una red basada en RF la deja abierta a la interceptación de paquetes por cualquier radio dentro del alcance de un transmisor. La interceptación puede producirse bastante lejos del alcance de “trabajo” de los usuarios, usando antenas de alta ganancia. Con herramientas fácilmente disponibles, el intruso no se limita simplemente a recopilar paquetes para su análisis posterior, sino que puede ver efectivamente sesiones interactivas, como páginas web que está visualizando un usuario inalámbrico válido. Un intruso también puede captar intercambios de autenticación débiles, como algunos inicios de sesión en sedes de la web. El intruso podría duplicar después el inicio de sesión y obtener acceso.
Una vez que un atacante ha obtenido el conocimiento de cómo una WLAN controla la admisión, puede o bien obtener su admisión a la red por sí mismo, o bien robar un acceso de usuario válido. Robar un acceso de usuario es sencillo si el atacante puede imitar la dirección MAC del usuario válido y usar su dirección IP asignada. El atacante espera hasta que el sistema válido deje de usar la red y entonces asume su posición en la red. Esto permitiría a un atacante el acceso directo a todos los dispositivos dentro de una red, o usar la red para obtener acceso a la red más amplia de Internet, pareciendo en todo momento ser un usuario válido de la red atacada. Por tanto, la autenticación y el cifrado se convierten en asuntos clave en la implementación de una WLAN.
La autenticación es el proceso de probar la identidad de un individuo o una aplicación en una comunicación. Tal identificación permite al proveedor de servicios verificar la entidad como un usuario válido y también verificar al usuario para los servicios específicos solicitados. La autenticación y la autorización tienen en realidad significados muy específicos, aunque los dos sustantivos se usan a menudo de manera intercambiable, y en la práctica a menudo no se distinguen claramente.
La autenticación es el proceso en el que un usuario establece el derecho a una identidad, en esencia, el derecho a usar un nombre. Existe un gran número de técnicas que pueden usarse para autenticar un usuario, contraseñas, técnicas biométricas, tarjetas inteligentes y certificados.
Un nombre o una identidad tiene atributos asociados al mismo, o a la misma. Los atributos pueden estar estrechamente ligados a un nombre (por ejemplo, en una carga útil de certificado) o pueden almacenarse en un directorio u otra base de datos con una clave correspondiente al nombre. Los atributos pueden cambiar con el tiempo.
La autorización es el proceso de determinar si una identidad (más un conjunto de atributos asociados a esa identidad) tiene permiso para realizar alguna acción, tal como acceder a un recurso. Obsérvese que el permiso para realizar una acción no garantiza que pueda realizarse la acción. Obsérvese que las decisiones de autenticación y autorización pueden tomarse en diferentes puntos, por diferentes entidades.
En una red celular, la característica de autenticación es una capacidad de red que permite que redes celulares validen la identidad de un dispositivo inalámbrico, reduciendo de ese modo el uso no autorizado de redes celulares. El proceso es transparente para los abonados. No se requiere que los clientes hagan nada para autenticar la identidad de sus teléfonos cuando realizan una llamada.
La autenticación normalmente implica un esquema criptográfico, en el que el proveedor de servicios y el usuario tienen cierta información compartida y cierta información privada. La información compartida se denomina normalmente “secreto compartido”.
La clave A
La clave de autenticación (clave A) es un valor secreto que es único para cada teléfono celular individual. Se registra en el proveedor de servicios celulares y se almacena en el teléfono y en el centro de autenticación (AC). La clave A es programada en el teléfono por el fabricante. También puede introducirla manualmente el usuario, desde el menú del dispositivo inalámbrico, o bien mediante un terminal especial en el punto de venta.
El dispositivo inalámbrico y el AC deben tener la misma clave A para producir los mismos cálculos. La función principal de la clave A es ser usada como parámetro para calcular los datos secretos compartidos (SSD).
Los datos secretos compartidos (SSD)
Se usan SSD como entrada para cálculos de autenticación en el dispositivo inalámbrico y el AC, y se almacenan en ambos lugares. A diferencia de la clave A, los SSD pueden modificarse a través de la red. El AC y el dispositivo inalámbrico comparten tres elementos que entran en el cálculo de los SSD: 1) el número de serie electrónico (ESN); 2) la clave de autenticación (clave A) y 3) un número aleatorio para el cálculo de datos secretos compartidos (RANDSSD).
El ESN y el RANDSSD se transmiten a través de la red y a través de la interfaz aérea. Los SSD se actualizan cuando un dispositivo realiza su primer acceso al sistema, y posteriormente de manera periódica. Cuando se calculan los SSD, el resultado son dos valores separados, SSD-A y SSD-B. SSD-A se usa para la autenticación. SSD-B se usa para el cifrado y la privacidad de voz.
Según las capacidades del sistema de servicio, los SSD pueden compartirse o no compartirse entre el AC y el centro de conmutación móvil (MSC) de servicio. Si se comparten datos secretos, significa que el AC los enviará al MSC de servicio y el MSC de servicio debe poder ejecutar el algoritmo CAVE. Si no se comparten, el AC guardará los datos y realizará la autenticación.
El modo de compartir afecta a cómo se lleva a cabo un desafío de autenticación. Un desafío de autenticación es un mensaje enviado para plantear un desafío sobre la identidad del dispositivo inalámbrico. Básicamente, el desafío de autenticación envía cierta información, normalmente datos numéricos aleatorios, para su procesamiento por el usuario. Entonces el usuario procesa la información y envía una respuesta. Se analiza la respuesta para la verificación del usuario. Con datos secretos compartidos, un desafío se gestiona en el MSC de servicio. Con datos secretos no compartidos, un desafío es gestionado por el AC. Compartiendo datos secretos, el sistema puede minimizar la cantidad de tráfico enviado y permitir que se produzcan desafíos más rápidamente en el conmutador de servicio.
Procedimientos de autenticación
En un sistema dado, un registro de posición base (HLR) controla el proceso de autenticación actuando como intermediario entre el MSC y el AC. Se configura el MSC de servicio para que dé soporte a la autenticación con el HLR del móvil y viceversa.
El dispositivo inicia el proceso notificando al MSC de servicio si puede realizar la autenticación, estableciendo un campo de autorización en el tren de mensajes de sobregasto. En respuesta, el MSC de servicio inicia el proceso de registro / autenticación con una petición de autenticación.
Enviando la petición de autenticación, el MSC de servicio le dice al HLR / AC si puede realizar cálculos de CAVE. El AC controla cuál de los MSC de servicio, así como cuáles capacidades de dispositivo, se usarán entre los disponibles. Cuando el MSC de servicio no dispone de capacidad para CAVE, no pueden compartirse los SSD entre el AC y MSC y, por tanto, todos los procesos de autenticación se realizan en el AC.
El propósito de la petición de autenticación (AUTHREQ) es autenticar el teléfono y solicitar SSD. La AUTHREQ contiene dos parámetros para la autenticación, los parámetros AUTHR y RAND. Cuando el AC obtiene la AUTHREQ, usa el RAND y los últimos SSD conocidos para calcular AUTHR. Si coincide con el AUTHR enviado en la AUTHREQ, entonces la autenticación es satisfactoria. El resultado devuelto a la AUTHREQ contendrá los SSD si pueden compartirse.
El desafío
El proceso de autenticación consiste en un diálogo de desafío y respuesta. Si se comparten SSD, se ejecuta el diálogo entre el MSC y el dispositivo. Si no se comparten SSD, se ejecuta el diálogo entre el HLR / AC y el dispositivo. Según el tipo de conmutación, el MSC puede realizar un desafío único, un desafío global, o bien ambos. Algunos MSC no pueden actualmente realizar un desafío global. El desafío único es un desafío que sólo se produce durante intentos de llamada, porque usa el canal de voz. El desafío único presenta una autenticación a un único dispositivo durante el origen de la llamada y la entrega de la llamada. El desafío global es un desafío que se produce durante el registro, el origen de la llamada y la entrega de la llamada. El desafío global presenta un desafío de autenticación a todas las MS que estén usando un canal de control de radio particular. Se denomina desafío global porque se difunde por el canal de control de radio, y el desafío es usado por todos los teléfonos que acceden a ese canal de control.
Durante un desafío, el dispositivo responde a un número aleatorio proporcionado por el MSC o el AC. El dispositivo usa el número aleatorio y los datos secretos compartidos almacenados en el dispositivo para calcular una respuesta al MSC. El MSC también usa el número aleatorio y los datos secretos compartidos para calcular cuál debería ser la respuesta desde el dispositivo. Estos cálculos se realizan a través del algoritmo CAVE. Si las respuestas no son iguales, se deniega el servicio. El proceso de desafío no aumenta la cantidad de tiempo que lleva conectar la llamada. De hecho, la llamada puede continuar en algunos casos, sólo para interrumpirse cuando fracasa la autenticación.
Las redes de área local inalámbricas (WLAN) han adquirido una tremenda popularidad como medio de proporcionar a los usuarios un acceso sin cables a redes de datos de IP. Las redes inalámbricas de tercera generación (3G) también están diseñadas para ofrecer acceso a datos de alta velocidad; aunque las velocidades de datos a las que dan soporte normalmente son inferiores a las de las WLAN, las redes 3G ofrecen una cobertura de datos sobre una zona mucho más amplia. Aunque podrían verse como competidores, las redes WLAN y 3G pueden ser complementarias: las WLAN ofrecen cobertura de “puntos calientes” de alta capacidad en zonas públicas tales como salas de aeropuertos y vestíbulos de hoteles, mientras que las redes 3G pueden proporcionar a los usuarios un servicio de datos casi ubicuo cuando están en movimiento. Por tanto, el mismo operador puede proporcionar servicios de acceso tanto a 3G como a WLAN con una única suscripción de usuario. Esto significa que la MS usa el mismo procedimiento de autenticación y el mismo secreto para ambos tipos de autenticación de acceso.
En una autenticación de acceso a 3G, el centro de autenticación (AC) autentica la MS. El AC y la MS tienen un secreto compartido. Del lado de la red, el secreto compartido se almacena de manera segura en el AC y no se distribuye a ninguna otra entidad de red. Del lado de la MS, el secreto compartido se almacena de manera segura en la memoria con seguridad y no se distribuye fuera de ésta. El AC y la MS usan o bien el algoritmo de autenticación celular y cifrado de voz (CAVE) o bien el de acuerdo de clave de autenticación (AKA) como algoritmo de autenticación. Los parámetros de autenticación se entregan entre la MS y el AC a través de mensajes de señalización aéreos de 3G y mensajes de señalización por la red (por ejemplo, IS-41).
En la autenticación de acceso a WLAN, es deseable que la MS sea autenticada por el mismo AC usando el mismo secreto compartido y algoritmo de autenticación (AKA o CAVE). Sin embargo, se usan diferentes mecanismos para entregar los parámetros de autenticación en la WLAN. Específicamente, los parámetros de autenticación se entregan a través del protocolo de autenticación extensible (EAP) y un protocolo AAA (RADIUS o Diameter). El desafío es hacer interoperar los mecanismos de entrega entre 3G y WLAN de modo que los parámetros de autenticación puedan entregarse entre la MS y el AC para la autenticación de acceso a la WLAN.
Tal como se estableció anteriormente, el algoritmo CAVE se usa comúnmente para comunicaciones celulares y, por tanto, está ampliamente usado y distribuido. También se usan algoritmos alternativos para la autenticación. Específicamente, en comunicaciones de datos existe una gran variedad de algoritmos de complejidad y aplicación variables. Para coordinar estos mecanismos, se ha desarrollado el protocolo de autenticación extensible (EAP) como un marco de protocolo general que da soporte a múltiples mecanismos de autenticación y distribución de claves. El EAP se describe en el documento “PPP Extensible Autentication Protocol (EAP)” [“Protocolo PPP de autenticación extensible”] de L. Blunk et al., RFC 2284, publicado en marzo de 1998.
Un mecanismo de este tipo con soporte por parte del EAP, según se define en el documento “EAP AKA Autentication” [“Autenticación AKA del EAP”] de J. Arkko et al., publicado como un borrador de Internet en febrero de 2002, es el algoritmo AKA. Existe una necesidad, por tanto, de extender el EAP para que incluya el algoritmo celular CAVE. Esto es deseable para proporcionar compatibilidad con versiones anteriores para nuevos sistemas y redes.
EAP
El protocolo de autenticación extensible (EAP) es un protocolo general para la autenticación que da soporte a múltiples mecanismos de autenticación. El EAP no selecciona un mecanismo de autenticación específico durante la configuración y el control de los enlaces, sino que más bien pospone esto hasta que comienza el procedimiento de autenticación. Esto permite al autenticador solicitar más información antes de determinar el mecanismo de autenticación específico. El autenticador se define como el extremo del enlace que requiere la autenticación. El autenticador especifica el protocolo de autenticación que va a usarse durante el establecimiento del enlace.
Función de interoperación (IWF)
Según una realización, se implementa una nueva entidad de red y se denomina función de interoperación (IWF) o más específicamente, la función de interoperación (IWF) AAA / IS-41. La IWF realiza la interoperación de los mecanismos de entrega de los parámetros de autenticación (por ejemplo, CAVE, AKA) entre redes inalámbricas, tales como redes 3G y WLAN. Se ilustra una IWF 204 en la FIG. 2 como parte de un sistema 200 de comunicación. El sistema 200 incluye una WLAN 202, una IWF 204 y un AC 206. Como se ilustra, una estación 208 de trabajo está actualmente dentro del alcance de comunicación de la WLAN 202. La IWF 204 proporciona una interfaz entre el AC 206 y la WLAN 202, que permite el uso de una autenticación común para permitir que la MS 208 obtenga acceso a la red. Obsérvese que la MS 208 puede ser una estación de trabajo inalámbrica, un usuario remoto u otro dispositivo inalámbrico que pueda comunicarse a través de una red distinta a la WLAN 202, que en este caso es la red de la que el AC 206 es una parte.
La IWF 204 es una función de interoperación unidireccional, es decir, la petición de autenticación se origina desde la WLAN 202. Obsérvese que en la presente realización e ilustración, AAA es el mecanismo de entrega para transportar parámetros de autenticación entre la WLAN 202 y la IWF 204. Además, IS-41 es el mecanismo de entrega para transportar parámetros de autenticación entre la IWF 204 y el AC 206. De manera específica en este ejemplo, se usará RADIUS como protocolo AAA.
En la FIG. 3 se ilustra el procesamiento de autenticación. Inicialmente, la IWF 204 recibe un mensaje de petición de acceso de RADIUS que contiene la identidad de la MS 208 (o estación de trabajo inalámbrica) que desea realizar la autenticación para el acceso a la WLAN 202. La IWF 204 está configurada con una base 210 de datos que almacena la capacidad de autenticación asociada con la MS 208, así como otra MS 208 registrada actualmente a través del AC 206. La base 210 de datos está indizada por cada identidad de la MS 208. Por tanto, la IWF 204 puede determinar la capacidad de autenticación de la MS 208 (por ejemplo, AKA y / o CAVE).
Si la MS 208 sólo da soporte a CAVE, la IWF 204 realiza el siguiente procedimiento concordante con la FIG. 3. La IWF envía un mensaje de desafío de acceso de RADIUS que contiene un mensaje de petición del EAP que contiene un desafío de CAVE. Como se ha expuesto anteriormente en el presente documento, el desafío contiene un número aleatorio que va a usar la MS 208 para calcular una respuesta de autenticación. La IWF 204 recibe el mensaje de petición de acceso de RADIUS que contiene el mensaje de respuesta del EAP (que contiene la respuesta al desafío de CAVE). La respuesta de CAVE contiene la respuesta de autenticación de la MS 208, es decir, el resultado de los cálculos usando el número aleatorio, y otros parámetros específicos de la MS 208.
Si la IWF 204 no es capaz de verificar el mensaje de respuesta del EAP o, específicamente, no es capaz de verificar la respuesta de CAVE al desafío de CAVE, la IWF 204 envía un mensaje de AUTHREQ, que es un mensaje de IS41, al AC 206. En este caso, la IWF 204 no dispone de la información necesaria para confirmar la respuesta al desafío. El mensaje de AUTHREQ contiene la IMSI asignada a la MS 208, el número aleatorio (es decir, el desafío) y la respuesta de autenticación producida por la MS 208. El AC 206, que tiene conocimiento del secreto compartido específico de la MS 208, verifica entonces la respuesta al desafío de la MS 208. El AC 206 devuelve el mensaje de AUTHREQ, que es un mensaje de IS-41, a la IWF. El mensaje de AUTHREQ contiene el resultado de la autenticación. Si es satisfactorio, el mensaje de AUTHREQ también contiene una clave denominada clave del algoritmo de cifrado de mensajes celulares (CMEA), que se usa para proteger el tráfico de la MS 208 en la WLAN
202. Si la IWF 204 no es capaz de recibir el mensaje de AUTHREQ desde el AC 206 tras un número de reintentos predeterminado, la IWF 204 envía el mensaje de rechazo de acceso de RADIUS que contiene el fracaso del EAP para la WLAN 202. La incapacidad para recibir un mensaje de AUTHREQ puede indicar problemas de red entre la IWF 204 y el AC 206.
Si la IWF 204 es capaz de verificar la respuesta al desafío desde la MS 208, y tal verificación es satisfactoria, la IWF 204 genera la clave de CMEA. Si la MS 208 se autentica satisfactoriamente, la IWF 204 envía un mensaje de aceptación de acceso de RADIUS a la WLAN 202. Un mensaje de este tipo contiene un mensaje de éxito del EAP así como la clave de CMEA. Si la MS 208 fracasa en la autenticación, la IWF 204 envía un mensaje de rechazo de acceso de RADIUS que contiene un mensaje de fracaso del EAP a la WLAN 202.
La FIG. 4 ilustra un proceso 400 de autenticación según una realización, en el que la MS 208 da soporte al protocolo CAVE. El proceso se inicia cuando la MS 208 y la WLAN 202 empiezan las negociaciones de identificación en la etapa 402. También en esta etapa, la WLAN 202 envía un mensaje de petición de acceso de RADIUS que contiene la identidad de la MS 208. Como se ha indicado anteriormente en el presente documento, la identidad puede proporcionarse por medio de la IMSI u otro identificador único para la MS 202. El proceso implica que la MS 208 trate de acceder a la WLAN 202 y, en respuesta, la WLAN 202 solicite la identificación de la MS 208, etapa 402. En este punto, la IWF 204 envía un mensaje de desafío de acceso de RADIUS a la WLAN 202, que contiene el desafío de CAVE en la etapa 404. En respuesta al desafío, la MS 208 calcula una respuesta y proporciona la respuesta a la WLAN 208 (no mostrado). La respuesta se envía entonces a la IWF 204 en un mensaje de respuesta de acceso de RADIUS en la etapa 406. Si la IWF 204 no dispone de conocimiento del secreto compartido para la MS 208 en el rombo 408 de decisión, el procesamiento continúa hacia la etapa 410 en la que la IWF 204 envía un mensaje de AUTHREQ al AC 206. El mensaje de AUTHREQ solicita la autenticación de la MS 208. Si se devuelve un mensaje de AUTHREQ en el rombo 412 de decisión, el procesamiento continúa hacia el rombo 414 de decisión para determinar si el mensaje de AUTHREQ indica una autenticación satisfactoria, es decir, el resultado de la autenticación es la aprobación para el acceso a la WLAN. Si no se recibe el mensaje de AUTHREQ en el rombo 412 de decisión, el procesamiento continúa hacia la etapa 416, en la que la IWF envía un mensaje de rechazo de acceso de RADIUS.
Continuando desde el rombo 408 de decisión, si la IWF 204 tiene conocimiento de la información secreta compartida de la MS 208, la IWF 204 es capaz de determinar si la autenticación es satisfactoria en el rombo 418 de decisión. Una autenticación satisfactoria avanza a la etapa 420 para calcular la clave de CMEA. Un mensaje de aceptación de acceso de RADIUS se envía entonces en la etapa 424. Obsérvese que una autenticación satisfactoria en la etapa 414 (para la autenticación por el AC 206) también avanza a la etapa 420. Desde el rombo 418 de decisión, si la autenticación no es satisfactoria, la IWF envía un mensaje de rechazo de acceso de RADIUS en la etapa 422.
En una realización alternativa, la IWF 204 usa el protocolo AKA para enviar un desafío. Como se ilustra en la FIG. 5, si la MS 208 da soporte al AKA, la IWF 204 implementa el desafío de AKA, y se cambia el orden del procesamiento de autenticación. En este escenario, la información suficiente para autenticar un usuario, tal como la MS 208, se proporciona en un vector de autenticación (AV). Obsérvese que el AC 206 puede enviar la información del secreto compartido (SS) en el AV a la IWF 204. Según la presente realización, el AV incluye el SS, el desafío y una clave de cifrado (CK). La CK se usa para cifrar tráfico de la MS.
Si la IWF 204 no dispone del vector de autenticación (AV) para autenticar la MS 208, la IWF 204 envía un mensaje de AUTHREQ para solicitar el AV al AC 206. El mensaje de AUTHREQ contiene la identidad de la MS 208, tal como la IMSI, y la petición del AV. El AC 206 responde con el mensaje de AUTHREQ que contiene el AV. El AV consiste en un número aleatorio (RAND), una respuesta esperada (XRES), una clave de cifrado (CK) y un testigo de autenticación (AUTN). El AC puede proporcionar múltiples AV en el mensaje de AUTHREQ, de modo que no sea necesario que la IWF solicite al AC 206 una autenticación posterior.
Si la IWF 204 no puede recibir el mensaje de AUTHREQ desde el AC 206 (lo que puede ser tras cierto número predeterminado de reintentos), la IWF 204 envía un mensaje de rechazo de acceso de RADIUS que contiene un mensaje de fracaso del EAP a la WLAN 202, tal como cuando existen problemas de red entre la IWF 204 y el AC
206.
Si la AUTHREQ recibida no contiene el AV, la IWF 204 envía el mensaje de rechazo de acceso de RADIUS que contiene el mensaje de fracaso del EAP a la WLAN 202. Por ejemplo, un caso de este tipo puede presentarse cuando la MS 202 tiene una suscripción que ha caducado.
Si la IWF 204 tiene el AV, la IWF 204 envía un mensaje de desafío de acceso de RADIUS, que contiene un mensaje de petición del EAP que tiene un desafío del AKA, a la WLAN 202. El desafío del AKA contiene el AUTN y el RAND. El AUTN lleva las credenciales del AC 206 y será verificado por la MS 208. El RAND es un desafío para la MS 208 que se usa para calcular una respuesta de autenticación (RES). La MS 208 proporciona la RES a la WLAN 202.
La IWF 204 recibe el mensaje de petición de acceso de RADIUS, que contiene una respuesta del EAP que incluye un desafío de CAVE, desde la WLAN 202. El desafío de CAVE contiene la respuesta de autenticación (RES) de la MS 208 recibida a través de la WLAN 202. La IWF 204 compara la RES con XRES. Para una coincidencia, la MS 208 se autentica satisfactoriamente, y la IWF 204 envía un mensaje de aceptación de acceso de RADIUS a la WLAN
202. Un mensaje de este tipo contiene un mensaje de éxito del EAP y una CK. La CK se usará para proteger el tráfico de la MS 208 en la WLAN 202. Si la MS 208 fracasa en la autenticación, la IWF 204 envía un mensaje de rechazo de acceso de RADIUS, que contiene un mensaje de fracaso del EAP, a la WLAN 202.
La FIG. 6 ilustra un procedimiento 500 de autenticación que usa el AV. Si la IWF 204 tiene el AV suficiente para verificar la MS 208 en el rombo 502 de decisión, el proceso continúa hasta la etapa 506; si no, el procesamiento continúa hacia la etapa 504. En la etapa 506, la IWF 204 envía un mensaje de desafío de acceso de RADIUS a la WLAN 202 para la MS 208. El desafío se remite entonces a la MS 208 para su procesamiento, y se proporciona una respuesta de vuelta a la WLAN 202 (no mostrado). La IWF 204 recibe el mensaje de petición de acceso de RADIUS en la etapa 510, y determina si la autenticación de la MS es satisfactoria en el rombo 512 de decisiones. En una autenticación satisfactoria, la IWF 204 envía un mensaje de aceptación de acceso de RADIUS en la etapa 514; si no, la IWF 204 envía un mensaje de rechazo de acceso de RADIUS en la etapa 516.
Volviendo al rombo 502 de decisión, si la IWF 204 no dispone del AV, la IWF envía un mensaje de AUTHREQU al AC 206 en la etapa 504. Al recibir el AV, la IWF 204 continúa el procesamiento hacia la etapa 506; si no, el procesamiento continúa hacia la etapa 516.
La FIG. 7 ilustra una IWF 600 adaptada para obrar como interfaz entre una WLAN (no mostrada) y, por tanto, capaz de realizar los procedimientos necesarios para la comunicación, autenticación, intercambio de claves y otras comunicaciones de seguridad con la misma, y un AC (no mostrado) y, por tanto, capaz de realizar los procedimientos necesarios para la comunicación, autenticación, intercambio de claves y otras comunicaciones de seguridad con el mismo. La IWF 600 incluye una unidad 602 de interfaz de WLAN, que prepara, transmite, recibe e /
o interpreta comunicaciones con una WLAN. De manera similar, la IWF 600 incluye una unidad 604 de interfaz de AC, que prepara, transmite, recibe e / o interpreta comunicaciones con un AC. La IWF 600 incluye además una unidad 608 de procedimiento de CAVE, una unidad 610 de procedimiento de EAP y una unidad 612 de procedimiento de RADIUS. La IWF 600 puede incluir cualquier número de tales unidades de procedimiento (no mostradas) según se requiera para la función de interoperación en un sistema dado. Las unidades de procedimiento, tales como la unidad 608 de procedimiento de CAVE, la unidad 610 de procedimiento de EAP y la unidad 612 de procedimiento de RADIUS, pueden implementarse en software, hardware, firmware o una combinación de los mismos. Los diversos módulos dentro de la IWF 600 se comunican a través de un bus 614 de comunicación.
Los expertos en la técnica entenderán que la información y las señales pueden representarse usando cualquiera entre una gran variedad de tecnologías y técnicas diferentes. Por ejemplo, los datos, instrucciones, comandos, información, señales, bits, símbolos y segmentos de código a los que pueda hacerse referencia a lo largo de la descripción anterior pueden representarse mediante tensiones, corrientes, ondas electromagnéticas, partículas o campos magnéticos, partículas o campos ópticos, o cualquier combinación de los mismos.
Los expertos apreciarán además que los diversos bloques lógicos, módulos, circuitos y etapas algorítmicas ilustrativos descritos con respecto a las realizaciones dadas a conocer en el presente documento pueden implementarse como hardware electrónico, software informático o combinaciones de los mismos. Para ilustrar con claridad esta intercambiabilidad de hardware y software, se han descrito anteriormente diversos componentes, bloques, módulos, circuitos y etapas ilustrativos, en general, en cuanto a su funcionalidad. El que tal funcionalidad se implemente como hardware o software depende de las limitaciones particulares de aplicación y diseño impuestas al sistema global. Los expertos en la técnica pueden implementar la funcionalidad descrita de diversas maneras para cada aplicación particular, pero no debe interpretarse que tales decisiones de implementación provocan un apartamiento del alcance de la presente invención.
Los diversos bloques lógicos, módulos y circuitos ilustrativos descritos con respecto a las realizaciones dadas a conocer en el presente documento pueden implementarse o realizarse con un procesador de propósito general, un procesador de señales digitales (DSP), un circuito integrado específico para la aplicación (ASIC), una formación de compuertas programables en el terreno (FPGA) u otro dispositivo lógico programable, compuerta discreta o lógica de transistor, componentes de hardware discretos o cualquier combinación de los mismos diseñada para realizar las funciones descritas en el presente documento. Un procesador de propósito general puede ser un microprocesador, pero como alternativa, el procesador puede ser cualquier procesador, controlador, microcontrolador o máquina de estados convencional. También puede implementarse un procesador como una combinación de dispositivos de computación, por ejemplo, una combinación de un DSP y un microprocesador, una pluralidad de microprocesadores, uno o más microprocesadores conjuntamente con un núcleo de DSP, o cualquier otra configuración de este tipo.
Las etapas de un procedimiento o algoritmo descritas con respecto a las realizaciones dadas a conocer en el presente documento pueden realizarse directamente en hardware, en un módulo de software ejecutado por un procesador, o en una combinación de ambos. Un modulo de software puede residir en memoria RAM, memoria flash, memoria ROM, memoria EPROM, memoria EEPROM, registros, disco duro, un disco extraíble, un CD-ROM, o cualquier otra forma de medio de almacenamiento conocida en la técnica. Un medio de almacenamiento ejemplar se acopla al procesador de modo que el procesador pueda leer información de, y escribir información en, el medio de almacenamiento. Como alternativa, el medio de almacenamiento puede estar integrado en el procesador. El procesador y el medio de almacenamiento pueden residir en un ASIC. El ASIC puede residir en un terminal de usuario. Como alternativa, el procesador y el medio de almacenamiento pueden residir como componentes discretos en un terminal de usuario.
La descripción anterior de las realizaciones dadas a conocer se proporciona para permitir a cualquier experto en la técnica realizar o usar la presente invención. Diversas modificaciones de estas realizaciones serán inmediatamente evidentes para los expertos en la técnica, y los principios genéricos definidos en el presente documento pueden aplicarse a otras realizaciones sin apartarse del alcance de la invención reivindicada.

Claims (6)

  1. REIVINDICACIONES
    1. Un aparato (204) de función de interoperación, IWF, en comunicación con una red (202) de área local inalámbrica, WLAN, y una red de comunicación celular, que se comunica con un dispositivo (208) inalámbrico, estando el aparato
    (204) de IWF adaptado para determinar una capacidad de autenticación asociada al dispositivo (208) inalámbrico a partir de una base (210) de datos usando una identidad recibida de dicho dispositivo (208) inalámbrico, en el que dicha capacidad de autenticación comprende bien un algoritmo de autenticación celular y cifrado de voz, CAVE, o bien un algoritmo de acuerdo de clave de autenticación, AKA, comprendiendo el aparato (204) de IWF:
    dicha base (210) de datos adaptada para almacenar la capacidad de autenticación correspondiente al dispositivo (208) inalámbrico;
    una interfaz de WLAN configurada para:
    enviar, a través de la WLAN (202), un desafío de acceso al dispositivo (208) inalámbrico basándose en dicha capacidad de autenticación determinada; y
    recibir, a través de la WLAN (202), una petición de acceso desde el dispositivo (208) inalámbrico para acceder a la WLAN, conteniendo la petición de acceso una respuesta al desafío de acceso desde el dispositivo (208) inalámbrico, en el que la respuesta al desafío de acceso es generada por el dispositivo (208) inalámbrico basándose en una clave de autenticación predeterminada; y
    una interfaz de control de acceso, AC, configurada para transmitir una petición de autenticación a la red de comunicación celular, y para recibir una respuesta de autenticación generada por la red de comunicación celular basándose en la clave de autenticación predeterminada, en la cual se determina si el aparato de IWF posee información necesaria para autenticar el dispositivo inalámbrico (208) para acceder a la WLAN, en el cual la solicitud de autenticación se transmite a la red de comunicación celular si el aparato de IWF no posee la información necesaria para autenticar el dispositivo inalámbrico (208) para acceder a la WLAN, y en el cual la solicitud de autenticación no se transmite a la red de comunicación celular si se determina que el aparato de IWF ya posee la información necesaria para autenticar el dispositivo inalámbrico para acceder a la WLAN.
  2. 2.
    El aparato de IWF según la reivindicación 1, estando el aparato de IWF adaptado para comunicarse con la WLAN mediante un primer protocolo de transporte, y para comunicarse con la red de comunicación celular mediante un segundo protocolo de transporte.
  3. 3.
    Un procedimiento para autenticar un dispositivo (208) inalámbrico mediante una red de comunicación celular para acceder a una red de área local inalámbrica, WLAN, (202), comprendiendo el procedimiento:
    determinar una capacidad de autenticación asociada al dispositivo (208) inalámbrico a partir de una base
    (210) de datos usando una identidad recibida de dicho dispositivo (208) inalámbrico, en el que dicha capacidad de autenticación comprende bien un algoritmo de autenticación celular y cifrado de voz, CAVE, o bien un algoritmo de acuerdo de clave de autenticación, AKA;
    enviar, a través de la WLAN (202), un desafío de acceso al dispositivo (208) inalámbrico basándose en dicha capacidad de autenticación determinada;
    generar una petición de acceso por parte del dispositivo (208) inalámbrico basándose en una clave de autenticación predeterminada, conteniendo la petición de acceso una respuesta al desafío de acceso desde el dispositivo (208) inalámbrico;
    recibir la petición de acceso desde el dispositivo inalámbrico a través de la WLAN (202) en un aparato (204) de función de interoperación IWF, en comunicación con el dispositivo (208) inalámbrico y la red de comunicación celular;
    transmitir una petición de autenticación a la red de comunicación celular por parte del aparato (204) de IWF, si el aparato (204) de IWF no posee información necesaria para autenticar el dispositivo inalámbrico (208) para acceder a la WLAN, en el cual se determina si el aparato (204) de IWF posee la información necesaria para autenticar el dispositivo inalámbrico (208) para acceder a la WLAN (202), y en el cual la petición de autenticación no se transmite a la red de comunicación celular si se determina que el aparato (204) de IWF ya posee la información necesaria para autenticar el dispositivo inalámbrico (208) para acceder a la WLAN (202); y
    si el aparato (204) de IWF no posee ya información necesaria para autenticar el dispositivo inalámbrico (208) para acceder a la WLAN (202):
    autenticar el dispositivo (208) inalámbrico mediante la red de comunicación celular basándose en la clave de autenticación predeterminada;
    y recibir una respuesta de autenticación generada por la red de comunicación celular en base a la clave de autenticación predeterminada.
  4. 4. El procedimiento según la reivindicación 3, que comprende además:
    conceder acceso inalámbrico, por parte de la WLAN, a la WLAN si la petición de autenticación es autenticada por la 5 red de comunicación celular en base a la clave de autenticación predeterminada.
  5. 5.
    El procedimiento según la reivindicación 3, la petición de acceso se recibe en el aparato de IWF a través de un primer protocolo de transporte.
  6. 6.
    El procedimiento según la reivindicación 3, la petición de autenticación se transmite a la red de comunicación celular a través de un segundo protocolo de transporte.
    10 7. Un producto de programa de ordenador para autenticar un dispositivo inalámbrico (208), por parte de una red de comunicación celular, para acceder a una red de área local inalámbrica, WLAN (202), comprendiendo el producto de programa de ordenador un medio de almacenamiento legible por ordenador que contiene instrucciones en el mismo, las cuales, cuando son ejecutadas en un ordenador, realizan un procedimiento de cualquiera de las reivindicaciones 3 a 6.
ES09013590T 2002-06-20 2003-06-20 Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica Expired - Lifetime ES2387599T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US176562 1988-04-01
US10/176,562 US8630414B2 (en) 2002-06-20 2002-06-20 Inter-working function for a communication system

Publications (1)

Publication Number Publication Date
ES2387599T3 true ES2387599T3 (es) 2012-09-27

Family

ID=29734169

Family Applications (3)

Application Number Title Priority Date Filing Date
ES09013590T Expired - Lifetime ES2387599T3 (es) 2002-06-20 2003-06-20 Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica
ES03761172T Expired - Lifetime ES2336665T3 (es) 2002-06-20 2003-06-20 Funcion de interfuncionamiento para la auntentificacion de un termninal en terminal en una area local inalambrica.
ES10009983.7T Expired - Lifetime ES2524294T3 (es) 2002-06-20 2003-06-20 Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica

Family Applications After (2)

Application Number Title Priority Date Filing Date
ES03761172T Expired - Lifetime ES2336665T3 (es) 2002-06-20 2003-06-20 Funcion de interfuncionamiento para la auntentificacion de un termninal en terminal en una area local inalambrica.
ES10009983.7T Expired - Lifetime ES2524294T3 (es) 2002-06-20 2003-06-20 Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica

Country Status (14)

Country Link
US (1) US8630414B2 (es)
EP (3) EP2257095B1 (es)
JP (1) JP4624785B2 (es)
KR (1) KR101068424B1 (es)
CN (2) CN1672368B (es)
AT (1) ATE456237T1 (es)
AU (1) AU2003243676A1 (es)
BR (2) BRPI0311913B1 (es)
DE (1) DE60331064D1 (es)
DK (1) DK2257095T3 (es)
ES (3) ES2387599T3 (es)
PT (1) PT2257095E (es)
TW (2) TWI375438B (es)
WO (1) WO2004002073A2 (es)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003105007A1 (en) * 2002-06-06 2003-12-18 Thomson Licensing S.A. Interworking function (iwf) as logical radio network controller (rnc) for hybrid coupling in an interworking between wlan and a mobile communications network
BRPI0313412B1 (pt) * 2002-08-14 2017-03-21 Thomson Licensing Sa gerenciamento de chave de sessão para lan pública sem fio suportando múltiplos operadores virtuais
US7249177B1 (en) * 2002-11-27 2007-07-24 Sprint Communications Company L.P. Biometric authentication of a client network connection
US20040184466A1 (en) * 2003-03-18 2004-09-23 Ju-Nan Chang Mobile server for internetworking wpan, wlan, and wwan
GB0400694D0 (en) * 2004-01-13 2004-02-18 Nokia Corp A method of connection
EP1562343A1 (fr) * 2004-02-09 2005-08-10 France Telecom Procédé et système de gestion d'autorisation d'accès d'un utilisateur au niveau d'un domaine administratif local lors d'une connexion de l'utilisateur à un réseau IP
US7426550B2 (en) 2004-02-13 2008-09-16 Microsoft Corporation Extensible wireless framework
KR100533003B1 (ko) * 2004-03-02 2005-12-02 엘지전자 주식회사 사용자 인증을 위한 프로토콜 개선 방법
FI116182B (fi) * 2004-03-23 2005-09-30 Teliasonera Finland Oyj Tilaajan autentikointi
US7974234B2 (en) * 2004-10-22 2011-07-05 Alcatel Lucent Method of authenticating a mobile network node in establishing a peer-to-peer secure context between a pair of communicating mobile network nodes
JP4275108B2 (ja) * 2005-06-06 2009-06-10 株式会社日立コミュニケーションテクノロジー 復号鍵配信方法
US7660851B2 (en) * 2005-07-06 2010-02-09 Microsoft Corporation Meetings near me
US20070180499A1 (en) * 2006-01-31 2007-08-02 Van Bemmel Jeroen Authenticating clients to wireless access networks
US8555350B1 (en) * 2006-06-23 2013-10-08 Cisco Technology, Inc. System and method for ensuring persistent communications between a client and an authentication server
US7707415B2 (en) * 2006-09-07 2010-04-27 Motorola, Inc. Tunneling security association messages through a mesh network
US8578159B2 (en) * 2006-09-07 2013-11-05 Motorola Solutions, Inc. Method and apparatus for establishing security association between nodes of an AD HOC wireless network
US7734052B2 (en) * 2006-09-07 2010-06-08 Motorola, Inc. Method and system for secure processing of authentication key material in an ad hoc wireless network
DE602006012888D1 (de) * 2006-12-19 2010-04-22 Ericsson Telefon Ab L M Verwaltung des benutzerzugangs in einem kommunikationsnetz
US10171998B2 (en) * 2007-03-16 2019-01-01 Qualcomm Incorporated User profile, policy, and PMIP key distribution in a wireless communication network
CN102318386B (zh) * 2008-12-15 2016-11-23 皇家Kpn公司 向网络的基于服务的认证
CN101808321B (zh) * 2009-02-16 2014-03-12 中兴通讯股份有限公司 一种安全认证方法
CN101534571B (zh) * 2009-04-07 2011-06-22 中兴通讯股份有限公司 实现网络之间iwf业务互通的方法和系统
KR20120014140A (ko) * 2009-04-15 2012-02-16 후아웨이 테크놀러지 컴퍼니 리미티드 와이맥스 및 와이파이 네트워크 융합 시스템 및 장치
CN101562814A (zh) * 2009-05-15 2009-10-21 中兴通讯股份有限公司 一种第三代网络的接入方法及系统
US9100388B2 (en) * 2012-02-10 2015-08-04 Qualcomm Incorporated Secure mechanism for obtaining authorization for a discovered location server
CN103391527B (zh) * 2012-05-11 2016-12-07 南京中兴软件有限责任公司 无线接入热点设备中功能共享的实现方法、设备及系统
US10034168B1 (en) * 2013-04-25 2018-07-24 Sprint Spectrum L.P. Authentication over a first communication link to authorize communications over a second communication link
US10433163B2 (en) 2016-09-19 2019-10-01 Qualcomm Incorporated Techniques for deriving security keys for a cellular network based on performance of an extensible authentication protocol (EAP) procedure
CN114531256A (zh) * 2020-11-03 2022-05-24 阿里巴巴集团控股有限公司 数据通信方法及系统

Family Cites Families (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5796727A (en) * 1993-04-30 1998-08-18 International Business Machines Corporation Wide-area wireless lan access
US5490203A (en) * 1993-07-26 1996-02-06 Bell Communications Research Inc. Method and system utilizing a location caching strategy to locate nomadic users in a communication services system
SE9401879L (sv) 1994-05-31 1995-12-01 Ericsson Telefon Ab L M Anordning vid telekommunikationssystem
US5537474A (en) * 1994-07-29 1996-07-16 Motorola, Inc. Method and apparatus for authentication in a communication system
US6144848A (en) * 1995-06-07 2000-11-07 Weiss Jensen Ellis & Howard Handheld remote computer control and methods for secured interactive real-time telecommunications
JP3526688B2 (ja) 1996-03-29 2004-05-17 富士通株式会社 コネクションレスな通信における従量制課金システムおよび方法
JPH10149237A (ja) 1996-11-20 1998-06-02 Kyushu Syst Joho Gijutsu Kenkyusho 半導体回路
US5850445A (en) * 1997-01-31 1998-12-15 Synacom Technology, Inc. Authentication key management system and method
US6105133A (en) * 1997-03-10 2000-08-15 The Pacid Group Bilateral authentication and encryption system
JPH10285630A (ja) 1997-03-31 1998-10-23 Mitsubishi Electric Corp 携帯無線電話機の広域ローミング認証装置および広域ローミング認証方法
US5889772A (en) 1997-04-17 1999-03-30 Advanced Micro Devices, Inc. System and method for monitoring performance of wireless LAN and dynamically adjusting its operating parameters
JP4676060B2 (ja) * 1997-11-14 2011-04-27 マイクロソフト コーポレーション 多数のクライアント−サーバ・セッションおよび以前のセッションへのユーザのダイナミック再接続をサポートするサーバ・オペレーティング・システム
US6085247A (en) * 1998-06-08 2000-07-04 Microsoft Corporation Server operating system for supporting multiple client-server sessions and dynamic reconnection of users to previous sessions using different computers
FR2773935A1 (fr) * 1998-01-19 1999-07-23 Canon Kk Procedes de communication entre systemes informatiques et dispositifs les mettant en oeuvre
JPH11215116A (ja) 1998-01-27 1999-08-06 Nippon Telegr & Teleph Corp <Ntt> 鍵管理方法およびシステム
RU2132597C1 (ru) 1998-03-25 1999-06-27 Войсковая часть 43753 Способ шифрования и передачи шифрованной речевой информации в сетях сотовой подвижной связи стандартов gsm-900, dcs-1800
US6584310B1 (en) * 1998-05-07 2003-06-24 Lucent Technologies Inc. Method and apparatus for performing authentication in communication systems
FI105978B (fi) 1998-05-12 2000-10-31 Nokia Mobile Phones Ltd Menetelmä langattoman päätelaitteen kytkemiseksi tiedonsiirtoverkkoon ja langaton päätelaite
DE19822795C2 (de) 1998-05-20 2000-04-06 Siemens Ag Verfahren und Anordnung zum rechnergestützten Austausch kryptographischer Schlüssel zwischen einer ersten Computereinheit und einer zweiten Computereinheit
US7277424B1 (en) * 1998-07-21 2007-10-02 Dowling Eric M Method and apparatus for co-socket telephony
TW372384B (en) 1998-07-27 1999-10-21 Nat Datacomm Corp Connection link method between wireless local area network station and wireless access point
US6334185B1 (en) 1998-09-08 2001-12-25 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for centralized encryption key calculation
GB2342817A (en) 1998-10-16 2000-04-19 Nokia Mobile Phones Ltd Secure session setup based on wireless application protocol
JP2000124893A (ja) 1998-10-16 2000-04-28 Hitachi Ltd 暗号/復号アルゴリズムの変換方法、暗号通信システムにおける送信装置および受信装置
TW389016B (en) 1998-10-23 2000-05-01 Lin Shau Wen Encryption device for communication system and method thereof
US6178506B1 (en) 1998-10-23 2001-01-23 Qualcomm Inc. Wireless subscription portability
WO2000042737A1 (en) 1999-01-13 2000-07-20 Koninklijke Philips Electronics N.V. A wireless local area network(lan) and a method of operating the lan
SE9900472L (sv) 1999-02-12 2000-08-13 Ericsson Telefon Ab L M Förfarande och arrangemang för att möjliggöra krypterad kommunikation
US6507907B1 (en) 1999-02-26 2003-01-14 Intel Corporation Protecting information in a system
US7174452B2 (en) * 2001-01-24 2007-02-06 Broadcom Corporation Method for processing multiple security policies applied to a data packet structure
KR100327345B1 (ko) 1999-04-08 2002-03-06 윤종용 가변 전류 이득 특성을 갖는 입출력 센스앰프를 구비한메모리 장치
US7023868B2 (en) * 1999-04-13 2006-04-04 Broadcom Corporation Voice gateway with downstream voice synchronization
GB2355885A (en) 1999-07-30 2001-05-02 Nokia Telecommunications Oy Network access control
EP1075123A1 (en) 1999-08-06 2001-02-07 Lucent Technologies Inc. Dynamic home agent system for wireless communication systems
US6769000B1 (en) * 1999-09-08 2004-07-27 Nortel Networks Limited Unified directory services architecture for an IP mobility architecture framework
JP3570310B2 (ja) 1999-10-05 2004-09-29 日本電気株式会社 無線lanシステムにおける認証方法と認証装置
AUPQ412899A0 (en) 1999-11-18 1999-12-09 Prescient Networks Pty Ltd A gateway system for interconnecting wireless ad-hoc networks
JP3362780B2 (ja) 1999-12-15 2003-01-07 日本電信電話株式会社 通信システムにおける認証方法、センタ装置、認証プログラムを記録した記録媒体
DE10006196B4 (de) 2000-02-11 2004-08-19 Zimmer Ag Parallel-Spinnprozeß mit Fadenverwirbelung zwischen Galetten und Spinnanlage hierzu
US7116646B1 (en) * 2000-03-07 2006-10-03 Telefonakitebolaget Lm Ericsson (Publ) CDMA internet protocol mobile telecommunications network architecture and methodology
FI20000760A0 (fi) 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
WO2001086914A2 (en) * 2000-05-08 2001-11-15 Broadcom Corporation System and method for supporting multiple voice channels
JP2002009762A (ja) 2000-06-26 2002-01-11 Sony Corp 情報処理システム、情報処理方法、および情報処理装置、並びにプログラム提供媒体
KR100624195B1 (ko) 2000-07-07 2006-09-19 엘지전자 주식회사 이동 단말기간 패킷 서비스를 제공하기 위한 이동 통신시스템 및 그 기지국 제어기내 보코더의 데이터 처리방법
US7260638B2 (en) * 2000-07-24 2007-08-21 Bluesocket, Inc. Method and system for enabling seamless roaming in a wireless network
US6996631B1 (en) * 2000-08-17 2006-02-07 International Business Machines Corporation System having a single IP address associated with communication protocol stacks in a cluster of processing systems
DE10043203A1 (de) 2000-09-01 2002-03-21 Siemens Ag Generische WLAN-Architektur
JP2002077441A (ja) 2000-09-01 2002-03-15 Yozan Inc 通信端末
FR2813500B1 (fr) 2000-09-05 2002-11-01 Thierry Templai Dispositif de desherbage thermique
JP2002124952A (ja) 2000-10-12 2002-04-26 Furukawa Electric Co Ltd:The 無線ネットワークにおける無線端末の認証方法および無線ネットワークにおける無線端末の認証システム
KR100423153B1 (ko) 2000-12-05 2004-03-18 엘지전자 주식회사 통신 망에서의 단말기 인증 방법
US7350076B1 (en) 2001-05-16 2008-03-25 3Com Corporation Scheme for device and user authentication with key distribution in a wireless network
US7730528B2 (en) * 2001-06-01 2010-06-01 Symantec Corporation Intelligent secure data manipulation apparatus and method
US7171460B2 (en) * 2001-08-07 2007-01-30 Tatara Systems, Inc. Method and apparatus for integrating billing and authentication functions in local area and wide area wireless data networks
KR100438155B1 (ko) 2001-08-21 2004-07-01 (주)지에스텔레텍 무선랜 네트워크 시스템 및 그 운용방법
US8140845B2 (en) * 2001-09-13 2012-03-20 Alcatel Lucent Scheme for authentication and dynamic key exchange
US20030095663A1 (en) * 2001-11-21 2003-05-22 Nelson David B. System and method to provide enhanced security in a wireless local area network system
JP2005529540A (ja) * 2002-06-06 2005-09-29 トムソン ライセンシング ソシエテ アノニム 無線lanと移動体通信システムとの間の相互接続のための論理的サービングgprsサポート・ノード(sgsn)としての無線lan
US20030235305A1 (en) * 2002-06-20 2003-12-25 Hsu Raymond T. Key generation in a communication system
US20030236980A1 (en) * 2002-06-20 2003-12-25 Hsu Raymond T. Authentication in a communication system
US7593717B2 (en) 2003-09-12 2009-09-22 Alcatel-Lucent Usa Inc. Authenticating access to a wireless local area network based on security value(s) associated with a cellular system
CN1601958B (zh) 2003-09-26 2010-05-12 北京三星通信技术研究有限公司 基于cave算法的hrpd网络接入认证方法
US20050138355A1 (en) 2003-12-19 2005-06-23 Lidong Chen System, method and devices for authentication in a wireless local area network (WLAN)
US8094821B2 (en) * 2004-08-06 2012-01-10 Qualcomm Incorporated Key generation in a communication system
DE102006008745A1 (de) * 2005-11-04 2007-05-10 Siemens Ag Verfahren und Server zum Bereitstellen eines Mobilitätsschlüssels

Also Published As

Publication number Publication date
AU2003243676A1 (en) 2004-01-06
US20030236982A1 (en) 2003-12-25
EP2144399B1 (en) 2012-06-20
ES2524294T3 (es) 2014-12-05
CN101018178B (zh) 2013-05-08
TW201123772A (en) 2011-07-01
ES2336665T3 (es) 2010-04-15
DE60331064D1 (de) 2010-03-11
TWI375438B (en) 2012-10-21
BR0311913A (pt) 2007-05-08
US8630414B2 (en) 2014-01-14
EP2257095A1 (en) 2010-12-01
EP1514384A2 (en) 2005-03-16
TWI351194B (en) 2011-10-21
CN1672368A (zh) 2005-09-21
DK2257095T3 (en) 2014-12-01
WO2004002073A2 (en) 2003-12-31
WO2004002073A3 (en) 2004-06-17
ATE456237T1 (de) 2010-02-15
EP2257095B1 (en) 2014-09-24
KR101068424B1 (ko) 2011-09-28
EP1514384B1 (en) 2010-01-20
KR20100085185A (ko) 2010-07-28
BRPI0311913B1 (pt) 2018-01-02
TW200405734A (en) 2004-04-01
CN101018178A (zh) 2007-08-15
CN1672368B (zh) 2012-01-11
PT2257095E (pt) 2014-11-28
JP2005530459A (ja) 2005-10-06
JP4624785B2 (ja) 2011-02-02
EP2144399A1 (en) 2010-01-13

Similar Documents

Publication Publication Date Title
ES2387599T3 (es) Función de interoperación para la autenticación de un terminal en una red de área local inalámbrica
AU2003243680B2 (en) Key generation in a communication system
US8094821B2 (en) Key generation in a communication system
US20030236980A1 (en) Authentication in a communication system
CN106921965A (zh) 一种wlan网络中实现eap认证的方法
KR101068426B1 (ko) 통신시스템을 위한 상호동작 기능