ES2564484T3 - Método de autenticación 802.1X centralizado, dispositivo y sistema de red de área local inalámbrica - Google Patents

Método de autenticación 802.1X centralizado, dispositivo y sistema de red de área local inalámbrica

Info

Publication number
ES2564484T3
ES2564484T3 ES11846361.1T ES11846361T ES2564484T3 ES 2564484 T3 ES2564484 T3 ES 2564484T3 ES 11846361 T ES11846361 T ES 11846361T ES 2564484 T3 ES2564484 T3 ES 2564484T3
Authority
ES
Spain
Prior art keywords
entity
message
authentication
access point
eap
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES11846361.1T
Other languages
English (en)
Inventor
Guoping Liu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2564484T3 publication Critical patent/ES2564484T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Un método para la autenticación centralizada según el protocolo 802.1X en una red de área local inalámbrica, en donde la red de área local inalámbrica comprende una entidad de autenticación, AE, un punto de acceso, AP, y al menos un equipo de usuario, UE, estando la entidad AE conectada a al menos un equipo de usuario UE por intermedio del punto de acceso AP, caracterizado por cuanto que el método comprende: la generación (410), por el punto de acceso AP, de un mensaje de inicio de autenticación según el protocolo de autenticación extensiva, mensaje EAPOL-Start, después de la asociación de un equipo de usuario UE con el punto de acceso AP; en donde una dirección de destino del mensaje EAPOL-Start es una dirección de multidifusión de una Entidad de Acceso al Puerto, PAE, o de un Control de Acceso al Medio, MAC, de la entidad AE y una dirección origen del mensaje EAPOL-Start es una dirección MAC del equipo de usuario UE asociado; el envío (420), por el punto de acceso AP, del mensaje EAPOL-Start; la recepción (430), por el punto de acceso AP, de un primer mensaje de autenticación EAP procedente de la entidad AE; en donde una dirección origen del primer mensaje de autenticación EAP es la dirección MAC de la entidad AE, y una dirección de destino del primer mensaje de autenticación EAP es la dirección MAC del equipo de usuario UE asociado; y la modificación (440), por el punto de acceso AP, de la dirección origen del primer mensaje de autenticación EAP para ser una dirección MAC correspondiente a una interfaz de aire del punto de acceso AP; y el reenvío (440), por el punto de acceso AP, del mensaje de autenticación EAP modificado al equipo UE asociado con el fin de que el equipo UE asociado utilice el punto de acceso AP como una entidad AE para continuar la autenticación del protocolo EAP.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Metodo de autenticacion 802.1X centralizado, dispositivo y sistema de red de area local inalambrica CAMPO DE LA INVENCION
La presente invencion se refiere al campo de tecnolog^as de comunicaciones y en particular, a un metodo, un aparato y un sistema para la autenticacion centralizada segun el protocolo 802.1X en una red de area local inalambrica.
ANTECEDENTES DE LA INVENCION
La estructura basica de una red de area local inalambrica, (WLAN, Wireless Local Area Network) definida en IEEE (Institute of Electrical and Electronics Engineers, Institute of Electronical and Electronics Engineers de los Estados Unidos) 802.1X puede ilustrarse en la Figura 1, en donde una estacion (STA, Station) se refiere a un dispositivo terminal que tiene una interfaz de red de area local inalambrica y un punto de acceso (AP, Access Point) es equivalente a una estacion base de una red movil y es principalmente responsable de la puesta en practica de la comunicacion entre las estaciones STAs o entre una estacion STA y un dispositivo pertinente de una red cableada. Multiples estaciones STAs pueden acceder al mismo punto de acceso AP. Las estaciones STAs asociadas con el mismo AP constituyen un conjunto de servicio basico (BSS, Basic service set). Un sistema de distribucion (DS, Distribution System) se utiliza para formar una red de area local amplia entre diferentes conjuntos BSSs asf como entre un conjunto BSS y una red de area local cableada. Un dispositivo de portal (portal) es un punto logico para proporcionar datos mediante un reenvfo entre un sistema DS y una red de area local cableada.
En un sistema WLAN, identificadores de conjunto de servicios (SSID, Service Set Identifier) se utilizar para distinguir diferentes redes de area local inalambricas. Cuando diferentes conjuntos BSSs (que se pueden identificar utilizando identificadores BSSIDs) forman una red de area local amplia mediante un sistema DS, teniendo el mismo identificador SSID.
Actualmente, un mecanismo de seguridad de acceso protegido de WI-FI (WPA, WI-FI Protected Access), recomendado por la alianza de certificacion de prioridad inalambrica (WI-FI, wireless fidelity) se aplica ampliamente en una red WLAN. La version de empresa de WPA (generalmente referida a diversas versiones de empresa de WPA) se pone en practica sobre la base del protocolo de autenticacion 802.1X. Una estructura de red de la autenticacion segun el protocolo 802.1X puede dividirse en tres partes, incluyendo una parte de aplicacion de autenticacion (es decir, una entidad de acceso de puerto de usuario (equipo de usuario (UE, User Equipment) en forma abreviada y en una red WLAN, un equipo de usuario UE puede referirse como una estacion STA)), un sistema de autenticacion (Authenticator system) (es decir, una entidad de autenticacion (AE, Authentication Entity)) y un servidor de autenticacion (AS, Authenticator server system).
Por defecto, una entidad AE solamente permite un mensaje de autenticacion de un equipo UE para transmitirse al principio y la entidad AE permite un mensaje de servicio del equipo UE para transmitir solamente despues de que se haya realizado la autenticacion del UE. En una red WLAN, una entidad AS es un servidor de servicio de usuario de marcacion de autenticacion distante (Radius, Remote Authentication Dial In User Service), la entidad AE suele corresponder a un punto de acceso AP y el equipo UE es una estacion STA.
En un proceso de autenticacion, un mensaje de autenticacion se transmite entre una estacion STA y un punto de acceso AP. Existe un proceso de asociacion entre la estacion STA y el punto de acceso AP antes de que la autenticacion se inicie en una red WLAN. Por lo tanto, la estacion sTa y el punto de acceso AP tienen ambos conocimiento de una direccion de control de acceso al medio (MAC, Media Access Control) de interfaz de aire (tal como un identificador BSSID) de un extremo homologo antes de la autenticacion. Por lo tanto, el protocolo IEEE 802.1X especifica que en una red WLAN, todos los mensajes de autenticacion del denominado Protocolo de Autenticacion Extensivo (EAP, Extensive Authentication Protocol) (incluyendo un primer mensaje) de un equipo UE debe utilizar direcciones de unidifusion.
En una red WLAN especificada en el protocolo IEEE 802.1X, un requisito previo para todos los mensajes de autenticacion EAP para utilizar direcciones de unidifusion es que una entidad AE debe ser un dispositivo de punto de acceso AP (un equipo UE puede tener conocimiento de la direccion MAC (tal como un identificador BSSID) correspondiente a una interfaz de aire del punto de acceso AP en un proceso de asociacion con el AP). Una red WLAN en un escenario operativo tal como una vivienda o una pequena empresa puede satisfacer esta condicion puesto que la cantidad de puntos de acceso APs esta limitada en los escenarios operativos y no se requiere mucho trabajo para configurar cada punto de acceso AP como una entidad AE. Este modo de desarrollo de autenticacion puede referirse como un desarrollo de autenticacion distribuida.
A medida que se desarrollan tecnologfas, se desarrolla un gran numero de redes WLAN amplias adecuadas para una gran empresa u operador, y una red WLAN amplia tiene un gran numero de puntos de acceso APs. Para facilitar la carga de gestion, se suele utilizar la gestion de redes de puntos de acceso AP actualmente. En este caso, un
5
10
15
20
25
30
35
40
45
50
55
60
65
dispositivo de entidad AE puede desarrollarse en un controlador de acceso (AC, Access controller) o desarrollarse en un dispositivo de pasarela de control multiservicio (MSCG, Multi-service control Gateway) en el controlador AC. El modo de desarrollo de la autenticacion de despliegue operativo de un dispositivo de entidad AE en un dispositivo tal como un controlador AC o un MSCG, en una forma centralizada, puede referirse como desarrollo de autenticacion centralizada.
Una entidad AE en el desarrollo de autenticacion centralizada no es un dispositivo de punto de acceso AP; por lo tanto, un equipo UE no puede tener conocimiento de una direccion MAC de la entidad AE antes de la autenticacion. Sin embargo, el protocolo IEEE 802.1X especifica que todos los mensajes de autenticacion EAP (incluyendo un primer mensaje) de un equipo de usuario UE deben utilizar direcciones de unidifusion. En tal caso, la autenticacion no puede realizarse en conformidad con el mecanismo existente.
El documento US 2010/182983 A1 da a conocer un sistema de red de area local inalambrica que comprende un controlador de red WLAN y una pluralidad de puntos de acceso. El controlador de red WLAN esta configurado para realizar una o mas funciones de control de red para el beneficio de la pluralidad de puntos de acceso. Las funciones de control de la red pueden seleccionarse a partir de la gestion y operacion, autenticacion de clientes, movilidad y administracion por usuario.
El documento “MENEZES, VANSTONE, OORSCHOT: “Manual de Criptograffa aplicada”, 1997, CRC PRESS LLC., USA” da a conocer una estructura para autenticacion, y proporciona un metodo de autenticacion basado en esta estructura.
SUMARIO DE LA INVENCION
Formas de realizacion de la presente invencion dan a conocer un metodo, un aparato y un sistema para autenticacion centralizada del protocolo 802.1X en una red de area local inalambrica, con lo que se pone en practica la autenticacion centralizada de 802.1X para un equipo de usuario UE en una red de area local inalambrica.
Con el fin de resolver los problemas tecnicos anteriores, las formas de realizacion de la presente invencion dan a conocer las soluciones tecnicas siguientes.
Un metodo para la autenticacion centralizada de 802.1X en una red de area local inalambrica, en donde la red de area local inalambrica comprende una entidad de autenticacion, AE, un punto de acceso, AP y al menos un equipo de usuario UE, la entidad AE esta conectada a al menos un equipo UE por intermedio del punto de acceso AP, caracterizado por cuanto que el metodo comprende:
la generacion, por el punto de acceso AP, de un mensaje de inicio de autenticacion de protocolo de autenticacion extensiva, un mensaje EAPOL-Start, despues de que un equipo UE se asocie con el punto de acceso AP, en donde una direccion de destino del mensaje EAPOL-Start es una direccion de multidifusion de una Entidad de Acceso de Puerto, PAE o un Control de Acceso a Medio, MAC, de la entidad AE y una direccion origen del mensaje EAPOL- Start es una direccion MAC del equipo de usuario UE asociado;
el envfo, por el punto de acceso AP, del mensaje EAPOL-Start;
la recepcion, por el punto de acceso AP, de un primer mensaje de autenticacion EAP procedente de la entidad AE; en donde una direccion origen del primer mensaje de autenticacion EAP es la direccion MAC de la entidad AE y una direccion de destino del primer mensaje de autenticacion EAP es la direccion MAC del equipo de usuario UE asociado; y
la modificacion, por el punto de acceso AP, de la direccion origen del primer mensaje de autenticacion EAP para ser una direccion MAC correspondiente a una interfaz de aire del punto de acceso AP; y
el reenvfo, por el punto de acceso AP, del mensaje de autenticacion EAP modificado al equipo de usuario UE asociado con el fin de que el equipo UE asociado utilice el punto de acceso AP como una entidad AE para continuar la autenticacion EAP.
Un dispositivo de punto de acceso AP, que comprende:
un modulo de generacion, configurado para generar un mensaje de inicio de autenticacion de protocolo de autenticacion extensiva, un mensaje EAPOL-Start, despues de que el equipo UE se asocie con el dispositivo AP; en donde una direccion de destino del mensaje EAPOL-Start es una direccion de multidifusion de una Entidad de Acceso de Puerto, PAE o un Control de Acceso a Medio, MAC de una entidad de autenticacion, AE y una direccion origen del mensaje EAPOL-Start es una direccion MAC del equipo de usuario UE asociado;
un modulo de envfo, configurado para enviar el mensaje EAPOL-Start;
5
10
15
20
25
30
35
40
45
50
55
60
65
un modulo de recepcion, configurado para recibir un primer mensaje de autenticacion EAP desde la entidad AE; en donde la direccion origen del primer mensaje de autenticacion eAp es la direccion MAC de la entidad AE y una direccion de destino del primer mensaje de autenticacion EAP es la direccion MAC del equipo UE asociado;
un modulo de modificacion y de reenvfo, configurado para modificar la direccion origen del primer mensaje de autenticacion EAP para ser una direccion MAC correspondiente a una interfaz de aire del punto de acceso AP; y reenviar el mensaje de autenticacion EAP modificado al equipo UE asociado con el fin de que el equipo UE asociado utilice el punto de acceso AP como una entidad AE para continuar la autenticacion EAP.
Un sistema para autenticacion centralizada 802.1X en una red de area local inalambrica, en donde la red de area local inalambrica comprende un punto de acceso en conformidad con cualquiera de las reivindicaciones 5 a 7, una entidad de autenticacion, AE, y al menos un equipo de usuario, UE, estando la entidad AE conectada a al menos un equipo UE por intermedio del punto de acceso.
En conformidad con la descripcion anterior, en una solucion tecnica dada a conocer por la forma de realizacion de la presente invencion, despues de la recepcion, desde un equipo UE, de un mensaje de inicio de autenticacion EAP cuya direccion de destino es una direccion MAC correspondiente a una interfaz de aire del punto de acceso, un punto de acceso en el desarrollo de autenticacion centralizada modifica la direccion de destino del mensaje para ser una direccion MAC de una entidad de autenticacion, y reenvfa el mensaje de inicio de autenticacion eAp cuya direccion de destino es modificada, de modo que el mensaje de inicio de autenticacion EAP pueda alcanzar la entidad de autenticacion en lugar de detenerse en el punto de acceso, con el fin de iniciar un proceso de autenticacion de acceso para el equipo UE y poner en practica la autenticacion centralizada 802.1X para el equipo UE en una red de area local inalambrica. Ademas, este mecanismo permite al equipo UE enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X; por lo tanto, resulta innecesario modificar el programa de autenticacion que se establece en el UE y esta basado en el mecanismo del protocolo IEEE 802.1X.
En otra solucion tecnica dada a conocer por las formas de realizacion de la presente invencion, un punto de acceso en un desarrollo de autenticacion centralizada genera y envfa un mensaje de inicio de autenticacion EAP cuya direccion origen es una direccion MAC de un equipo UE y cuya direccion de destino es una direccion MAC de una entidad AE, para actuar como un dispositivo proxy para el equipo UE para iniciar un proceso de autenticacion de acceso, de modo que el mensaje de inicio de autenticacion EAP pueda alcanzar una entidad de autenticacion, con el fin de iniciar un proceso de autenticacion del acceso para el equipo UE y poner en practica la autenticacion centralizada 802.1X para el equipo UE en una red de area local inalambrica. Ademas, este mecanismo permite a un equipo UE enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X; por lo tanto, resulta innecesario modificar el programa de autenticacion que se establece en el equipo UE y esta basado en el mecanismo del protocolo IEEE 802.1X.
BREVE DESCRIPCION DE LOS DIBUJOS
Para describir las soluciones tecnicas en las formas de realizacion de la presente invencion o en la tecnica anterior con mayor claridad, a continuacion se introducen brevemente los dibujos adjuntos requeridos para describir las formas de realizacion o la tecnica anterior. Evidentemente, los dibujos adjuntos en la siguiente descripcion ilustran simplemente algunas formas de realizacion de la presente invencion y los expertos ordinarios en esta tecnica pueden derivar todavfa otros dibujos a partir de los dibujos adjuntos sin necesidad de esfuerzos creativos.
La Figura 1 es un diagrama esquematico de una estructura basica de una red WLAN definida en 802.1X;
La Figura 2 es un diagrama esquematico de una topologfa de una red de autenticacion centralizada en desarrollo en
conformidad con una forma de realizacion de la presente invencion,
La Figura 3 es un diagrama de flujo esquematico de un metodo para la autenticacion centralizada 802.1X en una red de area local inalambrica en conformidad con la forma de realizacion 1 de la presente invencion,
La Figura 4 es un diagrama de flujo esquematico de un metodo para la autenticacion centralizada 802.1X en una red de area local inalambrica en conformidad con la forma de realizacion 2 de la presente invencion;
La Figura 5 es un diagrama de flujo esquematico de un metodo para la autenticacion centralizada 802.1X en una red de area local inalambrica en conformidad con la forma de realizacion 3 de la presente invencion;
La Figura 6 es un diagrama de flujo esquematico de un metodo para la autenticacion centralizada 802.1X en una red de area local inalambrica en conformidad con la forma de realizacion 4 de la presente invencion;
La Figura 7 es un diagrama esquematico de un punto de acceso en conformidad con una forma de realizacion de la
presente invencion;
5
10
15
20
25
30
35
40
45
50
55
60
65
La Figura 8 es un diagrama esquematico de otro punto de acceso en conformidad con una forma de realizacion de la presente invencion;
La Figura 9 es un diagrama esquematico de otro punto de acceso en conformidad con una forma de realizacion de la presente invencion;
La Figura 10 es un diagrama esquematico de un sistema para la autenticacion centralizada 802.1X en una red de area local inalambrica en conformidad con una forma de realizacion de la presente invencion; y
La Figura 11 es un diagrama esquematico de otro sistema para la autenticacion centralizada 802.1X en una red de area local inalambrica en conformidad con una forma de realizacion de la presente invencion.
DESCRIPCION DETALLADA DE LAS FORMAS DE REALIZACION DE LA INVENCION
Formas de realizacion de la presente invencion dan a conocer un metodo, un aparato y un sistema para autenticacion centralizada 802.1X en una red de area local inalambrica.
Para hacer mas comprensibles los objetivos, las caractensticas y las ventajas de la presente invencion, a continuacion se describe, de forma clara y completa, las soluciones tecnicas en las formas de realizacion de la presente invencion haciendo referencia a los dibujos adjuntos en dichas formas de realizacion de la presente invencion. Evidentemente, las formas de realizacion descritas son simplemente una parte y no la totalidad de las formas de realizacion de la presente invencion. Todas las demas formas de realizacion obtenidas por expertos en esta tecnica sobre la base de las formas de realizacion de la presente invencion, sin necesidad de esfuerzos creativos, caeran dentro del alcance de proteccion de la presente invencion.
Haciendo referencia a la Figura 2, se ilustra un diagrama esquematico de una topologfa de una red de autenticacion centralizada en desarrollo en conformidad con una forma de realizacion de la presente invencion. Multiples equipos de usuario UEs pueden asociarse con un solo punto de acceso AP; multiples puntos de acceso APs se conectan luego a un controlador de acceso AC; y un dispositivo de entidad AE puede desarrollarse en el controlador AC o desarrollarse en un dispositivo de pasarela de control multiservicio MSCg en el controlador AC. La Figura 2 ilustra un escenario operativo en donde un dispositivo de entidad AE se desarrolla en un controlador AC. El dispositivo de entidad AE esta asociado con un AS para formar un desarrollo de autenticacion centralizada. Las soluciones tecnicas en conformidad con las formas de realizacion de la presente invencion pueden ponerse en practica concretamente sobre la base de una red de autenticacion de una estructura de topologfa ilustrada en la Figura 2 o una red de autenticacion de una estructura de desarrollo centralizada similar.
A continuacion se proporciona una descripcion detallada de lo que antecede.
Forma de realizacion 1
En una forma de realizacion que ilustra un metodo para la autenticacion centralizada 802.1X es una red de area local inalambrica en conformidad con la presente invencion, una red de area local inalambrica incluye una entidad AE, un punto de acceso AP y al menos un equipo de usuario UE, en donde la entidad AE esta conectada a al menos un equipo UE por intermedio del punto de acceso AP y el metodo puede incluir: la recepcion, por el punto de acceso AP de un mensaje de inicio de autenticacion EAP enviado por el equipo UE, en donde una direccion de destino del mensaje de inicio de autenticacion EAP es una direccion de control de acceso al medio (MAC, Media Access Control) correspondiente a una interfaz de aire del punto de acceso AP y su direccion origen es una direccion MAC del equipo UE; la modificacion de la direccion de destino del mensaje de inicio de autenticacion EAP para ser una direccion de multidifusion de una entidad de acceso de puerto (PAE, Port Access Entity) o una direccion MAC de la entidad AE; y el reenvfo del mensaje de inicio de autenticacion EAP cuya direccion de destino es modificada, de modo que la entidad AE inicie la autenticacion de acceso para el equipo UE en conformidad con el mensaje de inicio de autenticacion EAP cuya direccion de destino es modificada.
Haciendo referencia a la Figura 3 pueden incluirse las etapas espedficas siguientes:
310. Un punto de acceso AP recibe un mensaje de inicio de autenticacion EAP enviado por un equipo UE, en donde una direccion de destino del mensaje de inicio de autenticacion EAP es una direccion MAC correspondiente a una interfaz de aire del punto de acceso AP y su direccion origen es una direccion MAC del equipo UE.
En un escenario operativo de aplicacion, un equipo UE puede iniciar una demanda de autenticacion enviando un mensaje de inicio de autenticacion EAP (mensaje EAPOL-Start), con lo que se demanda a un lado de red la realizacion de la autenticacion de acceso.
Antes de que el equipo UE inicie la autenticacion, existe un proceso de asociacion con el punto de acceso AP y el equipo UE y el punto de acceso AP ambos tienen conocimiento de una direccion de control de acceso al medio MAC de un extremo homologo antes de la autenticacion. Por lo tanto, el equipo UE puede enviar el mensaje de inicio de
5
10
15
20
25
30
35
40
45
50
55
60
65
autenticacion EAP en un modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X, en donde la direccion MAC del punto de acceso AP que se incluye en el mensaje de inicio de autenticacion EAP puede ser un identificador BSSID u otro identificador de distincion.
320. El punto de acceso AP modifica la direccion de destino del mensaje de inicio de autenticacion EAP para ser una direccion MAC de una entidad AE o una direccion de multidifusion de una PAE.
Cuando el punto de acceso AP supervisa que la direccion de destino del mensaje de inicio de autenticacion EAP recibido es la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso AP, el punto de acceso AP no interrumpe el mensaje de inicio de autenticacion EAP en este punto, sino que continua su reenvfo despues de modificar su direccion de destino.
En una aplicacion practica, si la direccion MAC de la entidad AE se configura por anticipado para el punto de acceso AP, el punto de acceso AP puede modificar la direccion de destino del mensaje de inicio de autenticacion EAP recibido para ser la direccion MAC de la entidad AE; si el punto de acceso AP no tiene conocimiento de la direccion MAC de la entidad AE en este momento, el punto de acceso AP puede modificar la direccion de destino del mensaje de inicio de autenticacion EAP recibido para ser una direccion de multidifusion de la PAE, en donde el mensaje de inicio de autenticacion EAP cuya direccion de destino es la direccion de multidifusion de la PAE puede detectarse y recibirse tambien por la entidad AE.
330. El punto de acceso AP reenvfa el mensaje de inicio de autenticacion EAP cuya direccion de destino es modificada.
En correspondencia, la entidad AE puede recibir el mensaje de inicio de autenticacion EAP cuya direccion de destino es modificada, con lo que se tiene conocimiento de que el equipo UE demanda una autenticacion de acceso; y la entidad AE puede responder en conformidad con un proceso de autenticacion estandar para iniciar la autenticacion de acceso para el equipo UE.
En un escenario operativo de aplicacion, si el punto de acceso AP recibe, ademas, un mensaje de autenticacion EAP (tal como un mensaje de demanda de EAP (EAP-Request message) para demandar la identidad de un equipo UE u otro mensaje) enviado por la entidad AE, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de la entidad AE y su direccion de destino es la direccion MAC del equipo UE, el punto de acceso AP puede modificar la direccion origen del mensaje de autenticacion EAP para ser la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso AP y reenviar el mensaje de autenticacion EAP con la direccion origen modificada al equipo UE. En este caso, puesto que la direccion origen del mensaje de autenticacion EAP que se reenvfa por el punto de acceso AP y se recibe por el equipo UE es la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso AP, el equipo UE puede utilizar todavfa el punto de acceso AP como una entidad AE para continuar la autenticacion EAP. Si el punto de acceso AP recibe, ademas, un segundo mensaje de autenticacion EAP enviado por el equipo UE en donde el segundo mensaje de autenticacion EAP es un mensaje de autenticacion (el segundo mensaje de autenticacion EAP es como, a modo de ejemplo, un mensaje de respuesta de EAP (EAP-Response) que incluye una identidad de UE (ID) u otro mensaje de autenticacion EAP) enviado por el equipo UE con la excepcion del mensaje de inicio de autenticacion EAP, una direccion de destino del segundo mensaje de autenticacion EAP es la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso AP, y su direccion origen es la direccion MAC del equipo UE, el punto de acceso AP puede modificar la direccion de destino del segundo mensaje de autenticacion eAp para ser la direccion MAC de la entidad AE, y reenviar el segundo mensaje de autenticacion EAP cuya direccion de destino es modificada. Dicho de otro modo, el punto de acceso AP puede modificar la direccion origen o la direccion de destino de todos los mensajes de autenticacion EAP comunicados entre el equipo UE y la entidad AE, modificar la direccion de destino del mensaje de autenticacion EAP procedente del UE para ser la direccion MAC de la entidad AE y modificar la direccion origen del mensaje de autenticacion EAP procedente de la entidad AE para ser la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso AP; y el equipo UE puede considerar tambien al punto de acceso AP como una entidad AE para la autenticacion EAP. Puesto que el equipo de usuario UE tiene conocimiento de la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso AP antes de la autenticacion, el equipo UE puede enviar todos los mensajes de autenticacion EAP en un modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X.
En otro escenario operativo de aplicacion, si el punto de acceso AP recibe, ademas, un tercer mensaje de autenticacion EAP (tal como un mensaje de demanda de EAP (EAP-Request message) para demandar la identidad de un equipo UE u otro mensaje) enviado por la entidad AE, en donde una direccion origen del tercer mensaje de autenticacion EAP es la direccion MAC de la entidad AE y su direccion de destino es la direccion MAC del equipo UE, el punto de acceso AP no puede modificar la direccion origen o la direccion de destino del tercer mensaje de autenticacion EAP, pero reenvfa directamente el tercer mensaje de autenticacion EAP al equipo UE, de modo que el equipo UE tenga conocimiento de la direccion MAC de la entidad AE a partir del tercer mensaje de autenticacion EAP. En este escenario operativo, despues de recibir el tercer mensaje de autenticacion EAP, el equipo UE puede tener conocimiento de la direccion MAC de una entidad AE real, y puede comunicarse con la entidad AE en relacion
5
10
15
20
25
30
35
40
45
50
55
60
65
con otros mensajes de autenticacion EAP utilizando la direccion MAC aprendida de la entidad AE posteriormente, con lo que se completa la autenticacion de acceso. Dicho de otro modo, el punto de acceso AP puede modificar solamente la direccion de destino del mensaje de inicio de autenticacion EAP (un primer mensaje de autenticacion EAP procedente del equipo de usuario UE), pero no modificar la direccion origen o la direccion de destino de un mensaje de inicio de autenticacion EAP comunicado entre el equipo UE y la entidad AE posteriormente y el equipo UE puede tener conocimiento de la direccion MAC de la entidad AE en conformidad con una respuesta de la entidad AE al mensaje de inicio de autenticacion EAP, de modo que el equipo UE pueda enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X.
Conviene senalar que el equipo de usuario UE mencionado en la forma de realizacion de la presente invencion puede ser varios dispositivos terminales que tengan capacidad de acceso de red de area local inalambrica, tal como un telefono movil y un ordenador portatil y el punto de acceso AP puede ser varios dispositivos que tengan una funcion de acceso inalambrica. La solucion en conformidad con la forma de realizacion de la presente invencion implica principalmente la modificacion, por la punto de acceso AP, de las direcciones origen/destino de parte o de la totalidad de los mensajes de autenticacion eAp comunicados entre el equipo UE y la entidad AE, y un mensaje de senalizacion de autenticacion comunicado entre la entidad AE y un AS puede ser el mismo o similar al de un proceso estandar. Puede entenderse que bajo la arquitectura de autenticacion 802.1X, varios algoritmos de autenticacion EAP pueden seleccionarse en conformidad con los requisitos, tales como un algoritmo de autenticacion como EAP-PEAP (EAP-Protected Extensible Authentication Protocol, protocolo de autenticacion extensible protegido por el protocolo de autenticacion extensiva), EAP-SIM/AKA (EAP-Subscriber Identity Module/Authentication y key Agreement, modulo de autenticacion de abonado-protocolo de autenticacion extensiva y acuerdo de claves) y EAP-TLS (protocolo de autenticacion extensiva-protocolo de seguridad de la capa de transporte, EAP-Transport Layer Security Protocol). Sin embargo, la autenticacion bajo la arquitectura de autenticacion de 802.1X no resulta afectada por diferentes algoritmos de autenticacion EAP.
En conformidad con la descripcion anterior, en la forma de realizacion, despues de que un punto de acceso AP en un desarrollo de autenticacion centralizada reciba, desde un equipo de usuario UE, un mensaje de inicio de autenticacion EAP cuya direccion de destino es una direccion MAC (tal como un identificador BSSID) correspondiente a una interfaz de aire del punto de acceso AP, el punto de acceso AP modifica la direccion de destino del mensaje para ser una direccion MAC de una entidad AE y reenvfa el mensaje de inicio de autenticacion EAP cuya direccion de destino es modificada, de modo que el mensaje de inicio de autenticacion EAP pueda alcanzar la entidad AE en lugar de detenerse en el punto de acceso AP, con el fin de iniciar un proceso de autenticacion de acceso para el equipo UE y realizar una autenticacion 802.1X centralizada para el equipo UE en una red de area local inalambrica. Ademas, este mecanismo permite al equipo UE enviar todos los mensajes de autenticacion EAP en un modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X; por lo tanto, resulta innecesario modificar un programa de autenticacion que se establece en el equipo UE y sobre la base del mecanismo del protocolo IEEE 802.1X.
Forma de realizacion 2
En otra forma de realizacion se ilustra un metodo para la autenticacion 802.1X centralizada, en una red de area local inalambrica en conformidad con la presente invencion, una red de area local inalambrica incluye una entidad AE, un punto de acceso AP y al menos un equipo UE, en donde la entidad AE esta conectada a al menos un equipo UE por intermedio del punto de acceso AP, y el metodo puede incluir: la generacion, por el punto de acceso Ap, de un mensaje de inicio de autenticacion eAp, en donde una direccion de destino del mensaje de inicio de autenticacion EAP es una direccion de multidifusion de una PAE o una direccion MAC de la entidad AE y su direccion origen es una direccion MAC del equipo UE; el envfo del mensaje de inicio de autenticacion EAP; la recepcion de un mensaje de autenticacion EAP enviado por la entidad AE, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de la entidad AE y su direccion de destino es la direccion MAC del equipo UE; y el reenvfo del mensaje de autenticacion EAP al equipo UE, de modo que el equipo UE tenga conocimiento de la direccion MAC de la entidad AE a partir del mensaje de autenticacion EAP; o la modificacion de la direccion origen del mensaje de autenticacion EAP recibido para ser una direccion MAC correspondiente a una interfaz de aire del punto de acceso AP, y el reenvfo del mensaje de autenticacion EAP cuya direccion de destino se modifica para el equipo de usuario UE.
Haciendo referencia a la Figura 4, pueden incluirse las etapas espedficas siguientes.
410. Un punto de acceso AP genera un mensaje de inicio de autenticacion EAP, en donde una direccion de destino del mensaje de inicio de autenticacion EAP es una direccion de multidifusion de PAE o una direccion MAC de una entidad AE y su direccion origen es una direccion MAC de un equipo de usuario UE.
En algunos escenarios operativos de aplicacion, un equipo UE no inicia activamente la autenticacion 802.1X despues de asociarse con un punto de acceso AP, es decir, no envfa activamente un mensaje EAPOL-Start. En este caso, el punto de acceso AP puede enviar un mensaje EAPOL-Start como un dispositivo proxy del equipo de usuario UE a la entidad AE, para iniciar la autenticacion 802.1X.
5
10
15
20
25
30
35
40
45
50
55
60
65
420. El punto de acceso AP env^a el mensaje de inicio de autenticacion EAP.
En la forma de realizacion, el punto de acceso AP inicia una demanda de autenticacion como un dispositivo proxy del equipo UE, para demandar a un lado de red la realizacion de la autenticacion de acceso para el equipo UE. El punto de acceso AP genera y envfa el mensaje de inicio de autenticacion EAP para iniciar un proceso de autenticacion de acceso del equipo UE. En una aplicacion practica, si la direccion MAC de la entidad AE esta configurada para el punto de acceso AP por anticipado, una direccion de destino del mensaje de inicio de autenticacion EAP generado y enviado por el punto de acceso AP es la direccion MAC de la entidad AE; si el punto de acceso AP no tiene conocimiento de la direccion MAC de la entidad AE en este momento, una direccion de destino del mensaje de inicio de autenticacion EAP generado y enviado por el punto de acceso AP es una direccion de multidifusion de PAE, en donde el mensaje de inicio de autenticacion EAP cuya direccion de destino es la direccion de multidifusion del PAE puede detectarse y recibirse por la entidad AE.
En correspondencia, la entidad AE puede recibir el mensaje de inicio de autenticacion EAP y tener conocimiento de que el equipo UE demanda una autenticacion de acceso y la entidad AE puede responder en conformidad con un proceso de autenticacion estandar.
430. El punto de acceso AP recibe un mensaje de autenticacion EAP enviado por la entidad AE, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de la entidad AE y si direccion de destino es la direccion MAC del equipo UE.
440. El punto de acceso AP reenvfa el mensaje de autenticacion EAP al equipo UE, de modo que el equipo UE tenga conocimiento de la direccion MAC de la entidad AE a partir del mensaje de autenticacion EAP; o modifica la direccion origen del mensaje de autenticacion EAP para ser una direccion MAC (tal como un identificador BSSID) correspondiente a una interfaz de aire del punto de acceso AP y reenvfa el mensaje de autenticacion EAP con la direccion origen modificada al equipo de usuario UE.
Despues de recibir el mensaje de inicio de autenticacion EAP, la entidad AE puede iniciar un proceso de autenticacion de acceso para el equipo UE y comunicarse con el equipo UE sobre otros mensajes de autenticacion EAP.
En un escenario operativo de aplicacion, si el punto de acceso AP recibe un mensaje de autenticacion EAP (tal como un mensaje de demanda de EAP (EAP-Request message) para demandar la identidad de un equipo UE u otro mensaje) enviado por la entidad AE, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de la entidad AE y su direccion de destino es la direccion MAC del equipo UE, el punto de acceso AP puede modificar la direccion origen del mensaje de autenticacion EAP para ser la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso AP y reenviar el mensaje de autenticacion EAP con la direccion origen modificada al equipo UE. En este caso, puesto que la direccion origen del mensaje de autenticacion EAP que se reenvfa por el punto de acceso AP y se recibe por el equipo UE es la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso AP, el equipo UE puede utilizar todavfa el punto de acceso AP como una entidad AE para continuar la autenticacion EAP. Posteriormente, si el punto de acceso AP recibe, ademas, otro mensaje de autenticacion EAP enviado por el equipo UE, en donde el mensaje de autenticacion EAP es un mensaje de autenticacion (a modo de ejemplo, un mensaje de respuesta EAP que incluye una identidad de UE (ID) u otro mensaje de autenticacion EAP) enviado por el equipo UE, con la excepcion de un mensaje de inicio de autenticacion EAP, su direccion de destino del mensaje de autenticacion EAP es la direccion mAc (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso AP y su direccion origen es la direccion MAC del equipo UE, el punto de acceso AP puede modificar la direccion de destino del mensaje de autenticacion EAP para ser la direccion MAC de la entidad AE y reenviar el mensaje de autenticacion EAP cuya direccion de destino se modifica. Dicho de otro modo, el punto de acceso AP puede modificar las direcciones origen y las direcciones de destino de todos los mensajes de autenticacion EAP comunicados entre el equipo UE y la entidad AE, modificar la direccion de destino del mensaje de autenticacion EAP procedente del UE para ser la direccion MAC de la entidad AE y modificar la direccion origen del mensaje de autenticacion EAP procedente de la entidad AE para ser la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso AP; y el equipo UE puede considerar siempre al punto de acceso AP como una entidad AE para la autenticacion EAP. Por lo tanto, el equipo UE puede enviar todos los mensajes de autenticacion EAP en un modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X.
En otro escenario operativo de aplicacion, posteriormente, si el punto de acceso AP recibe, ademas, un mensaje de autenticacion EAP (tal como un mensaje de demanda de EAP para demandar la identidad de un equipo UE u otro mensaje) enviado por la entidad AE, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de la entidad AE, y su direccion de destino es la direccion MAC del equipo UE, el punto de acceso AP no puede modificar la direccion origen o la direccion de destino del mensaje de autenticacion EAP procedente de la entidad AE, sino reenviar directamente el mensaje de autenticacion EAP al equipo UE, de modo que el equipo UE tenga conocimiento de la direccion MAC de la entidad AE a partir del mensaje de autenticacion EAP. En este escenario operativo, despues de recibir el mensaje de autenticacion EAP, el equipo UE puede tener conocimiento de
5
10
15
20
25
30
35
40
45
50
55
60
65
la direccion MAC de una entidad AE real, y puede comunicarse con la entidad AE sobre otros mensajes de autenticacion EAP utilizando la direccion MAC aprendida de la entidad AE posteriormente, completando, de este modo, la autenticacion de acceso. Dicho de otro modo, el punto de acceso AP actua como un dispositivo proxy para el equipo UE para generar y enviar el mensaje de inicio de autenticacion EAP (en donde la direccion de destino es la direccion de multidifusion de la PEA o la direccion MAC de la entidad AE y la direccion origen es la direccion MAC del equipo de usuario UE), para iniciar la autenticacion de acceso para el equipo UE, el punto de acceso AP no puede modificar una direccion origen o una direccion de destino de un mensaje de inicio de autenticacion EAP comunicado posteriormente entre el equipo UE y la entidad AE; y el equipo UE puede tener conocimiento de la direccion MAC de la entidad AE en funcion de una respuesta de la entidad AE al mensaje de inicio de autenticacion EAP. Por lo tanto, el equipo de usuario UE puede enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X.
Conviene senalar que el equipo UE mencionado en la forma de realizacion de la presente invencion puede ser varios dispositivos terminales que tienen capacidad de acceso de red de area local inalambrica, tal como un telefono movil o un ordenador portatil; y el punto de acceso AP puede ser varios dispositivos que tienen una funcion de acceso inalambrico. La solucion en conformidad con la forma de realizacion de la presente invencion implica principalmente un procesamiento intermedio realizado por el punto de acceso AP en parte o la totalidad de los mensajes de autenticacion EAP comunicados entre el equipo UE y la entidad AE y un mensaje de senalizacion de autenticacion comunicado entre la entidad AE y un AS puede ser el mismo o similar a un proceso estandar. Puede entenderse que bajo la arquitectura de autenticacion 802.1X, varios algoritmos de autenticacion EAP (a modo de ejemplo, algoritmos de autenticacion tales como EAP-PEAP, EAP-SIM/AKA y EAP-TLS) pueden seleccionarse en conformidad con los requisitos. Sin embargo, la autenticacion bajo la arquitectura de autenticacion de 802.1X no resulta afectada por diferentes algoritmos de autenticacion EAP.
En conformidad con la descripcion anterior, en la forma de realizacion, un punto de acceso AP en desarrollo de autenticacion centralizada genera y envfa un mensaje de inicio de autenticacion EAP cuya direccion de origen es una direccion MAC de un equipo UE y cuya direccion de destino es una direccion MAC de una entidad AE para actuar como un dispositivo proxy para el equipo UE para iniciar un proceso de autenticacion de acceso, modo que el mensaje de inicio de autenticacion EAP pueda alcanzar la entidad AE, con el fin de iniciar un proceso de autenticacion de acceso para el equipo UE y poner en practica la autenticacion centralizada 802.1X para el equipo UE en una red de area local inalambrica. Ademas, este mecanismo permite a un equipo UE enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X; por lo tanto, resulta innecesario modificar un programa de autenticacion que se establece en el equipo de usuario UE y esta basado en el mecanismo del protocolo IEEE 802.1X.
Forma de realizacion 3
Con el fin de ilustrar las soluciones tecnicas en conformidad con las formas de realizacion de la presente invencion con mayor claridad, la descripcion detallada siguiente se proporciona principalmente utilizando un proceso de realizacion de autenticacion de acceso para un equipo UE-1 usando un algoritmo de autenticacion EAP-TLS a modo de ejemplo.
Segun se ilustra en la Figura 5, pueden incluirse las etapas espedficas siguientes.
501. Un equipo UE-1 envfa un mensaje EAPOL-Start para iniciar la autenticacion 802.1X.
Una direccion de destino del mensaje EAPOL-Start es una direccion MAC (tal como un identificador BSSID) correspondiente a una interfaz de aire de un punto de acceso AP y su direccion origen es una direccion MAC del equipo UE-1.
502. El punto de acceso AP recibe el mensaje EAPOL-Start procedente del equipo UE-1, modifica la direccion de destino del mensaje EAPOL-Start para ser una direccion MAC de una entidad aE o una direccion multidifusion de un PAE y reenvfa el mensaje EAPOL-Start cuya direccion de destino es modificada.
En una aplicacion practica, si la direccion MAC de la entidad AE esta configurada para el punto de acceso AP por anticipado, el punto de acceso AP puede modificar la direccion de destino del mensaje EAPOL-Start para ser la direccion MAC de la entidad AE; si el punto de acceso AP no tiene conocimiento de la direccion MAC de la entidad AE en este momento operativo, el punto de acceso AP puede modificar la direccion de destino del mensaje EAPOL- Start para ser una direccion de multidifusion de PAE, en donde el mensaje EAPOL-Start cuya direccion de destino es la direccion de multidifusion de la PAE puede detectarse tambien y recibirse por la entidad AE.
503. La entidad AE recibe el mensaje EAPOL-Start cuya direccion de destino es modificada por el punto de acceso AP y reenvfa un mensaje de demanda de EAP para demandar la identidad del equipo UE-1.
Una direccion origen del mensaje EAP-Request es la direccion MAC de la entidad AE y su direccion de destino es la direccion MAC del equipo UE-1.
5
10
15
20
25
30
35
40
45
50
55
60
65
504. El punto de acceso AP recibe el mensaje EAP-Request procedente de la entidad AE, modifica la direccion origen del mensaje EAP-Request para ser la direccion mAc (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso AP y reenvfa el mensaje de demanda de EAP con la direccion origen modificada.
505. El equipo UE-1 recibe el mensaje de demanda de EAP cuya direccion origen se modifica por el punto de acceso AP y tiene conocimiento de que el lado de la red demanda un reconocimiento de identidad y luego, el equipo UE-1 envfa un mensaje de respuesta EAP (EAP-Response) al punto de acceso AP, en donde se incluye informacion tal como el identificador ID del equipo UE-1.
Puesto que el punto de acceso AP modifica la direccion origen del mensaje de demanda de EAP procedente de la entidad Ae, el equipo UE-1 todavfa considera al punto de acceso AP como la entidad AE para continuar el proceso de autenticacion. Una direccion de destino del mensaje de respuesta de EAP enviado por el equipo UE-1 es la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso AP y su direccion origen es la direccion MAC del equipo UE-1.
506. El punto de acceso AP recibe el mensaje de respuesta de EAP procedente del equipo UE-1, modifica la direccion de destino del mensaje de respuesta de EAP para ser la direccion MAC de la entidad AE y reenvfa el mensaje de respuesta de EAP cuya direccion de destino es modificada a la entidad AE.
507. La entidad AE envfa un mensaje EAP over Radius a un AS, en donde el mensaje de respuesta de EAP y el identificador ID de identidad del equipo UE-1 se incluyen en el mensaje EAP over Radius.
508. El AS identifica el equipo UE-1 y envfa un mensaje de demanda de EAP (TLS Start) a la entidad AE, que indica que un algoritmo de autenticacion EAP es EAP-TLS, para iniciar la autenticacion de EAP. Si el AS selecciona otro algoritmo de autenticacion EAP, el mensaje de demanda de EAP (TLS Start) puede indicar, en correspondencia un algoritmo correspondiente.
509. La entidad AE transmite el mensaje TLS Start al equipo UE-1 por intermedio del punto de acceso AP.
510. El equipo UE-1 envfa un mensaje TLS client_hello a la entidad AE por intermedio del punto de acceso AP para dar respuesta al mensaje TLS Start.
511. La entidad AE transmite el mensaje TLS client_hello al AS.
512. El AS envfa un mensaje TLS server_hello a la entidad AE, en donde el mensaje puede incluir un certificado AS, informacion de intercambio de claves y un conjunto de encriptacion de seguridad que soportar por el AS y demanda un certificado del equipo UE-1.
513. La entidad AE transmite el mensaje TLS server_hello al equipo UE-1 por intermedio del punto de acceso AP.
514. El equipo UE-1 verifica el certificado de AS y envfa un mensaje que incluye un resultado de la autenticacion, un certificado del equipo UE-1, informacion de intercambio de claves y un conjunto de encriptacion de seguridad soportado por el equipo UE-1 a la entidad AE por intermedio del punto de acceso AP.
515. La entidad AE transmite el mensaje al AS.
516. Despues de la autenticacion operativamente satisfactoria, el AS envfa un mensaje que incluye un conjunto de encriptacion de seguridad seleccionado por el AS para la entidad AE.
517. La entidad AE transmite el mensaje al equipo UE-1 por intermedio del punto de acceso AP.
518. El equipo UE-1 envfa un mensaje de respuesta de EAP a la entidad AE por intermedio del punto de acceso AP.
519. La entidad AE transmite el mensaje de respuesta de EAP al AS.
520. El AS envfa un mensaje de exito operativo de EAP (EAP-Success) a la entidad AE, indicando que la autenticacion es operativamente satisfactoria.
521. La entidad AE transmite el mensaje de exito operativo de EAP al equipo UE-1 por intermedio del punto de acceso AP, de modo que el equipo UE-1 tenga conocimiento de que la autenticacion es operativamente satisfactoria.
Conviene senalar que en la etapa 504, si despues de recibir el mensaje de demanda de AP procedente de la entidad AE, el punto de acceso AP no modifica la direccion origen del mensaje (la direccion MAC de la entidad AE), pero reenvfa directamente el mensaje de demanda de AP al equipo UE-1, de modo que el equipo UE-1 pueda tener
5
10
15
20
25
30
35
40
45
50
55
60
65
conocimiento de la direccion MAC de la entidad AE a partir del mensaje de autenticacion EAP, el equipo UE-1 puede obtener la direccion MAC de la entidad AE y posteriormente, el equipo UE-1 puede comunicarse con la entidad AE sobre otros mensajes de autenticacion EAP utilizando la direccion MAC aprendida de la entidad AE para completar la autenticacion de acceso. Dicho de otro modo, el punto de acceso AP solamente puede modificar la direccion de destino del mensaje EAPOL-Start desde el equipo UE-1, pero no modificar la direccion origen o la direccion de destino de un mensaje de autenticacion EAP comunicado entre el equipo UE-1 y la entidad AE con posterioridad; y el equipo UE-1 puede tener conocimiento de la direccion MAC de la entidad AE en funcion de una respuesta de la entidad AE al mensaje de inicio de autenticacion EAP, de modo que el equipo UE-1 pueda enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X. Por supuesto, el mensaje over RADIUS comunicado entre la entidad AE y el As no necesita modificarse.
Conviene senalar que la forma de realizacion se describe tomando principalmente un proceso de realizacion de la autenticacion de acceso para el equipo UE-1 sobre la base de un algoritmo de autenticacion de EAP-TLS, a modo de ejemplo. Por supuesto, un algoritmo de autenticacion tal como EAP-PEAP o EAP-SIM/AKA puede seleccionarse tambien para realizar la autenticacion de acceso para el equipo UE-1, en donde un proceso de aplicacion es el mismo y por ello no se repiten aqu sus detalles.
En conformidad con la descripcion que antecede, en la forma de realizacion, la autenticacion centralizada 802.1X en una red de area local inalambrica se pone en practica detectando y retransmitiendo un mensaje EAPOL mediante un punto de acceso AP en un desarrollo de autenticacion centralizada. Despues de la recepcion, desde un equipo UE de un mensaje de inicio de autenticacion EAP cuya direccion de destino es una direccion MAC (tal como un identificador BSSID) correspondiente a una interfaz de aire del punto de acceso AP, el punto de acceso AP modifica la direccion de destino del mensaje para ser una direccion MAC de una entidad AE, y reenvfa el mensaje de inicio de autenticacion EAP cuya direccion de destino se modifica, de modo que el mensaje de inicio de autenticacion EAP pueda alcanzar la entidad AE en lugar de detenerse en el punto de acceso AP, con el fin de iniciar un proceso de autenticacion de acceso para el equipo UE y realizar la autenticacion centralizada 802.1X para el equipo UE en una red de area local inalambrica. Ademas, este mecanismo permite al equipo UE enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X; por lo tanto, resulta innecesario modificar un programa de autenticacion que se establece en el equipo UE y esta basado en el mecanismo del protocolo IEEE 802.1X.
Forma de realizacion 4
Con el fin de ilustrar las soluciones tecnicas en conformidad con las formas de realizacion de la presente invencion con mayor claridad, un proceso de realizacion de autenticacion de acceso para un equipo UE-1 sobre la base de un algoritmo de autenticacion de EAP-TLS se toma, a modo de ejemplo, para una descripcion detallada a continuacion. La forma de realizacion utiliza un ejemplo en donde un punto de acceso AP actua como un dispositivo proxy de un equipo UE-1 para iniciar una autenticacion de acceso.
Segun se ilustra en la Figura 6, pueden incluirse las etapas espedficas siguientes.
601. Un punto de acceso AP genera y envfa un mensaje EAPOL-Start.
Una direccion de destino del mensaje EAPOL-Start es una direccion MAC (tal como un identificador BSSID) de una entidad AE o una direccion de multidifusion de una PAE y su direccion origen es una direccion MAC de un equipo UE-1.
En algunos escenarios operativos de aplicacion, un equipo UE-1 no inicia activamente una autenticacion 802.1X despues de asociarse con un punto de acceso AP. Es decir, no envfa activamente un mensaje EAPOL-Start. En este caso, el punto de acceso AP puede enviar un mensaje EAPOL-Start como un dispositivo proxy del equipo UE-1 a la entidad AE, para iniciar una autenticacion 802.1X.
En una aplicacion practica, si la direccion MAC de la entidad AE esta configurada para el punto de acceso AP por anticipado, el punto de acceso AP puede establecer la direccion de destino del mensaje EAPOL-Start para ser la direccion MAC de la entidad AE; si el punto de acceso AP no tiene conocimiento de la direccion MAC de la entidad AE en este momento operativo, el punto de acceso AP puede establecer la direccion de destino del mensaje EAPOL-Start para ser una direccion de multidifusion de una PAE, en donde el mensaje EAPOL-Start cuya direccion de destino es la direccion de multidifusion de la PAE puede detectarse tambien y recibirse por la entidad Ae.
602. La entidad AE recibe el mensaje EAPOL-Start desde el punto de acceso AP, y reenvfa un mensaje de demanda de EAP para demandar la identidad de un equipo UE-1, en donde una direccion origen del mensaje de demanda de EAP es la direccion MAC de la entidad AE y su direccion de destino es una direccion MAC del equipo UE-1.
603. El punto de acceso AP recibe el mensaje de demanda de EAP procedente de la entidad AE, y reenvfa el mensaje de demanda de EAP al equipo UE-1.
5
10
15
20
25
30
35
40
45
50
55
60
65
604. El equipo UE-1 recibe el mensaje de demanda de EAP y tiene conocimiento de que un lado de la red demanda un reconocimiento de identidad y a continuacion, el equipo UE-1 env^a un mensaje de respuesta de EAP a la entidad AE por intermedio del punto de acceso AP, en donde informacion tal como el identificador ID se incluye en el mensaje de respuesta.
Puesto que el punto de acceso AP modifico la direccion origen del mensaje de demanda de EAP procedente de la entidad Ae, el equipo UE-1 puede tener conocimiento de la direccion mAc de la entidad AE y posteriormente, el equipo UE-1 puede comunicarse con la entidad AE sobre otros mensajes de autenticacion EAP utilizando la direccion MAC aprendida de la entidad AE para completar la autenticacion de acceso.
605. La entidad AE recibe el mensaje de respuesta de EAP reenviado por el punto de acceso AP y envfa un mensaje EAP over Radius a un AS, en donde el mensaje de respuesta de EAP y el identificador ID de identidad del equipo UE-1 se incluyen en el mensaje EAP over Radius.
606. El AS identifica el equipo UE-1 y envfa un mensaje de demanda de EAP (TLS Start) a la entidad AE, lo que indica que un algoritmo de autenticacion de EAP es EAP-TLS, para iniciar la autenticacion EAP. Si el AS selecciona otro algoritmo de autenticacion, el mensaje de demanda de eAp (TLS Start) puede indicar, consecuentemente, un algoritmo correspondiente.
607. La entidad AE transmite el mensaje TLS Start al equipo UE-1 por intermedio del punto de acceso AP.
608. El equipo UE-1 envfa un mensaje TLS client_hello a la entidad AE por intermedio del punto de acceso AP para dar respuesta al mensaje TLS Start.
609. La entidad AE transmite el mensaje TLS client_hello al AS.
610. El AS envfa un mensaje TLS server_hello a la entidad AE, en donde el mensaje puede incluir un certificado de AS, informacion de intercambio de claves y un conjunto de encriptacion de seguridad soportado por el AS y demanda un certificado del equipo UE-1.
611. La entidad AE transmite el mensaje TLS server_hello al equipo UE-1 por intermedio del punto de acceso AP.
612. El equipo UE-1 verifica el certificado de AS y envfa un mensaje que incluye un resultado de autenticacion, un certificado del equipo UE-1, informacion de intercambio de claves y un conjunto de encriptacion de seguridad soportado por el equipo UE-1 a la entidad AE por intermedio del punto de acceso AP.
613. La entidad AE transmite el mensaje al AS.
614. Despues de un resultado satisfactorio de la autenticacion, el AS envfa un mensaje que incluye un conjunto de encriptacion de seguridad seleccionado por el AS para la entidad AE.
615. La entidad AE transmite el mensaje al equipo UE-1 por intermedio del punto de acceso AP.
616. El equipo UE-1 envfa un mensaje de respuesta de EAP a la entidad AE por intermedio del punto de acceso AP.
617. La entidad AE transmite el mensaje de respuesta de EAP al AS.
618. El AS envfa un mensaje EAP-Success a la entidad AE, indicando que la autenticacion es operativamente satisfactoria.
619. La entidad AE transmite el mensaje EAP-Success al equipo UE-1 por intermedio del punto de acceso AP, de modo que el equipo UE-1 tenga conocimiento de que la autenticacion es operativamente satisfactoria.
Conviene senalar que en la etapa 603, si despues de recibir el mensaje de demanda de EAP procedente de la entidad AE, el punto de acceso AP modifica la direccion origen (la direccion MAC de la entidad Ae) para ser una direccion MAC (tal como un identificador BSSID) correspondiente a una interfaz de aire del punto de acceso AP, el equipo UE-1 puede considerar todavfa al punto de acceso AP como una entidad AE para continuar el proceso de autenticacion y posteriormente, el punto de acceso AP procesa todavfa un mensaje EAP-Start comunicado entre el equipo UE-1 y la entidad AE en conformidad con el metodo descrito en la forma de realizacion 3. Por supuesto, el mensaje EAP over RADIUS comunicado entre la entidad AE y el AS no necesita modificarse.
Conviene senalar que la forma de realizacion se describe tomando a modo de ejemplo, principalmente, un proceso de realizacion de autenticacion de acceso para el equipo UE-1 sobre la base de un algoritmo de autenticacion de EAP-TLS. Por supuesto, un algoritmo de autenticacion tal como EAP-PEAP o EAP-SIM/AKA puede seleccionarse tambien para realizar una autenticacion de acceso para el equipo UE-1, en donde un proceso de aplicacion es el mismo y por ello no se repiten aqrn sus detalles.
5
10
15
20
25
30
35
40
45
50
55
60
65
En conformidad con la descripcion que antecede, en la forma de realizacion, un punto de acceso AP en un desarrollo de autenticacion centralizada genera y envfa un mensaje de inicio de autenticacion EAP cuya direccion origen es una direccion MAC de un equipo UE y cuya direccion de destino es una direccion MAC de una entidad AE, para actuar como un dispositivo proxy para el equipo UE para iniciar un proceso de autenticacion de acceso, de modo que el mensaje de inicio de autenticacion EAP puede alcanzar la entidad AE, con el fin de iniciar un proceso de autenticacion de acceso para el equipo UE y realizar la autenticacion centralizada 802.1X para el equipo UE en una red de area local inalambrica. Ademas, este mecanismo permite a un equipo UE enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X; por lo tanto, resulta innecesario modificar un programa de autenticacion que se establece en el equipo UE y que esta basado en el mecanismo de protocolo IEEE 802.1X.
Con el fin de una mejor puesta en practica del metodo anterior en conformidad con las formas de realizacion de la presente invencion, dichas formas de realizacion dan a conocer, ademas, un aparato y sistema pertinentes para poner en practica el metodo anterior.
Segun se ilustra en la Figura 7, un dispositivo de punto de acceso 700 en conformidad con una forma de realizacion de la presente invencion puede incluir un primer modulo de recepcion 710, un primer modulo de modificacion de direccion 720 y un primer modulo de reenvfo 730,
en donde el primer modulo de recepcion 710 esta configurado para recibir un mensaje de inicio de autenticacion EAP enviado por un equipo UE, en donde una direccion de destino del mensaje de inicio de autenticacion EAP es una direccion MAC correspondiente a una interfaz de aire del dispositivo de punto de acceso 700 y su direccion origen es una direccion MAC del equipo UE;
el primer modulo de modificacion de direccion 720 esta configurado para modificar la direccion de destino del mensaje de inicio de autenticacion EAP recibido por el primer modulo de recepcion 710 para ser una direccion de multidifusion de una PAE o una direccion MAC de una entidad AE; y
el primer modulo de reenvfo 730 esta configurado para reenviar el mensaje de inicio de autenticacion EAP cuya direccion de destino es modificada por el primer modulo de modificacion de direccion 720, de modo que la entidad AE inicie la autenticacion de acceso para el equipo UE en conformidad con el mensaje de inicio de autenticacion EAP cuya direccion de destino es modificada.
En un escenario operativo de aplicacion, el dispositivo del punto de acceso AP 700 puede incluir, ademas, un segundo modulo de recepcion, un segundo modulo de modificacion de direccion y un segundo modulo de reenvfo (no ilustrado en la Figura 7), en donde
el segundo modulo de recepcion esta configurado para recibir un mensaje de autenticacion EAP enviado por la entidad AE, en donde una direccion origen del mensaje de autenticacion eAp es la direccion MAC de la entidad AE, y su direccion de destino es la direccion MAC del equipo UE;
el segundo modulo de modificacion de direccion esta configurado para modificar la direccion origen del mensaje de autenticacion EAP recibido por el segundo modulo de recepcion para ser la direccion MAC correspondiente a la interfaz de aire del dispositivo de punto de acceso 700, y
el segundo modulo de reenvfo esta configurado para reenviar el mensaje de autenticacion EAP cuya direccion origen es modificada por el segundo modulo de modificacion de direccion al equipo UE.
En un escenario operativo de aplicacion, el primer modulo de recepcion 710 esta configurado, ademas, para recibir un segundo mensaje de autenticacion eAp enviado por el equipo UE, en donde el segundo mensaje de autenticacion EAP es un mensaje de autenticacion enviado por el equipo UE, con la excepcion del mensaje de inicio de autenticacion EAP, una direccion de destino del segundo mensaje de autenticacion EAP es la direccion MAC correspondiente a la interfaz de aire del dispositivo de punto de acceso 700 y su direccion origen es la direccion MAC del equipo UE.
El primer modulo de modificacion de direccion 720 esta configurado, ademas, para modificar la direccion de destino del segundo mensaje de autenticacion EAP recibido por el primer modulo de recepcion para ser la direccion MAC de la entidad AE.
El primer modulo de reenvfo 730 esta configurado, ademas, para reenviar el segundo mensaje de autenticacion EAP cuya direccion de destino es modificada por el primer modulo de modificacion de direccion.
En un escenario operativo de aplicacion, el dispositivo de punto de acceso 700 puede incluir, ademas, un tercer modulo de recepcion y un tercer modulo de reenvfo (no ilustrado en la Figura 7),
en donde el tercer modulo de recepcion esta configurado para recibir un tercer mensaje de autenticacion EAP
5
10
15
20
25
30
35
40
45
50
55
60
65
enviado por la entidad AE, en donde una direccion origen del tercer mensaje de autenticacion EAP es la direccion MAC de la entidad AE y su direccion de destino es la direccion MAC del equipo de usuario UE; y
el tercer modulo de reenvfo esta configurado para reenviar, al equipo UE, el tercer mensaje de autenticacion EAP recibido por el tercer modulo de recepcion, de modo que el equipo UE tenga conocimiento de la direccion MAC de la entidad Ae a partir del tercer mensaje de autenticacion EAP.
Conviene senalar que el dispositivo de punto de acceso 700 en la forma de realizacion puede ser el dispositivo de punto de acceso en la forma de realizacion 1 o forma de realizacion 3 del metodo anterior, y se puede utilizar para servir de ayuda en la puesta en practica de todas soluciones tecnicas en la forma de realizacion 1 o forma de realizacion 3 del metodo anterior, cuyas funciones de modulos funcionales pueden realizarse concretamente en conformidad con el metodo descrito en las formas de realizacion del metodo anterior y puede hacerse referencia a la descripcion pertinente en las formas de realizacion anteriores para sus procesos de puesta en practica espedficos y por ello aqu no se repiten sus detalles.
En conformidad con la descripcion que antecede, despues del punto de acceso 700 en un desarrollo de autenticacion centralizada en conformidad con la forma de realizacion reciba, desde un equipo UE, un mensaje de inicio de autenticacion EAP cuya direccion de destino es una direccion MAC (tal como un identificador BSSID) correspondiente a una interfaz de aire del punto de acceso 700, el punto de acceso 700 modifica la direccion de destino del mensaje para ser una direccion MAC de una entidad AE, y reenvfa el mensaje de inicio de autenticacion EAP cuya direccion de destino es modificada, de modo que el mensaje de inicio de autenticacion EAP pueda alcanzar la entidad AE en lugar de detenerse en el punto de acceso 700, con el fin de iniciar un proceso de autenticacion del acceso para el equipo UE y realizar una autenticacion centralizada 802.1X para el equipo UE en una red de area local inalambrica. Ademas, este mecanismo permite al equipo UE enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X; por lo tanto, resulta innecesario modificar un programa de autenticacion que se establece en el equipo UE y que esta basado en el mecanismo del protocolo IEEE 802.1X.
Segun se ilustra en la Figura 8, un dispositivo de punto de acceso 800 en conformidad con una forma de realizacion de la presente invencion, puede incluir:
un modulo de generacion 810, configurado para generar un mensaje de inicio de autenticacion EAP, en donde una direccion de destino del mensaje de inicio de autenticacion EAP es una direccion de multidifusion de una PAE o una direccion MAC de una entidad Ae, y su direccion origen es una direccion MAC de un equipo de usuario UE;
un modulo de envfo 820, configurado para enviar el mensaje de inicio de autenticacion EAP generado por el modulo de generacion 810;
un modulo de recepcion 830, configurado para recibir un mensaje de autenticacion EAP enviado por la entidad AE, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de la entidad AE, y su direccion de destino es la direccion MAC del equipo de usuario UE; y
un modulo de reenvfo 840, configurado para reenviar el mensaje de autenticacion EAP recibido por el modulo de recepcion 830 al equipo UE, de modo que el equipo UE tenga conocimiento de la direccion MAC de la entidad AE a partir del mensaje de autenticacion EAP.
En un escenario operativo de aplicacion, con posterioridad, si el punto de acceso 800 recibe, ademas, un mensaje de autenticacion eAp (tal como un mensaje de demanda de EAP para demandar la identidad de un equipo UE u otro mensaje) enviado por la entidad AE, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de la entidad AE y su direccion de destino es la direccion MAC del equipo UE, el punto de acceso 800 no puede modificar la direccion origen o la direccion de destino del mensaje de autenticacion EAP procedente de la entidad AE, pero realiza un reenvfo directo del mensaje de autenticacion EAP al equipo de usuario UE, de modo que el equipo UE tenga conocimiento de la direccion MAC de la entidad AE a partir del mensaje de autenticacion EAP. En este escenario operativo, despues de recibir el mensaje de autenticacion EAP, el equipo UE puede tener conocimiento de la direccion MAC de una entidad AE real, y puede comunicarse con la entidad AE sobre otros mensajes de autenticacion EAP utilizando la direccion MAC aprendida de la entidad AE con posterioridad, con lo que se completa la autenticacion de acceso. Dicho de otro modo, despues de que el punto de acceso 800 actue como un dispositivo proxy para el equipo UE para generar y enviar el mensaje de inicio de autenticacion EAP (en donde la direccion de destino es la direccion de multidifusion de la PAE o la direccion MAC de la entidad AE, y la direccion origen es la direccion MAC del equipo UE), para iniciar la autenticacion de acceso para el equipo UE, el punto de acceso 800 no puede modificar una direccion origen o una direccion de destino de un mensaje de inicio de autenticacion EAP comunicado posteriormente entre el equipo UE y la entidad AE; y el equipo UE puede tener conocimiento de la direccion MAC de la entidad AE en funcion de una respuesta de la entidad Ae al mensaje de inicio de autenticacion EAP. Por lo tanto, el equipo UE puede enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X.
5
10
15
20
25
30
35
40
45
50
55
60
65
Conviene senalar que el dispositivo de punto de acceso 800 en la forma de realizacion, puede ser el dispositivo de punto de acceso en la forma de realizacion 2 o forma de realizacion 4 del metodo anterior puede utilizarse para servir de ayuda en la puesta en practica de todas las funciones tecnicas en la forma de realizacion 2 o forma de realizacion 4 del metodo anterior, siendo las funciones de sus modulos funcionales puestas en practica concretamente en conformidad con el metodo en las formas de realizacion del metodo anteriores y puede hacerse referencia a la descripcion pertinente en las formas de realizacion anteriores para sus procesos de puesta en practica espedficos y por ello no se repiten aqu sus detalles.
En conformidad con la descripcion que antecede, en la forma de realizacion, un punto de acceso 800 en el desarrollo de autenticacion centralizada genera y envfa un mensaje de inicio de autenticacion EAP cuya direccion origen es una direccion MAC de un equipo UE y cuya direccion de destino es una direccion MAC de una entidad AE, para actuar como un dispositivo proxy para el equipo UE para iniciar un proceso de autenticacion de acceso, de modo que el mensaje de inicio de autenticacion EAP pueda alcanzar la entidad AE, con el fin de iniciar un proceso de autenticacion de acceso para el equipo UE y poner en practica la autenticacion centralizada 802.1X para el equipo UE en una red de area local inalambrica. Ademas, este mecanismo permite a un equipo de usuario UE enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X; por lo tanto, resulta innecesario modificar un programa de autenticacion que se establece en el equipo UE y que esta basado en el mecanismo del protocolo IEEE 802.1X.
Segun se ilustra en la Figura 9, un dispositivo de punto de acceso 900 en conformidad con una forma de realizacion de la presente invencion puede incluir:
un modulo de generacion 910, configurado para generar un mensaje de inicio de autenticacion EAP, en donde una direccion de destino del mensaje de inicio de autenticacion EAP es una direccion de multidifusion de una PAE o una direccion MAC de una entidad Ae y su direccion origen es una direccion MAC de un equipo UE;
un modulo de envfo 920, configurado para enviar el mensaje de inicio de autenticacion EAP generado por el modulo de generacion 910;
un modulo de recepcion 930, configurado para recibir un mensaje de autenticacion EAP enviado por la entidad AE, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de la entidad AE y su direccion de destino es la direccion MAC del equipo UE; y
un modulo de modificacion y de reenvfo 940, configurado para modificar la direccion origen del mensaje de autenticacion EAP recibido por el modulo de recepcion 930 para ser una direccion MAC (tal como un identificador BSSID) correspondiente a una interfaz de aire del punto de acceso 900 y para reenviar el mensaje de autenticacion EAP con la direccion origen modificada al equipo UE.
En un escenario operativo de aplicacion, si el punto de acceso 900 recibe un mensaje de autenticacion EAP (a modo de ejemplo, el mensaje de autenticacion EAP es un mensaje de demanda de EAP (mensaje EAP-Request) para demandar la identidad de un equipo UE u otro mensaje) enviado por la entidad AE, en donde una direccion origen del mensaje de autenticacion EAP es una direccion mAc de la entidad AE, su direccion de destino es una direccion MAC de un equipo UE, el punto de acceso 900 puede modificar la direccion origen del mensaje de autenticacion EAP para ser una direccion MAC del punto de acceso 900 y para reenviar el mensaje de autenticacion EAP con la direccion origen modificada al equipo Ue. En este caso, puesto que la direccion origen del mensaje de autenticacion EAP que se reenvfa por el punto de acceso 900 y se recibe por el equipo UE es la direccion MAC (tal como un identificador BSSID) correspondiente a una interfaz de aire del punto de acceso 900, el equipo UE puede todavfa utilizar el punto de acceso 900 como una entidad AE para continuar la autenticacion EAP. Posteriormente, si el punto de acceso 900 recibe, ademas, otro mensaje de autenticacion EAP enviado por el equipo UE, en donde el mensaje de autenticacion EAP es un mensaje de autenticacion (a modo de ejemplo, un mensaje de respuesta de EAP que incluye una identidad de UE (ID) u otro mensaje de autenticacion eAp) enviado por el equipo UE, con la excepcion del mensaje de inicio de autenticacion EAP, una direccion de destino del mensaje de autenticacion EAP es la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso 900 y su direccion origen es la direccion MAC del equipo UE, el punto de acceso 900 puede modificar la direccion de destino del mensaje de autenticacion EAP para ser la direccion MAC de la entidad AE y reenviar el mensaje de autenticacion EAP cuya direccion de destino es modificada. Dicho de otro modo, el punto de acceso AP puede modificar direcciones origen o direcciones de destino de todos los mensajes de autenticacion EAP comunicados entre el equipo UE y la entidad AE, modificar la direccion de destino del mensaje de autenticacion EAP procedente del equipo UE para ser la direccion MAC de la entidad AE y modificar la direccion origen del mensaje de autenticacion EAP procedente de la entidad AE para ser la direccion MAC del punto de acceso 900; y el equipo UE puede considerar siempre el punto de acceso 900 como una entidad AE para la autenticacion EAP. Por lo tanto, el equipo UE puede enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X.
Conviene senalar que el dispositivo de punto de acceso 900 en la forma de realizacion puede ser un dispositivo de punto de acceso en la forma de realizacion 2 o forma de realizacion 4 del metodo anterior, y puede utilizarse para
5
10
15
20
25
30
35
40
45
50
55
60
65
servir de ayuda en la puesta en practica de todas las soluciones tecnicas en la forma de realizacion 2 o forma de realizacion 4 del metodo anterior, siendo las funciones de sus modulos funcionales puestas en practica concretamente en conformidad con el metodo en las formas de realizacion del metodo anterior y puede hacerse referencia a la descripcion pertinente en las formas de realizacion anteriores para sus procesos de puesta en practica espedficos y por ello no se repiten aqu sus detalles.
En conformidad con la descripcion que antecede, en la forma de realizacion, un punto de acceso 900 en el desarrollo de autenticacion centralizada genera y envfa un mensaje de inicio de autenticacion EAP cuya direccion origen es una direccion MAC de un equipo UE y cuya direccion de destino es una direccion MAC de una entidad AE, para actuar como un dispositivo proxy para el equipo UE para iniciar un proceso de autenticacion de acceso, de modo que el mensaje de inicio de autenticacion EAP puede alcanzar la entidad AE, con el fin de iniciar un proceso de autenticacion de acceso para el equipo UE y poner en practica la autenticacion centralizada 802.1X para el equipo UE en una red de area local inalambrica. Ademas, este mecanismo permite a un equipo UE enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X; por lo tanto, resulta innecesario modificar un programa de autenticacion que se establece en el equipo UE y sobre la base del mecanismo del protocolo IEEE 802.1X.
Segun se ilustra en la Figura 10, una forma de realizacion de la presente invencion da a conocer un sistema para la autenticacion centralizada 802.1X en una red de area local inalambrica, en donde una red de area local inalambrica incluye una entidad de autenticacion 1010, un punto de acceso 1020 y al menos un equipo de usuario 1030 y la entidad de autenticacion 1010 esta conectada a al menos un equipo de usuario 1030 por intermedio del punto de acceso 1020,
en donde el punto de acceso 1020 esta configurado para recibir un mensaje de inicio de autenticacion EAP del protocolo de autenticacion extensiva enviado por el equipo de usuario 1030, en donde una direccion de destino del mensaje de inicio de autenticacion EAP es una direccion MAC de control de acceso al medio del punto de acceso 1020, y su direccion origen es una direccion MAC del equipo de usuario 1030; modificar la direccion de destino del mensaje de inicio de autenticacion EAP para ser una direccion de multidifusion de una entidad de acceso de puerto o una direccion MAC de la entidad de autenticacion 1010; y reenviar el mensaje de inicio de autenticacion EAP cuya direccion de destino es modificada, de modo que la entidad de autenticacion 1010 inicie la autenticacion de acceso para el equipo de usuario 1030, en conformidad con el mensaje de inicio de autenticacion EAP cuya direccion de destino es modificada.
En un escenario operativo de aplicacion, si el punto de acceso 1020 recibe, ademas, un mensaje de autenticacion EAP (tal como un mensaje de demanda de EAP para demandar la identidad del equipo de usuario 1030 u otro mensaje) enviado por la entidad de autenticacion 1010, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de la entidad de autenticacion 1010, y su direccion de destino es la direccion MAC del equipo de usuario 1030, el punto de acceso puede modificar la direccion origen del mensaje de autenticacion EAP para ser la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso y reenviar el mensaje de autenticacion EAP con la direccion origen modificada al equipo de usuario 1030. En este caso, puesto que la direccion origen del mensaje de autenticacion EAP que se reenvfa por el punto de acceso 1020 y se recibe por el equipo de usuario 1030 es la direccion MAC del punto de acceso 1020, el equipo de usuario 1030 puede considerar todavfa el punto de acceso 1020 como una entidad AE para continuar la autenticacion EAP. Si el punto de acceso 1020 recibe, ademas, un segundo mensaje de autenticacion EAP enviado por el equipo de usuario 1030, en donde el segundo mensaje de autenticacion eAp es un mensaje de autenticacion enviado por el equipo de usuario 1030 con la excepcion del mensaje de inicio de autenticacion EAP (el segundo mensaje de autenticacion EAP es, a modo de ejemplo, un mensaje de respuesta de EAP que incluye la identidad (ID) del equipo de usuario 1030 u otro mensaje de autenticacion EAP), una direccion de destino del segundo mensaje de autenticacion EAP es la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso 1020 y su direccion origen es la direccion MAC del equipo de usuario 1030, el punto de acceso 1020 puede modificar la direccion de destino del segundo mensaje de autenticacion EAP para ser la direccion MAC de la entidad de autenticacion 1010 y reenviar el segundo mensaje de autenticacion EAP cuya direccion de destino es modificada. Dicho de otro modo, el punto de acceso 1020 puede modificar las direcciones origen o las direcciones de destino de todos los mensajes de autenticacion EAP comunicados entre el equipo de usuario 1030 y la entidad de autenticacion 1010, modificar una direccion de destino de un mensaje de autenticacion EAP desde el equipo de usuario 1030 a la direccion MAC de la entidad de autenticacion 1010 y modificar una direccion origen de un mensaje de autenticacion EAP desde la entidad de autenticacion 1010 para ser la direccion MAC del punto de acceso 1020; y el equipo de usuario 1030 puede considerar siempre al punto de acceso 1020 como una entidad AE para la autenticacion EAP. Puesto que el equipo de usuario 1030 tiene conocimiento de la direccion MAC del punto de acceso 1020 antes de la autenticacion, el equipo de usuario 1030 puede enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X.
En otro escenario operativo de aplicacion, si el punto de acceso 1020 recibe, ademas, un tercer mensaje de autenticacion EAP (tal como un mensaje EAP-Request para demandar la identidad del equipo de usuario 1030 u otro mensaje) enviado por la entidad de autenticacion 1010, en donde una direccion origen del tercer mensaje de autenticacion EAP es la direccion MAC de la entidad de autenticacion 1010, y su direccion de destino es la direccion
5
10
15
20
25
30
35
40
45
50
55
60
65
MAC del equipo de usuario 1030, el punto de acceso 1020 no puede modificar la direccion origen o la direccion de destino del tercer mensaje de autenticacion EAP, pero puede reenviar directamente el tercer mensaje de autenticacion EAP al equipo de usuario 1030, de modo que el equipo de usuario 1030 pueda tener conocimiento de la direccion MAC de la entidad de autenticacion 1010 a partir del tercer mensaje de autenticacion EAP. En este escenario operativo, despues de recibir el tercer mensaje de autenticacion EAP, el equipo de usuario 1030 puede tener conocimiento de la direccion MAC de una entidad de autenticacion real, y puede comunicarse con la entidad de autenticacion 1010 sobre otros mensajes de autenticacion EAP utilizando la direccion MAC aprendida de la entidad de autenticacion 1010 con posterioridad, con lo que se completa la autenticacion de acceso. Dicho de otro modo, el punto de acceso 1020 solamente puede modificar la direccion de destino del mensaje de inicio de autenticacion EAP (un primer mensaje de autenticacion EAP procedente del equipo de usuario 1030), pero no puede modificar la direccion origen o la direccion de destino de un mensaje de inicio de autenticacion EAP comunicado posteriormente entre el equipo de usuario 1030 y la entidad de autenticacion 1010; y el equipo de usuario 1030 puede tener conocimiento de la direccion MAC de la entidad de autenticacion 1010 en conformidad con una respuesta de la entidad de autenticacion 1010 al mensaje de inicio de autenticacion EAP; de modo que el equipo de usuario 1030 pueda enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X.
En un escenario operativo de aplicacion, el punto de acceso 1020 puede configurarse, ademas, para generar un mensaje de inicio de autenticacion EAP, en donde una direccion de destino del mensaje de inicio de autenticacion EAP es una direccion de multidifusion de una entidad de acceso de puerto o una direccion MAC de la entidad de autenticacion 1010 y su direccion origen es una direccion MAC de un segundo equipo de usuario (no ilustrado en la Figura 10); enviar el mensaje de inicio de autenticacion EAP; recibir un mensaje de autenticacion EAP enviado por la entidad de autenticacion 1010, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de la entidad de autenticacion 1010 y su direccion de destino es la direccion MAC del segundo equipo de usuario; y modificar la direccion origen del mensaje de autenticacion EAP para ser una direccion MAC correspondiente a una interfaz de aire del punto de acceso 1020 y reenviar el mensaje de autenticacion EAP con la direccion origen modificada al segundo equipo de usuario.
Conviene senalar que el punto de acceso 1020 en la forma de realizacion, puede ser el dispositivo de punto de acceso en la forma de realizacion 1 o forma de realizacion 3 del metodo anterior, y puede utilizarse para servir de ayuda en la puesta en practica de todas las soluciones tecnicas en la forma de realizacion 1 o forma de realizacion 3 del metodo anterior, cuyas funciones de los modulos funcionales pueden ponerse en practica concretamente en conformidad con el metodo en las formas de realizacion del metodo anteriores y puede hacerse referencia a la descripcion pertinente en las formas de realizacion anteriores para sus procesos de puesta en practica espedficos y por ello no se repiten aqrn de nuevo sus detalles.
Segun se ilustra en la Figura 11, una forma de realizacion de la presente invencion da a conocer un sistema para la autenticacion centralizada 802.1X en una red de area local inalambrica, en donde una red de area local inalambrica incluye una entidad de autenticacion 1110, un punto de acceso 1120 y al menos un equipo de usuario 1130 y la entidad de autenticacion 1110 esta conectada a al menos un equipo de usuario 1130 por intermedio del punto de acceso 1120,
en donde el punto de acceso 1120 esta configurado para generar un mensaje de inicio de autenticacion EAP, en donde una direccion de destino del mensaje de inicio de autenticacion EAP es una direccion de multidifusion de una entidad de acceso de puerto o una direccion MAC de la entidad de autenticacion 1110 y su direccion origen es una direccion MAC del equipo UE; enviar el mensaje de inicio de autenticacion EAP; recibir un mensaje de autenticacion EAP enviado por la entidad de autenticacion 1110, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de la entidad de autenticacion 1110 y su direccion de destino es la direccion MAC del equipo de usuario 1130; y reenviar el mensaje de autenticacion EAP al equipo de usuario 1130, de modo que el equipo de usuario 1130 tenga conocimiento de la direccion MAC de la entidad de autenticacion a partir del mensaje de autenticacion EAP o modificar la direccion origen del mensaje de autenticacion EAP para ser una direccion MAC (tal como un identificador BSSID) correspondiente a una interfaz de aire del punto de acceso 1120 y reenviar el mensaje de autenticacion EAP con la direccion origen modificada al equipo de usuario 1130.
En un escenario operativo de aplicacion, si el punto de acceso 1120 recibe un mensaje de autenticacion EAP (tal como un mensaje de demanda de EAP (mensaje EAP-Request) para demandar la identidad del equipo de usuario 1130 u otro mensaje) enviado por la entidad de autenticacion 1110, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de una entidad AE, y su direccion de destino es la direccion MAC del equipo de usuario 1130, el punto de acceso 1120 puede modificar la direccion origen del mensaje de autenticacion EAP para ser la direccion MAC del punto de acceso 1120 y reenviar el mensaje de autenticacion EAP con la direccion de origen modificada al equipo de usuario 1130. En este caso, puesto que la direccion origen del mensaje de autenticacion EAP que se reenvfa por el punto de acceso 1120 y se recibe por el equipo de usuario 1130 es la direccion MAC (tal como un identificador BSSID) correspondiente a una interfaz de aire del punto de acceso, el equipo de usuario 1130 puede considerar todavfa al punto de acceso 1120 como una entidad Ae para continuar la autenticacion EAP. Posteriormente, si el punto de acceso 1120 recibe, ademas, otro mensaje de autenticacion EAP enviado por equipo UE, en donde el mensaje de autenticacion EAP es un mensaje de autenticacion (a modo de
5
10
15
20
25
30
35
40
45
50
55
60
65
ejemplo, un mensaje EAP-Response que incluye la identidad (ID) del equipo de usuario 1130 u otro mensaje de autenticacion EAP) enviado por el equipo de usuario 1130, con la excepcion del mensaje de inicio de autenticacion EAP, una direccion de destino del mensaje de autenticacion EAP es la direccion MAC (tal como un identificador BSSID) correspondiente a la interfaz de aire del punto de acceso, y su direccion origen es la direccion MAC del equipo de usuario 1130, el punto de acceso 1120 puede modificar la direccion de destino del mensaje de autenticacion EAP para ser la direccion MAC de la entidad de autenticacion 1110, y reenviar el mensaje de autenticacion EAP cuya direccion de destino es modificada. Dicho de otro modo, el punto de acceso 1120 puede modificar las direcciones origen y direcciones de destino de todos los mensajes de autenticacion EAP comunicados entre el equipo de usuario 1130 y la entidad de autenticacion 1110, modificar una direccion de destino de un mensaje de autenticacion EAP procedente del equipo de usuario 1130 a la direccion MAC de la entidad de autenticacion 1110 y modificar una direccion origen de un mensaje de autenticacion EAP procedente de la entidad de autenticacion 1110 para ser la direccion MAC del punto de acceso 1120; y el equipo UE puede considerar siempre al punto de acceso 1120 como una entidad AE para la autenticacion EAP. Por lo tanto, el equipo de usuario 1130 puede enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X.
En otro escenario operativo de aplicacion, posteriormente, si el punto de acceso 1120 recibe, ademas, un mensaje de autenticacion EAP (tal como un mensaje EAP-Request para demandar la identidad del equipo de usuario 1130 u otro mensaje) enviado por la entidad de autenticacion 1110, en donde una direccion origen del mensaje de autenticacion EAP es la direccion MAC de la entidad de autenticacion 1110, y su direccion de destino es la direccion MAC del equipo de usuario 1130, el punto de acceso 1120 no puede modificar la direccion origen o la direccion de destino del mensaje de autenticacion EAP procedente de la entidad de autenticacion 1110, pero puede reenviar directamente el mensaje de autenticacion eAp al equipo de usuario 1130, de modo que el equipo de usuario 1130 tenga conocimiento de la direccion MAC de la entidad de autenticacion 1110 a partir del mensaje de autenticacion EAP. En este escenario operativo, despues de recibir el mensaje de autenticacion EAP, el equipo de usuario 1130 puede tener conocimiento de la direccion MAC de una entidad de autenticacion real 1110 y puede comunicarse con la entidad de autenticacion 1110 sobre otros mensajes de autenticacion EAP utilizando la direccion MAC aprendida de la entidad de autenticacion 1110 posteriormente, por lo que se completa con la autenticacion de acceso. Dicho de otro modo, despues de que el punto de acceso 1120 actue como un dispositivo proxy para el equipo de usuario 1130 para generar y enviar el mensaje de inicio de autenticacion EAP (en donde la direccion de destino es una direccion de multidifusion de una entidad de acceso de puerto o la direccion MAC de la entidad de autenticacion 1110, y la direccion origen es la direccion MAC del equipo de usuario 1130), para iniciar la autenticacion de acceso para el equipo de usuario 1130, el punto de acceso 1120 no puede modificar una direccion origen o la direccion de destino de un mensaje de inicio de autenticacion EAP comunicado posteriormente entre el equipo de usuario 1130 y la entidad de autenticacion 1110; y el equipo de usuario 1130 puede tener conocimiento de la direccion MAC de la entidad de autenticacion 1110 en conformidad con una respuesta de la entidad de autenticacion 1110 al mensaje de inicio de autenticacion EAP, de modo que el equipo de usuario 1130 pueda enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X.
En un escenario operativo de aplicacion, el punto de acceso 1120 esta configurado, ademas para: recibir un mensaje de inicio de autenticacion EAP del protocolo de autenticacion extensiva enviado por un tercer equipo de usuario, en donde una direccion de destino del mensaje de inicio de autenticacion EAP es una direccion MAC de control de acceso al medio correspondiente a una interfaz de aire del punto de acceso 1120 y su direccion origen es una direccion MAC del tercer equipo de usuario; modificar la direccion de destino del mensaje de inicio de autenticacion EAP para ser la direccion de multidifusion de la entidad de puerto de acceso o la direccion MAC de la entidad de autenticacion 1110; y reenviar el mensaje de inicio de autenticacion EAP cuya direccion de destino es modificada, de modo que la entidad de autenticacion 1110 inicie la autenticacion de acceso para el tercer equipo de usuario en conformidad con el mensaje de inicio de autenticacion EAP cuya direccion de destino se modifica.
Conviene senalar que el punto de acceso 1120, en la forma de realizacion puede ser el dispositivo de punto de acceso en la forma de realizacion 2 o forma de realizacion 4 del metodo anterior y puede utilizarse para servir de ayuda en la puesta en practica de todas las soluciones tecnicas en la forma de realizacion 2 o forma de realizacion 4 del metodo anterior, cuyas funciones de los modulos funcionales pueden ponerse en practica concretamente en conformidad con el metodo en las formas de realizacion del metodo anteriores, y puede hacerse referencia a la descripcion pertinente en las formas de realizacion anteriores para sus procesos de puesta en practica espedficos y por ello no se repiten aqrn sus detalles.
Conviene senalar que, para la finalidad de una breve descripcion, cada una de las formas de realizacion anteriores del metodo se describe como una combinacion de una serie de acciones; sin embargo, los expertos en esta tecnica deben entenderse que la presente invencion no esta limitada por la secuencia de las acciones descritas porque algunas etapas pueden realizarse en otras secuencias o simultaneamente en conformidad con la presente invencion. Ademas, los expertos en esta tecnica deben entender, ademas, que las formas de realizacion descritas en la especificacion son formas de realizacion preferidas y las acciones y los modulos aqrn descritos no se requieren necesariamente para la presente invencion.
En las formas de realizacion anteriores, las formas de realizacion resaltan aspectos diferentes, y para la parte no
5
10
15
20
25
30
35
40
45
50
descrita en detalle en una forma de realizacion, puede hacerse referencia a la descripcion pertinente de otras formas de realizacion.
En conclusion, en una solucion tecnica segun una forma de realizacion de la presente invencion, despues de que un punto de acceso AP en el desarrollo de autenticacion centralizada reciba, desde un equipo UE, un mensaje de inicio de autenticacion EAP cuya direccion de destino es una direccion MAC (tal como un identificador BSSID) correspondiente a una interfaz de aire del punto de acceso AP, el punto de acceso AP modifica la direccion de destino del mensaje para ser una direccion MAC de una entidad AE y reenviar el mensaje de inicio de autenticacion EAP cuya direccion de destino se modifica, de modo que el mensaje de inicio de autenticacion EAP pueda alcanzar la entidad AE en lugar de detenerse en el punto de acceso AP, con el fin de iniciar un proceso de autenticacion de acceso para el equipo UE y para poner en practica la autenticacion centralizada 802.1X para el equipo UE en una red de area local inalambrica. Ademas, este mecanismo permite al equipo UE enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X; por lo tanto, resulta innecesario modificar un programa de autenticacion que se establece en el equipo UE y esta basado en el mecanismo del protocolo IEEE 802.1X.
En otra solucion tecnica dada a conocer por una forma de realizacion de la presente invencion, un punto de acceso AP en el desarrollo de autenticacion centralizada genera y envfa un mensaje de inicio de autenticacion EAP cuya direccion origen es una direccion MAC de un equipo UE y cuya direccion de destino es una direccion MAC de una entidad AE, para actuar como un dispositivo proxy para el equipo de usuario UE para iniciar un proceso de autenticacion de acceso, de modo que el mensaje de inicio de autenticacion EAP pueda alcanzar una entidad AE, con el fin de iniciar un proceso de autenticacion de acceso para el equipo de usuario UE y para poner en practica la autenticacion centralizada 802.1X para el equipo UE en una red de area local inalambrica. Ademas, este mecanismo permite a un equipo de usuario UE enviar todos los mensajes de autenticacion EAP en el modo de unidifusion en conformidad con la especificacion del protocolo IEEE 802.1X; por lo tanto, resulta innecesario modificar un programa de autenticacion que se establece en el equipo de usuario UE y esta basado en el mecanismo del protocolo IEEE 802.1X.
Los expertos ordinarios en esta tecnica pueden entender que la totalidad o una parte de las etapas de los metodos en conformidad con las formas de realizacion pueden ponerse en practica mediante un programa informatico que proporcione instrucciones a los equipos ffsicos pertinentes. El programa puede memorizarse en un soporte de memorizacion legible por ordenador, y el medio de memorizacion puede incluir una memoria de solamente lectura, una memoria de acceso aleatorio, un disco magnetico o un CD-ROM.
Un metodo, un aparato y un sistema para la autenticacion centralizada 802.1X en una red de area local inalambrica, en conformidad con las formas de realizacion de la presente invencion, se describio en detalle con anterioridad. El principio y las formas de realizacion de la presente invencion se describen utilizando ejemplos concretos en este caso. Las formas de realizacion anteriores se describen para servir de ayuda para entender el metodo y la idea basica de la presente invencion. Asimismo, los expertos en esta tecnica pueden realizar variaciones a las formas de realizacion espedficas y el alcance de aplicacion sobre la base de la idea inventiva de la presente invencion. Por lo tanto, el contenido de la especificacion no debera interpretarse como una limitacion para el alcance de proteccion de la presente invencion.

Claims (8)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Un metodo para la autenticacion centralizada segun el protocolo 802.1X en una red de area local inalambrica, en donde la red de area local inalambrica comprende una entidad de autenticacion, AE, un punto de acceso, AP, y al menos un equipo de usuario, UE, estando la entidad AE conectada a al menos un equipo de usuario UE por intermedio del punto de acceso AP, caracterizado por cuanto que el metodo comprende:
    la generacion (410), por el punto de acceso AP, de un mensaje de inicio de autenticacion segun el protocolo de autenticacion extensiva, mensaje EAPOL-Start, despues de la asociacion de un equipo de usuario UE con el punto de acceso AP; en donde una direccion de destino del mensaje EAPOL-Start es una direccion de multidifusion de una Entidad de Acceso al Puerto, PAE, o de un Control de Acceso al Medio, MAC, de la entidad AE y una direccion origen del mensaje EAPOL-Start es una direccion MAC del equipo de usuario UE asociado;
    el envfo (420), por el punto de acceso AP, del mensaje EAPOL-Start;
    la recepcion (430), por el punto de acceso AP, de un primer mensaje de autenticacion EAP procedente de la entidad AE; en donde una direccion origen del primer mensaje de autenticacion EAP es la direccion MAC de la entidad AE, y una direccion de destino del primer mensaje de autenticacion EAP es la direccion MAC del equipo de usuario UE asociado; y
    la modificacion (440), por el punto de acceso AP, de la direccion origen del primer mensaje de autenticacion EAP para ser una direccion MAC correspondiente a una interfaz de aire del punto de acceso AP; y
    el reenvfo (440), por el punto de acceso AP, del mensaje de autenticacion EAP modificado al equipo UE asociado con el fin de que el equipo UE asociado utilice el punto de acceso AP como una entidad AE para continuar la autenticacion del protocolo EAP.
  2. 2. El metodo segun la reivindicacion 1, en donde el metodo comprende, ademas:
    la recepcion de un segundo mensaje de autenticacion EAP enviado por el equipo UE asociado, en donde el segundo mensaje de autenticacion EAP es un mensaje de autenticacion enviado por el equipo de usuario UE asociado, con la excepcion del mensaje EAPOL-Start, una direccion de destino del segundo mensaje de autenticacion EAP es la direccion MAC correspondiente a la interfaz de aire del punto de acceso AP y su direccion origen es la direccion MAC del equipo de usuario UE asociado;
    la modificacion de la direccion de destino del segundo mensaje de autenticacion EAP para ser la direccion MAC de la entidad AE; y
    el reenvfo del segundo mensaje de autenticacion EAP cuya direccion de destino se modifica.
  3. 3. El metodo segun la reivindicacion 1, en donde el metodo comprende, ademas:
    la recepcion de un tercer mensaje de autenticacion EAP enviado por la entidad AE, en donde una direccion origen del tercer mensaje de autenticacion EAP es la direccion MAC de la entidad AE y su direccion de destino es la direccion MAC del equipo UE asociado; y
    el reenvfo del tercer mensaje de autenticacion EAP al equipo de usuario UE asociado, de modo que el equipo UE asociado tenga conocimiento de la direccion MAC de la entidad AE a partir del tercer mensaje de autenticacion EAP.
  4. 4. El metodo segun la reivindicacion 1, en donde la direccion MAC correspondiente a la interfaz de aire del punto de acceso AP es el identificador BSSID.
  5. 5. Un dispositivo de punto de acceso, AP, caracterizado por cuanto que comprende:
    un modulo de generacion (910), configurado para generar un mensaje de inicio de autenticacion de protocolo de autenticacion extensiva, mensaje EAPOL-Start, despues de que un equipo de usuario UE se asocie con el dispositivo de AP; en donde una direccion de destino del mensaje EAPOL-Start es una direccion de multidifusion de una Entidad de Acceso al Puerto, PAE, o de un Control de Acceso al Medio, MAC, de una entidad de autenticacion, AE, y una direccion origen del mensaje EAPOL-Start es una direccion MAC del equipo de usuario UE asociado;
    un modulo de envfo (920), configurado para enviar el mensaje EAPOL-Start;
    un modulo de recepcion (930), configurado para recibir un primer mensaje de autenticacion EAP procedente de la entidad AE; en donde una direccion origen del primer mensaje de autenticacion EAP es la direccion MAC de la entidad AE y una direccion de destino del primer mensaje de autenticacion EAP es la direccion MAC del equipo de usuario UE asociado;
    5
    10
    15
    20
    25
    30
    un modulo de modificacion y reenvfo (940), configurado para modificar la direccion origen del primer mensaje de autenticacion EAP para ser una direccion MAC correspondiente a una interfaz de aire del punto de acceso AP; y para reenviar el mensaje de autenticacion EAP modificado al equipo UE asociado con el fin de que el equipo UE asociado utilice el punto de acceso AP como una entidad AE para continuar la autenticacion EAP.
  6. 6. El dispositivo AP segun la reivindicacion 5, en donde el dispositivo AP esta configurado, ademas, para:
    recibir un segundo mensaje de autenticacion EAP enviado por el equipo UE asociado, en donde el segundo mensaje de autenticacion EAP es un mensaje de autenticacion enviado por el equipo de usuario UE asociado, con la excepcion del mensaje EAPOL-Start, una direccion de destino del segundo mensaje de autenticacion EAP es la direccion MAC correspondiente a la interfaz de aire del punto de acceso AP y su direccion origen es la direccion MAC del equipo de usuario UE asociado;
    modificar la direccion de destino del segundo mensaje de autenticacion EAP para ser la direccion MAC de la entidad AE; y
    reenviar el segundo mensaje de autenticacion EAP cuya direccion de destino es modificada.
  7. 7. El dispositivo de punto de acceso segun la reivindicacion 5, en donde el dispositivo AP esta configurado, ademas, para:
    recibir un tercer mensaje de autenticacion EAP enviado por la entidad AE, en donde una direccion origen del tercer mensaje de autenticacion EAP es la direccion MAC de la entidad AE y su direccion de destino es la direccion MAC del equipo de usuario UE asociado; y
    reenviar el tercer mensaje de autenticacion EAP al equipo de usuario UE asociado, de modo que el equipo de usuario UE asociado tenga conocimiento de la direccion MAC de la entidad AE a partir del tercer mensaje de autenticacion EAP.
  8. 8. Un sistema para autenticacion centralizada segun el protocolo 802.1X en una red de area local inalambrica, en donde la red de area local inalambrica comprende un punto de acceso en conformidad con cualquiera de las reivindicaciones 5 a 7, una entidad de autenticacion, AE y al menos un equipo de usuario UE, estando la entidad AE conectada a al menos un equipo de usuario UE por intermedio del punto de acceso.
ES11846361.1T 2010-12-09 2011-10-26 Método de autenticación 802.1X centralizado, dispositivo y sistema de red de área local inalámbrica Active ES2564484T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201010581115.6A CN102137401B (zh) 2010-12-09 2010-12-09 无线局域网集中式802.1x认证方法及装置和系统
CN201010581115 2010-12-09
PCT/CN2011/081329 WO2012075863A1 (zh) 2010-12-09 2011-10-26 无线局域网集中式802.1x认证方法及装置和系统

Publications (1)

Publication Number Publication Date
ES2564484T3 true ES2564484T3 (es) 2016-03-23

Family

ID=44297036

Family Applications (1)

Application Number Title Priority Date Filing Date
ES11846361.1T Active ES2564484T3 (es) 2010-12-09 2011-10-26 Método de autenticación 802.1X centralizado, dispositivo y sistema de red de área local inalámbrica

Country Status (5)

Country Link
US (1) US9071968B2 (es)
EP (1) EP2651156B1 (es)
CN (1) CN102137401B (es)
ES (1) ES2564484T3 (es)
WO (1) WO2012075863A1 (es)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102137401B (zh) 2010-12-09 2018-07-20 华为技术有限公司 无线局域网集中式802.1x认证方法及装置和系统
CN105392127B (zh) 2011-12-23 2020-12-15 华为技术有限公司 一种无线中继设备的中继方法及无线中继设备
CN103188662B (zh) * 2011-12-30 2015-07-29 中国移动通信集团广西有限公司 一种验证无线接入点的方法以及装置
CN103200004B (zh) * 2012-01-09 2018-11-20 中兴通讯股份有限公司 发送消息的方法、建立安全连接的方法、接入点和工作站
CN102647715A (zh) * 2012-03-27 2012-08-22 华为技术有限公司 一种传递eap认证目的mac地址的方法
CN102761940B (zh) * 2012-06-26 2016-06-08 杭州华三通信技术有限公司 一种802.1x认证方法和设备
KR101731095B1 (ko) * 2013-01-03 2017-04-27 후아웨이 테크놀러지 컴퍼니 리미티드 네트워크에 액세스하는 시스템 및 방법
CN103973570B (zh) * 2013-01-31 2017-12-15 华为技术有限公司 一种报文传输的方法、ap及系统
CN103747439B (zh) * 2013-12-31 2017-08-25 福建三元达网络技术有限公司 无线控制器设备、无线认证处理方法、系统、组网
CN104219094B (zh) * 2014-08-29 2018-10-26 新华三技术有限公司 一种ap分组配置的方法和设备
CN105592037B (zh) * 2015-07-10 2019-03-15 新华三技术有限公司 一种mac地址认证方法和装置
CN106797562B (zh) * 2015-08-13 2019-04-26 华为技术有限公司 一种消息保护的方法、相关设备以及系统
CN105516977B (zh) * 2015-12-03 2019-07-26 广东石油化工学院 基于双通道无线路由器或AP的免密码WiFi鉴权认证方法
CN108092988B (zh) * 2017-12-28 2021-06-22 北京网瑞达科技有限公司 基于动态创建临时密码的无感知认证授权网络系统和方法
CN111654865B (zh) * 2020-07-31 2022-02-22 迈普通信技术股份有限公司 终端认证方法、装置、网络设备及可读存储介质
US11977908B2 (en) * 2021-07-09 2024-05-07 Dish Wireless L.L.C. Streamlining the execution of software such as radio access network distributed units

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7499401B2 (en) * 2002-10-21 2009-03-03 Alcatel-Lucent Usa Inc. Integrated web cache
CN1317859C (zh) * 2002-11-28 2007-05-23 中兴通讯股份有限公司 数据帧传送方法
CN100591068C (zh) * 2003-03-04 2010-02-17 华为技术有限公司 一种桥接设备透传802.1x认证报文的方法
CN1186906C (zh) 2003-05-14 2005-01-26 东南大学 无线局域网安全接入控制方法
US7046647B2 (en) 2004-01-22 2006-05-16 Toshiba America Research, Inc. Mobility architecture using pre-authentication, pre-configuration and/or virtual soft-handoff
CN1283062C (zh) * 2004-06-24 2006-11-01 华为技术有限公司 无线局域网用户实现接入认证的方法
JP4558454B2 (ja) * 2004-11-12 2010-10-06 パナソニック株式会社 通信システム
JP4679205B2 (ja) * 2005-03-31 2011-04-27 Necインフロンティア株式会社 認証システム、装置、方法、プログラム、および通信端末
CN102547882B (zh) * 2005-07-25 2015-08-05 艾利森电话股份有限公司 用于改进无线接入网的切换特性的装置和方法
CN100591011C (zh) * 2006-08-31 2010-02-17 华为技术有限公司 一种认证方法及系统
CN101232372B (zh) * 2007-01-26 2011-02-02 华为技术有限公司 认证方法、认证系统和认证装置
US20090019539A1 (en) * 2007-07-11 2009-01-15 Airtight Networks, Inc. Method and system for wireless communications characterized by ieee 802.11w and related protocols
US8428036B2 (en) * 2009-01-22 2013-04-23 Belair Networks Inc. System and method for providing wireless local area networks as a service
CN101599834B (zh) 2009-07-15 2011-06-01 杭州华三通信技术有限公司 一种认证部署方法和一种管理设备
CN102137401B (zh) * 2010-12-09 2018-07-20 华为技术有限公司 无线局域网集中式802.1x认证方法及装置和系统

Also Published As

Publication number Publication date
US9071968B2 (en) 2015-06-30
CN102137401A (zh) 2011-07-27
EP2651156B1 (en) 2015-12-30
US20130272290A1 (en) 2013-10-17
CN102137401B (zh) 2018-07-20
EP2651156A4 (en) 2013-10-16
EP2651156A1 (en) 2013-10-16
WO2012075863A1 (zh) 2012-06-14

Similar Documents

Publication Publication Date Title
ES2564484T3 (es) Método de autenticación 802.1X centralizado, dispositivo y sistema de red de área local inalámbrica
CN109417709B (zh) 用于在移动无线网络系统中认证接入的方法和系统
JP4921557B2 (ja) インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法
JP5681288B2 (ja) 無線lanシステムにおけるサービス品質メカニズムを使用した管理フレーム暗号化通信方法及び装置
US8270382B2 (en) System and method for securing mesh access points in a wireless mesh network, including rapid roaming
US20220272528A1 (en) Wwan-wlan aggregation security
KR101146893B1 (ko) 터널 다이렉트 링크 설정 무선 네트워크에서의 다이렉트 링크 설정 절차 및 이를 지원하는 스테이션
AU2004244634B2 (en) Facilitating 802.11 roaming by pre-establishing session keys
JP2010503326A5 (ja) インフラストラクチャベースの無線マルチホップネットワークにおけるセキュリティ認証及び鍵管理方法
US8661510B2 (en) Topology based fast secured access
WO2007149598A1 (en) System and method for provisioning of emergency calls in a shared resource network
WO2014124561A1 (zh) 实现在wlan中的通信的方法和系统
JPWO2011064858A1 (ja) 無線認証端末
JP2020505845A (ja) 緊急アクセス中のパラメータ交換のための方法およびデバイス
WO2024026735A1 (zh) 认证方法、装置、设备及存储介质
KR102701924B1 (ko) Wwan-wlan 집성 보안