ES2686834T3 - Método y sistema para autenticar un punto de acceso - Google Patents

Método y sistema para autenticar un punto de acceso Download PDF

Info

Publication number
ES2686834T3
ES2686834T3 ES11713333.0T ES11713333T ES2686834T3 ES 2686834 T3 ES2686834 T3 ES 2686834T3 ES 11713333 T ES11713333 T ES 11713333T ES 2686834 T3 ES2686834 T3 ES 2686834T3
Authority
ES
Spain
Prior art keywords
wireless device
access point
identifier
network
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES11713333.0T
Other languages
English (en)
Inventor
Xavier Jover Segura
Fadi El-Moussa
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
British Telecommunications PLC
Original Assignee
British Telecommunications PLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by British Telecommunications PLC filed Critical British Telecommunications PLC
Application granted granted Critical
Publication of ES2686834T3 publication Critical patent/ES2686834T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Método de detección de la intervención de un punto de acceso no autorizado en un trayecto de comunicaciones entre un dispositivo inalámbrico y uno o más recursos en una red de datos accesible por medio de un punto de acceso genuino, comprendiendo dicho método: un servidor de mensajes de autenticación en la red de datos: recibe por medio de dicho trayecto de comunicaciones, una solicitud emitida por dicho dispositivo inalámbrico de un mensaje de autenticación cifrado, incluyendo la solicitud datos indicativos de un identificador de dicho dispositivo inalámbrico; genera un mensaje de autenticación cifrado usando los datos recibidos indicativos de dicho dispositivo inalámbrico presentados en dicho trayecto de comunicaciones, y envía el mensaje de autenticación cifrado al dispositivo inalámbrico; el dispositivo inalámbrico: proporciona a un comparador en la red de datos por medio de un punto de acceso previamente autenticado con respecto a la red de datos,- unos datos indicativos del identificador del dispositivo inalámbrico; unos datos indicativos de un identificador del punto de acceso usado en el trayecto de comunicaciones entre el dispositivo inalámbrico y la red de datos; y el mensaje de autenticación cifrado; el comparador: descifra el mensaje de autenticación cifrado, y compara los dos conjuntos de datos indicativos del identificador del dispositivo inalámbrico; compara los datos indicativos de un identificador del punto de acceso con unos identificadores de puntos de acceso conocidos, almacenados previamente en el comparador; detecta la intervención de un punto de acceso no autorizado en una comunicación entre dicho dispositivo inalámbrico y la red por cable si dichos dos conjuntos de datos indicativos del identificador del dispositivo inalámbrico no coinciden, y el identificador del punto de acceso no coincide con los identificadores de puntos de acceso conocidos; y señaliza el resultado de dicha comparación a dicho dispositivo inalámbrico por medio de dicho punto de acceso previamente autenticado con respecto a la red de datos.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Método y sistema para autenticar un punto de acceso.
Campo técnico
La presente invención se refiere a la seguridad en redes inalámbricas y, particularmente, a un método y un sistema para autenticar un punto de acceso para un dispositivo inalámbrico.
Antecedentes
Los puntos de acceso y las estaciones base (a los que se hace referencia en ocasiones, de manera general, como puntos de conexión) proporcionan una pasarela entre una red inalámbrica y una red por cable. Las redes inalámbricas tienen un riesgo de seguridad de herencia por el que las señales transmitidas en una red inalámbrica pueden ser recibidas por cualquier dispositivo inalámbrico dentro del alcance del transmisor. La popular normativa de redes inalámbricas IEEE 802.11 combate esto incluyendo mecanismos de seguridad conocidos como Privacidad Equivalente por Cable (WEP) y Acceso Protegido Wi-Fi, (WPA y WPA2). La WEP y el WPA proporcionan una autenticación y un cifrado de datos rudimentarios para clientes inalámbricos. Por encima de la WEP y el WPA, muchos proveedores implementan cortafuegos y filtrado de direcciones MAC en un intento de proteger la infraestructura de red interna y a los clientes inalámbricos.
Lo que se subestima normalmente en la seguridad de las redes inalámbricas es la amenaza planteada por los puntos de acceso (AP) no autorizados.
El ataque por suplantación de AP fue desarrollado originalmente para engañar a clientes incautos de manera que se conectasen a una red inalámbrica controlada por un atacante. Esto se puede lograr estableciendo un punto de acceso no autorizado (del inglés, rogue access point) con el mismo SSID (Identificador de Conjunto de Servicios) que la red de destino. Por ejemplo, un atacante podría suplantar una red inalámbrica difundiendo de forma general el SSID de esa red inalámbrica específica con una intensidad alta de la señal para proporcionar una conectividad óptima. Los dispositivos inalámbricos exploran en busca del SSID de su red inalámbrica favorita y se asocian al punto de acceso que ofrece la señal de mayor intensidad. Un atacante puede configurar un punto de acceso para responder a solicitudes de clientes y, en definitiva, engañar al cliente para que se conecte a su punto de acceso. A continuación, el atacante puede monitorizar, controlar o modificar todo tráfico enviado hacia y desde el cliente.
Por ejemplo, el atacante puede servirles entonces una página Web que le pida al usuario que vuelva a introducir sus credenciales, darles una dirección IP y, a continuación, dirigirlos a Internet. El ataque puede pasar inadvertido para el usuario del dispositivo inalámbrico.
En la solicitud de patente WO2008/095291 se describe un método para hacer frente a puntos de acceso no autorizados. En algunas formas de realización, se verifica la combinación del SSID de una red inalámbrica y de la dirección MAC (dirección de Control de Acceso a Medios) del AP cuando un dispositivo inalámbrico se conecta por primera vez a un punto de acceso. El administrador de la WLAN proporciona información de registro referente a sí mismo, incluyendo los SSIDs deseados, a un servidor central. El servidor central recibe la información de registro y se conecta con un registro de base de datos que contiene todos los SSIDs registrados. Se lleva a cabo una comprobación para garantizar que el SSID deseado no ha sido ya registrado. Si el SSID deseado no ha sido registrado, el servidor central crea una asociación entre el SSID y cada dirección MAC de AP de la WLAN. Esta asociación se almacena en el registro de base de datos. A continuación, el servidor central transmite la información de registro a una autoridad de certificación. La autoridad de certificación lleva a cabo una validación de la información de registro y, si la validación se supera, la autoridad de certificación emite, para cada punto de acceso dentro de la WLAN, certificados digitales que asocian la dirección MAC del AP con el SSID de la WLAN. Dicho certificado digital se transmite a cada punto de acceso de la WLAN.
Una vez que el dispositivo inalámbrico se ha conectado al punto de acceso de la WLAN, el punto de acceso de la WLAN transmite el certificado digital al dispositivo inalámbrico. El dispositivo inalámbrico se conecta el servidor central a través del punto de acceso, y presenta el certificado y el SSID al servidor central. El servidor central autentica el certificado digital y verifica que el identificador de red alegado está realmente asociado a la WLAN a la cual pertenece el AP con esta dirección MAC. Esto garantiza que la WLAN a la cual se está conectando el dispositivo inalámbrico es aquella a la cual tiene intención de conectarse dicho dispositivo inalámbrico.
El método conocido sigue siendo vulnerable a un ataque denominado del tipo hombre en el medio; el certificado puede ser rastreado (sniffed) y copiado y puede ser usado por puntos de acceso no autorizados. La solicitud sugiere el uso de información de trazado de ruta para evitar el rastreo; no obstante, el trazado de ruta no es adecuado en una red IP ya que los paquetes se pueden encaminar a través de muchas rutas diferentes entre los mismos puntos extremos y, además, nada evita que un punto de acceso no autorizado falsee también los paquetes del trazado de ruta.
5
10
15
20
25
30
35
40
45
50
55
60
65
El documento US20040198220 da a conocer otro sistema para acceder de forma segura a una red inalámbrica. El sistema incluye un servidor de seguridad que suscribe a mensajes de una trampa de SNMP en el punto de acceso. Cuando una unidad móvil se asocia a ese punto de acceso, la trampa envía un mensaje que indica la información de asociación. Un cliente de control de itinerancia en el dispositivo móvil interroga al servidor de seguridad, el cual verifica (o no) que ha recibido el mensaje correspondiente a esa asociación.
Una desventaja de este sistema es que, debido a que el dispositivo inalámbrico interroga al servidor de seguridad por medio del punto de acceso no autenticado, es probable que el dispositivo haya intercambiado varios mensajes, que incluyan probablemente datos sensibles, con un punto de acceso posiblemente no autorizado antes incluso de darse cuenta de que se trata de un punto de acceso falso.
El documento EP1542406 da a conocer un sistema de detección de suplantaciones para un nodo inalámbrico. El nodo comprende un módulo de detección de intrusiones para correlacionar tramas de datos originales, transmitidas directamente por el nodo inalámbrico a través de un enlace seguro al módulo de detección de intrusiones, con tramas de datos entrantes recibidas a través de la interfaz aérea. Si el nodo inalámbrico está inactivo pero el módulo de detección de intrusiones recibe tráfico que indica que el nodo monitorizado es el originador, entonces esto sería una señal de un comportamiento sospechoso puesto que la correlación de los conjuntos de datos no daría como resultado un conjunto de datos vacío.
Este es un sistema bastante complicado en el cual el módulo de detección de intrusiones debe monitorizar constantemente los canales asignados al nodo usando una antena, con el fin de comparar tramas. Otra de las desventajas es que el nodo inalámbrico debe conectarse al módulo de detección de intrusiones a través del enlace seguro, y si este enlace falla por algún motivo, el sistema no funciona. Es también una desventaja el hecho de que el nodo necesita disponer de dos conexiones que están en funcionamiento la mayor parte del tiempo.
Sumario de la invención
Según un primer aspecto de la presente invención, se proporciona un método de detección de la intervención de un punto de acceso no autorizado en un trayecto de comunicaciones entre un dispositivo inalámbrico y uno o más recursos en una red de datos accesible por medio de un punto de acceso genuino, según se expone en la reivindicación 1.
Según otro aspecto de la presente invención, se proporciona un sistema tal como se expone en la reivindicación 7.
Según otro aspecto de la presente invención, se proporciona un comparador tal como se expone en la reivindicación 11.
Esto tiene la ventaja de que a un usuario no se le engañará para asociarse a un dispositivo malicioso que pretende ser un punto de acceso genuino, ya que el comparador revelará que la comunicación entre el dispositivo inalámbrico y la red por cable ha sido interceptada y reenviada por un dispositivo malicioso a la red por cable puesto que los datos indicativos recibidos de la red por cable y los datos indicativos recibidos directamente del dispositivo inalámbrico diferirán.
Preferentemente, dicho comparador es accesible para dicho dispositivo inalámbrico por medio de una segunda interfaz inalámbrica de dicho dispositivo inalámbrico, y dicho dispositivo inalámbrico envía datos indicativos de su identificador de primera interfaz inalámbrica a dicho comparador por medio de la segunda interfaz inalámbrica.
El envío de los datos por medio de una segunda interfaz inalámbrica hace que se incremente la posibilidad de detectar que un punto de acceso no autorizado ha interceptado la comunicación ya que es improbable que el punto de acceso no autorizado pueda intervenir en dos canales de comunicaciones inalámbricas.
Preferentemente, el comparador está colocado conjuntamente con un servidor de información, el cual soporta el traspaso de dicho dispositivo inalámbrico entre redes inalámbricas heterogéneas.
Esto tiene la ventaja de que el comparador puede usar datos almacenados por el servidor de información para soportar un traspaso heterogéneo. Además, el servidor de información está colocado de forma centralizada y puede ser compartido entre muchos proveedores de red y dispositivos inalámbricos, con lo cual la carga computacional de la comparación puede ser compartida y resulta más sencillo implementar la invención.
Preferentemente, los datos indicativos se procesan en la red por cable, de tal manera de que aportan al comparador una garantía de que los datos indicativos fueron generados por la red por cable y no han sido alterados desde entonces.
5
10
15
20
25
30
35
40
45
50
55
60
65
Procesando los datos indicativos, por ejemplo, mediante firma o cifrado de los datos con una clave privada del proveedor de red, se evita el falseamiento de los datos indicativos.
Preferentemente, la credencial cifrada de inicio de sesión de usuario se reenvía al dispositivo inalámbrico desde el comparador cuando el servidor del comparador ha verificado que el punto de acceso es genuino. Esto tiene la ventaja de que no es necesario que el usuario recuerde sus credenciales de usuario para cada red, y la ventaja adicional de que, puesto que las credenciales están cifradas, y se envían directamente desde el dispositivo inalámbrico al servidor de inicio de sesión, se evita que los usuarios compartan credenciales.
A continuación se ofrece, únicamente a título de ejemplo, una descripción de formas de realización preferidas de la presente invención. Esta descripción se ofrece en referencia a los dibujos adjuntos, en los cuales
La figura 1 muestra un diagrama de flujo de mensajes para una primera forma de realización de la invención.
La figura 2 muestra un diagrama de flujo de mensajes para una segunda forma de realización de la invención.
La figura 3 muestra un diagrama de flujo de mensajes para una tercera forma de realización de la invención.
La figura 4 muestra un sistema para verificar una conexión inalámbrica.
La figura 5 muestra un diagrama de flujo para un dispositivo móvil que solicita una autenticación de un punto de acceso
La figura 6 muestra un diagrama de flujo para un punto de acceso que va a ser autenticado La figura 7 muestra un diagrama de flujo para un controlador de un proveedor de red
La figura 8 muestra un diagrama de flujo para un servidor de información o MIIS que participa en el proceso de autenticación del punto de acceso
Descripción detallada
Las formas de realización descritas en la presente se implementan en una red que funciona de acuerdo con la IEEE 802.21.
La normativa IEEE 802.21 soporta algoritmos que permiten un traspaso sin fisuras entre redes del mismo tipo, así como un traspaso entre tipos diferentes de red, denominado también Traspaso independiente de los medios (MIH) o traspaso vertical. La normativa proporciona información para permitir la realización de traspasos hacia y desde redes celulares, GSM, GPRS, WiFi, Bluetooth, 802.11 y 802.16 a través de diferentes mecanismos de traspaso.
La funcionalidad clave proporcionada por el MIH es la comunicación entre las diversas capas inalámbricas, y entre ellas y la capa IP. Los mensajes requeridos son retransmitidos por la Función de Traspaso Independiente de los Medios, MIHF, que está ubicada en la pila de protocolos entre las tecnologías inalámbricas de la capa 2 y el IP en la capa 3.
En la normativa 802.21 se definen tres servicios diferentes:
- El Servicio de Eventos Independiente de los Medios (MIES) se implementa en dispositivos móviles y les permite recibir notificaciones, tales como Degradación del enlace, enlace activo e intensidad de la señal.
- El Servicio de Órdenes Independiente de los Medios (MICS) se implementa también en dispositivos móviles y les permite controlar los módulos de radiocomunicaciones con el fin de encenderlos y apagarlos.
- El Servicio de Información Independiente de los Medios (MIIS) está situado en la red y permite que los usuarios soliciten información sobre redes circundantes.
El MIES y el MICS en el dispositivo móvil forman conjuntamente un administrador de conexiones.
El MIIS contiene información sobre redes y puntos de acceso. Un punto de acceso puede ser, por ejemplo, un punto de acceso WLAN o una estación base en una red celular o 3G. Algunos ejemplos de lo que podría ser esta información son: nombre de operador, coste por minuto, coste por hora, ancho de banda, dirección MAC del punto de acceso, canal y ubicación del punto de acceso. A cada uno de estos campos se le denomina Elemento de Información (IE), y la normativa define algunos de ellos aunque permite el uso de algunos ampliados.
5
10
15
20
25
30
35
40
45
50
55
60
65
La característica principal del MIH es que los dispositivos pueden obtener información sobre redes circundantes sin tener las interfaces de radiocomunicaciones específicas encendidas. Por ejemplo, un dispositivo con módulos de radiocomunicaciones, o interfaces, 3G, WiFi y WiMAX, podría tener activado solamente el módulo de radiocomunicaciones 3G, y podría seguir sabiendo si hay puntos de acceso WiFi o WiMAX en las proximidades preguntándole al MIIS a través de la interfaz 3G, lo cual supone ahorrarse una exploración infructífera y permitir que el dispositivo solamente tenga activada una interfaz en todo momento.
El traspaso independiente de los medios se logra con la ayuda del MIIS y el MICS. El dispositivo solicita información del MIIS sobre redes circundantes, y el MIIS responde con las redes disponibles para las interfaces de radiocomunicaciones de ese dispositivo específico. A continuación, el MICS usa la información proporcionada por el MIIS para decidir hacia qué red realizar el traspaso. Activa esa interfaz de radiocomunicaciones y se conecta directamente al punto de acceso elegido, el cual puede ser, por ejemplo, un punto de acceso WLAn o una estación base en una red 3G. Cuando se ha realizado esto, el administrador de conexiones puede transferir o activar la transferencia de aplicaciones que están en marcha al punto de acceso nuevo, usando la interfaz que se acaba de activar, y, cuando todos los datos han pasado a través de la interfaz nueva, la interfaz antigua se desactiva para ahorrar batería.
El usuario de un dispositivo inalámbrico que implementa las formas de realización preferidas descritas a continuación ha decidido usar un servicio proporcionado, por ejemplo, por un proveedor de red. Para implementar el método, el usuario descarga un programa de software ofrecido por el proveedor de red al dispositivo inalámbrico. El programa de software se puede descargar, por ejemplo, desde el sitio web de un proveedor de red o se puede instalar desde una memoria portátil o un DVD-ROM. Después de instalar el programa, el administrador de conexiones en el dispositivo se configura para llevar a cabo, además de las etapas normales para acceder a un proveedor de red a través de una red inalámbrica, las etapas adicionales que se describen en las diferentes formas de realización a continuación y en el diagrama de flujo de la figura 5.
En referencia a la figura 5, el dispositivo en primer lugar se conecta a o usa una red ya autenticada [500] con el fin de recuperar información desde un servidor de información en relación con redes y puntos de acceso disponibles en el área [502], y, a continuación, selecciona uno de los puntos de acceso [504]. El dispositivo
inalámbrico envía una solicitud de un mensaje de autenticación al proveedor de red por medio del punto de
acceso seleccionado [506]. Si no recibe ninguna respuesta de autenticación, el administrador de conexiones termina la conexión [508]; en caso contrario, reenvía la respuesta de autenticación a un servidor de información, o MIIS, por medio de un canal de comunicaciones en la red previamente autenticada [510]. A continuación, el dispositivo inalámbrico o bien recibe un mensaje de que el punto de acceso se ha autenticado, en cuyo caso inicia sesión en la red por medio de dicho punto de acceso [514], o bien recibe un mensaje de que el punto de
acceso no se ha autenticado o no recibe ningún mensaje en absoluto, en cuyos casos el administrador de
conexiones termina la sesión [512].
El proveedor de red ha instalado además software en los puntos de acceso de la red así como software en un controlador de NP, el cual es un servidor en la red que gestiona los puntos de acceso de esta última. El controlador es configurado por el programa de software para generar mensajes de autenticación y, por tanto, se le denominará también “servidor de mensajes de autenticación”. Por ello, los puntos de acceso y el controlador de NP se configuran para llevar a cabo las etapas descritas en las siguientes formas de realización y en los diagramas de flujo de las figuras 6 y 7, respectivamente.
En referencia a la figura 6, el punto de acceso seleccionado recibe una solicitud de asociación desde un dispositivo inalámbrico [600]. El punto de acceso genera una solicitud de autenticación que incluye un número de secuencia de solicitud de autenticación, y envía la solicitud al controlador de NP en la red por cable del proveedor de red y almacena la dirección MAC del dispositivo, es decir, la dirección MAC de la tarjeta de interfaz de red WiFi del dispositivo, y el número de secuencia correspondiente [602]. A continuación, recibe una respuesta o mensaje de autenticación que incluye un número de secuencia de solicitud de autenticación desde el controlador de NP [604], y que es enviado al dispositivo inalámbrico por el punto de acceso usando la dirección MAC presentada originalmente por el dispositivo inalámbrico cuando se envía la solicitud [606].
En referencia a la figura 7, el servidor o controlador de la red por cable recibe una solicitud de autenticación de punto de acceso, proveniente del punto de acceso [700]. El servidor comprueba, en una lista almacenada que almacena direcciones IP y direcciones MAC correspondientes a los puntos de acceso en la red por cable, que la dirección IP se encuentra en la lista, y comprueba que la dirección MAC almacenada se corresponde con la dirección MAC del punto de acceso que entregó el mensaje de autenticación [702]. Si las direcciones MAC no se corresponden, el servidor termina el proceso y no crea ningún mensaje de autenticación [704]. En caso contrario, crea el mensaje de autenticación procesando, por ejemplo, un algoritmo de firma digital, un identificador, tal como una dirección MAC, del dispositivo inalámbrico que envió la solicitud de un mensaje de autenticación, y, opcionalmente, también procesa la dirección MAC correspondiente al punto de acceso y el tiempo de la misma manera [706]. A continuación, el servidor envía el mensaje de autenticación al punto de acceso usando la dirección IP del punto de acceso, a través de la red por cable [708].
5
10
15
20
25
30
35
40
45
50
55
60
65
Como parte del servicio de autenticación del punto de acceso, el servidor de información, MIIS, será configurado por un programa de software instalado para actuar como comparador o servidor de verificación con el fin de determinar si un punto de acceso es genuino o un punto de acceso no autorizado o malicioso. Las etapas llevadas a cabo por el servidor de información se describen en el diagrama de flujo de la figura 8.
En referencia a la figura 8, el servidor de información, o MIIS, recibe un mensaje de autenticación de punto de acceso desde un dispositivo inalámbrico a través de una red ya autenticada, tal como una GSM, 3G o una conexión WiFi ya autenticada [800]. El MIIS realiza una comprobación de la firma digital con su clave privada, en caso de que se use un cifrado de clave [802], y, a continuación, descifra el mensaje con la clave pública del proveedor de red al que pertenece el punto de acceso que se va a autenticar [804]. A continuación, el MIIS compara la dirección MAC recuperada, o descifrada, del dispositivo inalámbrico con la dirección MAC del dispositivo inalámbrico que reenvió el mensaje de autenticación al MIIS [806]. Si no coinciden, el MIIS termina la sesión [808]. Si coinciden, el MIIS, opcionalmente, compara la dirección mAc recuperada del punto de acceso con direcciones MAC de puntos de acceso pertenecientes a dicho proveedor de red y almacenados en una lista en el MIIS [810]. Si la dirección MAC del punto de acceso no se encuentra en la lista, el MIIS termina la sesión [812] o, alternativamente, envía un mensaje de que el punto de acceso no se ha autenticado. Si las direcciones coinciden, el MIIS enviará un mensaje al dispositivo, en relación con que el punto de acceso se ha autenticado, y, opcionalmente, también envía credenciales de inicio de sesión al dispositivo [814].
A continuación se describirá una primera forma de realización con respecto a la figura 1. Los números que se encuentran en la figura se refieren a las etapas que se describen seguidamente.
Un usuario que tiene un dispositivo inalámbrico desea acceder a Internet y, por lo tanto, activa su dispositivo para que realice una exploración en búsqueda de redes disponibles en sus alrededores. Alternativamente, el usuario del dispositivo móvil se podría conectar al servidor de información y solicitar una lista de redes y puntos de acceso disponibles en esa área. El proceso de autenticación de un punto de acceso es el siguiente:
1. El dispositivo inalámbrico selecciona un punto de acceso.
2. El administrador de conexiones en el dispositivo inalámbrico se conecta al punto de acceso y solicita, según instrucciones del programa de seguridad instalado, un mensaje de autenticación del proveedor de red (NP). La solicitud incorpora un identificador correspondiente al dispositivo inalámbrico que envía la solicitud. Preferentemente, como solicitud de un mensaje de autenticación se utiliza también la solicitud actual de asociación IEEE 802.11. La 802.11 es la normativa WiFi por lo que se trata de un paquete que debe ser enviado de todos modos, y ya contiene la dirección MAC del AP y la dirección MAC correspondiente al dispositivo, que se puede usar como identificador para el dispositivo inalámbrico. A continuación, este paquete se encapsula en un paquete IP por parte del punto de acceso, y es enviado directamente a un controlador de NP.
3. Tras recibir la solicitud, el controlador de NP responderá con el mensaje de autenticación, para cuya creación ha sido configurado el controlador por el programa instalado.
((MACdispositivo + tiempo + ID NP)
El mensaje de autenticación está compuesto por lo siguiente:
- MAC del dispositivo inalámbrico y tiempo de la solicitud y, preferentemente, un identificador del proveedor de red. A continuación, el mensaje es cifrado por el controlador de NP; por ejemplo, se podría cifrar con la clave pública del MIIS compartida con el proveedor de red, aunque se puede usar cualquier método de cifrado adecuado.
Después de que el mensaje se haya creado, se envía como un suplemento en la respuesta de asociación 802.11 al punto de acceso, el cual está programado para reenviar el mensaje al dispositivo inalámbrico.
4. El administrador de conexiones en el dispositivo inalámbrico acusará recibo de la respuesta y, según está programado, enviará el mensaje de autenticación al servidor de información, o al MIIS de acuerdo con la IEEE 802.21, para su autenticación, preferentemente utilizando una red autenticada de forma previa, tal como la 3G. El MIIS está configurado por el programa de software instalado para descifrar el mensaje recibido; si se usa un cifrado de clave pública/cifrada, utilizará su clave privada para descifrar el mensaje. Una vez que el MIIS ha descifrado el mensaje, validará el tiempo del mensaje y comparará la dirección MAC del dispositivo inalámbrico con un identificador correspondiente del dispositivo inalámbrico que reenvió el mensaje de autenticación al servidor de autenticación. Si, por ejemplo, el mensaje de autenticación se reenvía sobre una red Wi-Fi ya autenticada, la dirección MAC del dispositivo que envía el mensaje se puede obtener a partir del encabezamiento 802.11. Si se usa una red 3G, se puede extraer otro identificador, por ejemplo, el número de teléfono, el SIM o el IMEI del dispositivo, y se puede buscar
5
10
15
20
25
30
35
40
45
50
55
60
65
la dirección MAC correspondiente al dispositivo en una base de datos en el servidor, almacenando dicha base de datos, por ejemplo, números de teléfono y direcciones MAC correspondientes de dispositivos registrados en el servicio de autenticación.
5. El MIIS envía un mensaje al administrador de conexiones en el dispositivo inalámbrico informando al dispositivo, es decir, a su usuario, de que el punto de acceso es genuino o no autorizado. Si el punto de acceso es genuino, el mensaje incluye, preferentemente, las credenciales de inicio de sesión del usuario para el proveedor de red seleccionado.
Después de esto, el dispositivo inalámbrico se puede conectar a Internet por medio del punto de acceso autenticado del proveedor de red.
Se observará, en esta primera forma de realización, cómo el MIIS proporciona una localización adecuada para comparar el MACdispositivo aportado en el mensaje del controlador de red, con el MAC que es indicado por el dispositivo por medio de la red previamente autenticada. Normalmente, el dispositivo inalámbrico ya dispondrá de una conexión autenticada con el MIIS, y el MIIS también podría disponer de datos pre-existentes sobre redes por cable a las cuales podría estar intentando conectarse el dispositivo inalámbrico (por ejemplo, una clave secreta compartida de cifrado).
A continuación se describirá una segunda forma de realización en referencia a la figura 2. La segunda forma de realización difiere de la primera forma de realización en que el dispositivo de usuario usa el servidor de información con el fin de obtener información sobre redes disponibles en el área, y el servidor de información verifica también la identidad del punto de acceso.
Los números que aparecen en la figura se refieren a etapas que se describen a continuación.
Un usuario con un dispositivo móvil desea a acceder a Internet. El dispositivo móvil usa, en primer lugar, el 3G o el GPRS para registrarse en el MIIS y solicitar información de sus proximidades con el fin de saber si hay disponible un punto de acceso adecuado cercano. Por lo tanto, todo proveedor de red que desee implementar este servicio se registra en el MIIS local y proporciona todas las direcciones MAC de AP y SSIDs, claves públicas, y credenciales para iniciar sesión en la red; este proceso de registro se enumera como etapa 0 en la figura 2. El MIIS almacena la información en una base de datos.
El proceso de autenticación del dispositivo inalámbrico es:
1. El cliente usa 3G o GPRS para registrarse en el MIIS y solicitar redes vecinas.
2. El MIIS responderá al administrador de conexiones en el dispositivo inalámbrico con una lista de los APs conocidos que circundan al usuario. Esta respuesta contiene información sobre el AP, tal como SSID, dirección mAc, Proveedor de red, Coste, Ancho de banda, etcétera.
3. Con esta información, el administrador de conexiones puede seleccionar el AP al que conectarse sobre la base de los requisitos del usuario.
4. Después de esto, el administrador de conexiones en el dispositivo inalámbrico se conectará al punto de acceso seleccionado y, según ha sido configurado por el programa de software instalado, solicitará un mensaje de autenticación del proveedor de red (NP). Preferentemente, como solicitud de un mensaje de autenticación se usa también la solicitud de asociación 802.11 actual. La 802.11 es la normativa WiFi por lo que se trata de un paquete que debe enviarse de todos modos, y ya contiene las direcciones MAC del AP y del dispositivo. A continuación, este paquete se encapsula en un paquete IP por parte del punto de acceso, y se envía directamente al controlador de NP.
5. Tras recibir la solicitud, el controlador de NP está configurado para crear el siguiente mensaje de autenticación, el cual se envía como un suplemento en la respuesta de asociación 802.11 al punto de acceso que, a continuación, reenvía el mensaje al dispositivo inalámbrico:
MIISpu (NPpr (MACap + MACdispositivo + tiempo) + ID NP)
El mensaje de autenticación está compuesto por lo siguiente:
- MAC del AP, MAC del dispositivo inalámbrico que solicita acceso a Internet y el tiempo de solicitud, cifrados, todos ellos, con la clave privada del proveedor de red (NP) (el MIIS tiene ya almacenada la clave pública del NP). El cifrado con la clave privada actúa como firma. Podrían usarse varios algoritmos de firma (por ejemplo, DSA (Algoritmo de Firma Digital)), o cuando se use un cifrado simétrico entre el controlador de NP y el MIIS, podría usarse la Autenticación de Mensajes. En cualquiera de los casos, el cifrado de la firma no es un requisito para garantizar la autenticidad y la
5
10
15
20
25
30
35
40
45
50
55
60
65
integridad del mensaje en su llegada al MIIS.
En esta forma de realización, el mensaje previo completo se cifra además con la clave pública del MIIS compartida con el proveedor de red.
6. El administrador de conexiones acusará recibo de la respuesta y está configurado, por medio del programa de software, para enviar el mensaje de autenticación al MIIS con vistas a su autenticación usando una red previamente autenticada, tal como la 3G. El MIIS descifrará el mensaje recibido usando su clave privada, y, a continuación, leerá el ID de NP para localizar la clave pública adecuada con el fin de descifrar el resto del mensaje (MACap + MACdispositivo + tiempo). Una vez que el MIIS ha descifrado el mensaje usando la clave pública del NP, entonces validará el tiempo del mensaje y comparará la dirección MAC descifrada del punto de acceso con direcciones MAC almacenadas de puntos de acceso en la base de datos, así como comparando la dirección MAC descifrada del dispositivo inalámbrico con la dirección MAC del dispositivo que reenvió el mensaje de autenticación al servidor de información con el fin de asegurarse de que el punto de acceso así como el dispositivo inalámbrico que reenvió el mensaje son genuinos y son autorizados. Si, por ejemplo, el mensaje de autenticación se reenvía sobre una red Wi-Fi ya autenticada, en lugar de una red 3G, la dirección MAC del dispositivo que envía el mensaje se puede obtener a partir del encabezamiento 802.11. Si se usa una red 3G, puede extraerse otro identificador, por ejemplo, el número de teléfono correspondiente al dispositivo, y la dirección MAC del dispositivo se puede buscar en la base de datos del servidor, base de datos que almacena números de teléfono y direcciones MAC correspondientes de dispositivos registrados en el servicio de autenticación.
7. Si el MIIS verifica el mensaje de autenticación, el mismo está configurado para enviar las credenciales de inicio de sesión al administrador de conexiones en el dispositivo inalámbrico.
8. El administrador de conexiones usará las credenciales de inicio de sesión para acceder a la red del proveedor de red por medio del punto de acceso seleccionado y autenticado. Por tanto, no es necesario que un usuario recuerde sus credenciales para cada proveedor de red, sino que puede iniciar sesión automáticamente en la red seleccionada sabiendo que el punto de acceso está autenticado y, por lo tanto, puede estar seguro de que no se está conectando a un punto de acceso no autorizado. Todas las credenciales de inicio de sesión están cifradas y ninguna de ellas está disponible para el usuario; únicamente el administrador de conexiones en el dispositivo puede descifrar las credenciales de inicio de sesión, evitando así que usuarios compartan credenciales.
A continuación se describirá una tercera forma de realización en referencia a la figura 3.
La diferencia entre esta forma de realización y la segunda forma de realización es que el punto de acceso requiere una autenticación por clave WEP/WPA para que el dispositivo inalámbrico se autentique, primero, en el punto de acceso, antes de autenticarse en el proveedor de red. La tercera forma de realización funciona de forma idéntica a la segunda forma de realización, excepto por la respuesta del MIIS en la etapa 2 que proporciona también la Clave de Autenticación WEP/WPA cifrada del AP y, en la etapa 4, el administrador de conexiones envía la clave WEP/WPA adecuada al AP con vistas a su autenticación.
Una vez autenticado, el administrador de conexiones en el dispositivo inalámbrico solicitará, etapa 5, un mensaje de autenticación del proveedor de red (NP) de la misma manera que la descrita en la segunda forma de realización.
Las etapas 6 a 9 en la figura 3 se corresponden con las etapas 5 a 8 de la segunda forma de realización, y el dispositivo seguirá estas etapas para autenticarse en el proveedor de red y acceder a Internet.
Las formas de realización descritas proporcionan varias medidas de seguridad que harán que mejore la seguridad en redes inalámbricas.
Como primera medida de seguridad, incorporando la dirección MAC del dispositivo inalámbrico que solicita el mensaje de autenticación en el mensaje de autenticación cifrado, el MIIS, u otros medios de comparación de identificadores de interfaz, podrán comparar esa dirección MAC con la dirección MAC recibida directamente del dispositivo, para detectar que un dispositivo inalámbrico no autorizado o un AP no autorizado ha falseado y capturado o bien la solicitud de un mensaje de autenticación proveniente de un dispositivo inalámbrico o bien el mensaje de autenticación cifrado y ha respondido con él al MIIS con el fin de autenticarse en el proveedor de red. Puesto que la dirección MAC de este dispositivo no autorizado no será igual a la dirección MAC del dispositivo inalámbrico que inicialmente envió la solicitud de un mensaje de autenticación, el servidor de información, cuando compare las direcciones MAC, percibirá que algo va mal, y no verificará el punto de acceso o el dispositivo inalámbrico y, por tanto, no proporcionará ningún mensaje en relación con que el punto de acceso es genuino y/o no proporcionará credenciales de inicio de sesión al dispositivo.
A continuación, se describirán dos escenarios diferentes para mostrar cómo funciona esto.
5
10
15
20
25
30
35
40
45
50
55
60
65
En el primer ejemplo un usuario A (que ha instalado el programa en su dispositivo móvil al mismo tiempo que ha proporcionado detalles, tales como el número de teléfono móvil y la dirección MAC correspondiente de este dispositivo móvil para su almacenamiento en el servidor de información) se sienta en una cafetería y activa su dispositivo inalámbrico A para enviar una solicitud de un mensaje de autenticación a un punto de acceso genuino en la cafetería. La solicitud incluye la dirección MAC correspondiente al dispositivo A y, por tanto, el controlador de NP incluirá esta dirección MAC en el mensaje cifrado y la enviará de vuelta al administrador de conexiones en el dispositivo A. El administrador de conexiones reenvía el mensaje cifrado al servidor de información usando una conexión 3G.
El servidor de información descifrará el mensaje y hallará la dirección MAC correspondiente al dispositivo A. Buscando el número de teléfono del dispositivo A (que envió el mensaje al servidor de información) en la base de datos almacenada, el servidor de información hallará la dirección MAC correspondiente al dispositivo A. Puesto que las direcciones MAC coinciden, el servidor de información enviará un mensaje que incluye credenciales de inicio de sesión de usuario al dispositivo A.
En el segundo ejemplo, el usuario del dispositivo A envía una solicitud de un mensaje de autenticación a lo que él cree que es un punto de acceso genuino en la cafetería, pero el mismo es, en cambio, un dispositivo B (por ejemplo, un portátil) que transmite un SSID falseado con una alta intensidad de señal. La solicitud de un mensaje de autenticación proveniente del dispositivo A es capturada por el dispositivo B, y dicho dispositivo B reenvía la solicitud al punto de acceso genuino. No obstante, la MAC del dispositivo enviada al punto de acceso genuino será la dirección MAC del dispositivo B y, por lo tanto, el controlador de NP firmará digitalmente la dirección MAC B del dispositivo en el mensaje de autenticación y enviará el mensaje de vuelta al dispositivo B. El administrador de conexiones en el dispositivo malicioso B enviará este mensaje al administrador de conexiones del dispositivo A, el cual, a continuación, reenviará el mensaje de autenticación al servidor de información a través de una conexión 3G. El servidor de información descifrará el mensaje y hallará la dirección MAC B. El servidor de información también buscará el número de teléfono correspondiente al dispositivo A, que reenvió la solicitud al servidor de información, en la base de datos almacenada, y hallará la dirección MAC A. Comparando las dos direcciones MAC, el servidor de información observará que no coinciden y, por lo tanto, enviará un mensaje al dispositivo A en relación con que el punto de acceso no se puede autenticar y, por ello, no enviará las credenciales de inicio de sesión de usuario al usuario A.
Si el dispositivo B, en lugar de reenviar el mensaje de autenticación cifrado al dispositivo A, reenvía él mismo el mensaje de autenticación al servidor de información, el servidor de información buscará el número de teléfono recibido del dispositivo B. Puesto que, probablemente, B no se ha registrado en el servicio de autenticación de este punto de acceso, el servidor de información no hallará ninguna dirección MAC correspondiente y, por tanto, no podrá comparar las dos direcciones MAC.
Si el dispositivo B se ha registrado en el servicio de autenticación del punto de acceso, todo parecerá ir bien pero el servidor de información enviará un mensaje al dispositivo B con las credenciales de inicio de sesión para el usuario B y, por tanto, el usuario B no podrá obtener la credencial correspondiente al usuario A, y dicho usuario A no se podrá conectar al proveedor de red ni siquiera si el usuario recibe un mensaje reenviado por el dispositivo B en relación con que el punto de acceso es genuino, ya que las credenciales de inicio de sesión de usuario son erróneas.
Como segunda medida de seguridad, si un punto de acceso suplantador, que ha falseado la dirección MAC o dirección IP de un AP genuino, consiguiese conectarse físicamente a la red del proveedor de red, y consiguiese reenviar una solicitud de un mensaje de autenticación, el mismo no recibiría tampoco el mensaje de autenticación del proveedor de red ya que el mensaje se encaminaría por medio de un mecanismo de encaminamiento (por ejemplo, un rúter) a través de una conexión por cable, al punto de acceso legítimo al que le han falseado la dirección IP. Por tanto, el punto de acceso no autorizado no puede reenviar un mensaje de autenticación al dispositivo inalámbrico, y el dispositivo inalámbrico tendrá que encontrar otro punto de acceso, legítimo, con el fin de conectarse a una red deseada. El punto de acceso genuino que recibe el mensaje de autenticación descartará el paquete ya que el dispositivo inalámbrico no está conectado a este AP.
Como tercera medida de seguridad, el servidor de información comprueba que el identificador descifrado de un punto de acceso se corresponde con un identificador de punto de acceso almacenado en el servidor de información, y, por tanto, pertenece a un proveedor de red registrado y, en caso negativo, se informará al dispositivo inalámbrico de que el punto de acceso no está autenticado.
Como cuarta medida de seguridad, incorporando también el tiempo en el mensaje de autenticación, se evita que un usuario malicioso envíe el mensaje de autenticación incluso cuando sus credenciales hayan caducado. No obstante, no es necesario incorporar el tiempo en el mensaje de autenticación con el fin de verificar que un punto de acceso es genuino, pero es una medida ventajosa puesto que incrementa adicionalmente la posibilidad de detectar dispositivos inalámbricos no autorizados o menos fiables.
5
10
15
20
25
30
35
40
45
50
55
60
65
Como quinta medida de seguridad, el mensaje de autenticación se reenvía desde el dispositivo inalámbrico al servidor de información a través de una red ya autenticada, tal como GSM o GPRS, de manera que no hay riesgo de que un punto de acceso no autorizado reenvíe la solicitud a un servidor de información falso o falseado.
Las etapas 1 a 3 de la segunda y la tercera formas de realización son opcionales; el dispositivo inalámbrico podría solicitar un mensaje de autenticación de un proveedor de servicio por medio de un punto de acceso que el mismo haya encontrado mediante una exploración normal de redes de radiocomunicaciones disponibles.
Además no es necesario que la credencial de inicio de sesión para un proveedor de red se envíe al dispositivo inalámbrico por parte del servidor de información. Las credenciales de inicio de sesión se podrían almacenar, en cambio, en el dispositivo inalámbrico, y se podrían presentar al proveedor de red una vez que el servidor de información ha autenticado el punto de acceso, por lo que las etapas 7 a 8 se podrían sustituir por una etapa en la que el servidor de información únicamente envía un mensaje al dispositivo inalámbrico en relación con que el punto de acceso se ha verificado.
En los ejemplos anteriores, como identificador para cada uno del punto de acceso y del dispositivo inalámbrico se usa una dirección MAC. Debe entenderse que las direcciones MAC del dispositivo y/o del AP podrían ser las direcciones MAC de sus tarjetas de interfaz de red inalámbricas. No obstante, el identificador podría ser un ID de hardware tanto para el AP como para el dispositivo inalámbrico, o cualquier otro identificador que sea exclusivo del dispositivo o de un usuario, tal como un número de teléfono o un ID SIM. En este caso, la solicitud de asociación podría seguirse usando para enviar la solicitud del mensaje de autenticación al proveedor de red; no obstante, el ID tendría que añadirse a la solicitud.
Cuando se usa la solicitud de asociación del dispositivo al AP como solicitud de un mensaje de autenticación, el AP no sabrá si el dispositivo desea simplemente conectarse o está solicitando el mensaje de autenticación. No obstante, existen dos maneras de plantear esto:
El AP siempre trata toda solicitud de asociación como solicitud de un mensaje de autenticación, y, a continuación, envía el mensaje en la respuesta de asociación, el cual será ignorado en un dispositivo que no se haya configurado para usar el mensaje de autenticación, pero será entendido por cualquier dispositivo que se haya programado para entenderlo, es decir, cualquier dispositivo que se haya registrado para usar el servicio de autenticación.
En lugar de usar la solicitud de asociación tal como está, se podría introducir un suplemento especial para marcar que se solicita el mensaje de autenticación.
Esta es simplemente una de las formas de pedir el mensaje de autenticación. Como alternativa, podría usarse un paquete privativo para solicitar el mensaje de autenticación.
Todas las formas de realización anteriores se implementan en una red IEEE 802.21, aunque las mismas también se podrían implementar en redes que funcionen de acuerdo con otras normativas siempre que se ofrezca un servicio de información similar. Por ejemplo, en el 3GPP (Proyecto de Asociación de 3a Generación), se implementa un servicio de información similar denominado Función de Descubrimiento y Selección de Redes de Acceso (ANDSF) con el fin de ayudar a dispositivos inalámbricos a descubrir redes disponibles y sus capacidades.
Además de verificar que un punto de acceso es genuino y no un punto de acceso no autorizado o malicioso, el servidor de información también puede informar al dispositivo inalámbrico sobre un nivel de seguridad para el punto de acceso seleccionado. El nivel de seguridad se almacenará en el MIIS, o en el servidor de información, en calidad de elemento de información de ese AP, y el nivel de seguridad dependerá de la seguridad del proveedor de servicio del punto de acceso; si la información por vía aérea está cifrada; y el tipo de cifrado usado. Todos los elementos de información almacenados en el MIIS estarán disponibles para usuarios y/o proveedores servicios.
El nivel de seguridad determina a qué tipos de servicios debería acceder o no un usuario por medio del punto de acceso, por ejemplo:
Nivel 0: Un nivel de seguridad por defecto que permite que un usuario utilice el AP para una navegación normal en Internet. El usuario debería acceder solamente a páginas Web que no requieran inicio de sesión y autenticación de usuario.
Nivel 1: El usuario puede acceder a servicios sin transacciones, que requieren autenticación del usuario, tales como foros o correos electrónicos.
Nivel 2: El usuario puede acceder a servicios que requieren transacciones, tales como eBay o Amazon.
5
10
15
20
25
30
35
40
45
50
55
60
65
Nivel 3: Para ejecutar banca electrónica.
Si el usuario se conecta a un punto de acceso de nivel 0 e intenta conectarse a su correo electrónico, el administrador de conexiones presentará un mensaje que informa de que el AP actual no es suficientemente seguro. Proporcionará también al usuario 3 opciones:
- Ignorar el consejo y usar el AP actual para comprobar el correo electrónico;
- Usar 3G para comprobar el correo electrónico, en caso de que esté disponible (esta opción también se podría configurar como opción por defecto cuando el nivel de seguridad del AP no se considere suficiente para la aplicación actual).
- En la medida en la que el administrador de conexiones conoce la ubicación del AP vecino, podría aconsejar al usuario a dónde ir para ejecutar el servicio/aplicación requerido. La indicación podría ser “desplazarse 100 metros por la calle actual”. Por lo tanto, el administrador de conexiones puede comunicarle al usuario que “Hay un AP adecuado a menos de 40 metros, ¿quiere que le indiquemos como llegar allí?”
A continuación se describirá, en relación con la figura 4, un sistema en el cual se pueden implementar las formas de realización descritas.
El sistema comprende una serie de diferentes puntos de acceso 31 que pertenecen a diferentes proveedores de red 32 con tipos diferentes de redes que proporcionan servicios a usuarios. Los puntos de acceso pueden ser, por ejemplo, puntos de acceso WLAN o puntos de acceso Bluetooth. Cada punto de acceso 31 está conectado a un controlador, o servidor de gestión de red, 33 en la red por cable. El controlador 33 está diseñado para controlar todos los puntos de acceso de la red según una manera conocida, así como creando mensajes de autenticación solicitados por administradores de conexiones en dispositivos móviles 34. Alternativamente, los mensajes de autenticación pueden ser creados por otros servidores 35 de la red en particular. Tanto el controlador 33 como el servidor 35 pueden ser ordenadores de propósito general que comprenden bases de datos y programas de software diseñados para llevar a cabo diferentes tareas, tales como la gestión de los puntos de acceso en la red y la creación de mensajes de autenticación solicitados, así como el cifrado u otro tipo de procesado de estos mensajes de autenticación. El software requerido para llevar a cabo el método de autenticación descrito se puede almacenar en DVD-ROMs u otros soportes de almacenamiento portátiles, y se puede instalar en servidores de gestión/controladores comunes en una red que pertenezca a un proveedor de red que desee implementar el servicio del método de autenticación descrito. Cuando el software instalado se está ejecutando en el controlador o servidor, el mismo, tras recibir una solicitud de asociación, creará automáticamente el mensaje de autenticación y lo enviará de vuelta al dispositivo solicitante en la respuesta de asociación. Los medios para crear el mensaje de autenticación y los medios criptográficos también se podrían implementar en forma de hardware.
Para mejorar adicionalmente el método de autenticación, el controlador podría tener otra base de datos que comprenda direcciones IP y direcciones MAC para todos sus puntos de acceso. Cuando el controlador recibe la solicitud de un mensaje de autenticación, podría comprobar que la dirección IP del punto de acceso que envió la solicitud se encuentra en la base de datos y podría recuperar también la dirección MAC correspondiente para el punto de acceso y comprobar que es igual que la dirección MAC de AP recibida con la solicitud.
El sistema comprende además un servidor de información, o MIIS, 36. El servidor de información comprende una base de datos 37 que contiene información sobre redes y puntos de acceso. Algunos ejemplos de lo que podría ser esta información son: nombre de operador, coste por minuto, coste por hora, ancho de banda, dirección MAC del punto de acceso, canal y ubicación del punto de acceso. A cada uno de estos campos se le denomina Elemento de Información (IE) y la normativa define alguno de ellos pero permite el uso de algunos ampliados.
El servidor de información tiene una dirección IP Global, y el dispositivo inalámbrico puede usar cualquiera de sus interfaces de red para conectarse al servidor de información a través de Internet con el fin de obtener la información requerida. Preferentemente, habrá varios servidores de información pertenecientes a grupos diferentes de redes inalámbricas con capacidad de interfuncionamiento, cubriendo cada servidor un área geográfica diferente.
El servidor de información comprende además software o hardware criptográfico 38 para descifrar un mensaje de autenticación recibido de un dispositivo inalámbrico y una unidad de verificación o comparador 39, implementado o bien como módulo de software o bien como módulo de hardware, el cual está programado o diseñado para comparar el ID del punto de acceso y la dirección MAC del dispositivo, obtenidos, o cualquier otro ID asociado al dispositivo o al usuario, del mensaje de autenticación, con IDs de puntos de acceso almacenados en la base de datos 37 y con la dirección MAC del dispositivo inalámbrico almacenada en una base de datos 40 en el servidor de información. La base de datos 40 relaciona un identificador del dispositivo inalámbrico que es recuperable a
5
10
15
20
25
partir de una conexión 3G o GSM, con la dirección MAC del dispositivo.
El software requerido para llevar a cabo el método de verificación descrito se puede almacenar en DVD-ROMs u otros soportes de almacenamiento portátiles, y se puede instalar en el servidor de información, y, cuando se ejecuta en este servidor, lleva a cabo dicho método de autenticación.
Para posibilitar que un dispositivo móvil use el método de verificación, es necesario que el dispositivo tenga un programa de software instalado, preferentemente en el administrador de conexiones, el cual reconozca que la respuesta de asociación del proveedor de red comprende un mensaje de autenticación y extraiga el mensaje de autenticación de la respuesta de asociación y lo reenvíe a un servidor de información. Este programa de software se puede descargar, por ejemplo, directamente en el dispositivo desde un sitio de Internet aportado por el proveedor de red, o el programa de software se podría almacenar en un DVD-ROM u otros soportes de almacenamiento portátiles y se podría instalar en el dispositivo por medio de un ordenador en el cual se introduce y ejecuta el DVD-ROM u otros soportes de almacenamiento.
En resumen, los puntos de acceso no autorizados o maliciosos representan una amenaza para redes inalámbricas y los usuarios de estas redes. Con el fin de evitar o reducir esta amenaza, se propone un método y un sistema que verifique que un punto de acceso es genuino y autorizado, antes de establecer una conexión entre el punto de acceso y un dispositivo inalámbrico.
La autenticación se basa en la comparación de un identificador del dispositivo inalámbrico, obtenido a partir de un servidor de autenticación en la red por cable, con un identificador de un dispositivo inalámbrico, obtenido directamente a partir del dispositivo inalámbrico. Un comparador en un servidor de información recibe los dos conjuntos de datos y compara los dos identificadores, y, si los mismos coinciden, el punto de acceso se verifica como genuino.

Claims (11)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Método de detección de la intervención de un punto de acceso no autorizado en un trayecto de comunicaciones entre un dispositivo inalámbrico y uno o más recursos en una red de datos accesible por medio de un punto de acceso genuino, comprendiendo dicho método:
    un servidor de mensajes de autenticación en la red de datos:
    recibe por medio de dicho trayecto de comunicaciones, una solicitud emitida por dicho dispositivo inalámbrico de un mensaje de autenticación cifrado, incluyendo la solicitud datos indicativos de un identificador de dicho dispositivo inalámbrico;
    genera un mensaje de autenticación cifrado usando los datos recibidos indicativos de dicho dispositivo inalámbrico presentados en dicho trayecto de comunicaciones, y
    envía el mensaje de autenticación cifrado al dispositivo inalámbrico;
    el dispositivo inalámbrico:
    proporciona a un comparador en la red de datos por medio de un punto de acceso previamente autenticado con respecto a la red de datos,-
    unos datos indicativos del identificador del dispositivo inalámbrico;
    unos datos indicativos de un identificador del punto de acceso usado en el trayecto de comunicaciones entre el dispositivo inalámbrico y la red de datos; y
    el mensaje de autenticación cifrado;
    el comparador:
    descifra el mensaje de autenticación cifrado, y
    compara los dos conjuntos de datos indicativos del identificador del dispositivo inalámbrico;
    compara los datos indicativos de un identificador del punto de acceso con unos identificadores de puntos de acceso conocidos, almacenados previamente en el comparador;
    detecta la intervención de un punto de acceso no autorizado en una comunicación entre dicho dispositivo inalámbrico y la red por cable si dichos dos conjuntos de datos indicativos del identificador del dispositivo inalámbrico no coinciden, y el identificador del punto de acceso no coincide con los identificadores de puntos de acceso conocidos; y
    señaliza el resultado de dicha comparación a dicho dispositivo inalámbrico por medio de dicho punto de acceso previamente autenticado con respecto a la red de datos.
  2. 2. Método según la reivindicación 1, en el que el identificador del dispositivo inalámbrico es un identificador de la interfaz de red inalámbrica del dispositivo.
  3. 3. Método según la reivindicación 2, en el que dicho comparador es accesible para dicho dispositivo inalámbrico por medio de una segunda interfaz inalámbrica de dicho dispositivo inalámbrico, y dicho dispositivo inalámbrico envía datos indicativos de su identificador de primera interfaz inalámbrica a dicho comparador por medio de la segunda interfaz inalámbrica.
  4. 4. Método según la reivindicación 3, en el que el comparador comprende una base de datos que relaciona el identificador de interfaz inalámbrica para cada dispositivo inalámbrico con otro identificador del dispositivo inalámbrico, estando además el comparador dispuesto para determinar dicho otro identificador a partir de información presentada por el dispositivo por medio de dicha segunda interfaz inalámbrica y dicha base de datos.
  5. 5. Método según la reivindicación 3 o 4, en el que el comparador está colocado conjuntamente con un servidor de información, que soporta el traspaso de dicho dispositivo inalámbrico entre redes inalámbricas heterogéneas.
  6. 6. Método según cualquiera de las reivindicaciones anteriores, en el que el comparador se hace funcionar para enviar una credencial de inicio de sesión al dispositivo inalámbrico tras determinar que los identificadores comparados coinciden.
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
  7. 7. Sistema para detectar la intervención de un punto de acceso no autorizado en un trayecto de comunicaciones entre un dispositivo inalámbrico y uno o más recursos en una red de datos accesible por medio de un punto de acceso genuino, comprendiendo dicho sistema:
    un comparador;
    un servidor de mensajes de autenticación en dicha red de datos dispuesto para:
    recibir por medio de dicho trayecto de comunicaciones, una solicitud, emitida por dicho dispositivo inalámbrico de un mensaje de autenticación cifrado, incluyendo la solicitud unos datos indicativos de un identificador del dispositivo inalámbrico;
    generar un mensaje de autenticación cifrado usando los datos recibidos indicativos de dicho dispositivo inalámbrico presentados en dicho trayecto de comunicaciones, y
    enviar dicho mensaje de autenticación cifrado al dispositivo inalámbrico;
    en el que el dispositivo inalámbrico está
    dispuesto para proporcionar a dicho comparador, por medio de un punto de acceso previamente autenticado con respecto a la red de datos,
    unos datos indicativos del identificador del dispositivo inalámbrico;
    unos datos indicativos de un identificador del punto de acceso usado en el trayecto de comunicaciones entre el dispositivo inalámbrico y la red de datos; y
    el mensaje de autenticación cifrado;
    en el que dicho comparador está dispuesto en funcionamiento para:
    descifrar el mensaje de autenticación cifrado;
    comparar los dos conjuntos de datos indicativos del identificador del dispositivo inalámbrico, y
    comparar los datos indicativos de un identificador del punto de acceso con unos identificadores de puntos de acceso conocidos previamente almacenados en el comparador;
    y si la comparación de los dos conjuntos de datos indicativos del dispositivo inalámbrico no coincide y el identificador del punto de acceso no coincide con los puntos de acceso conocidos, detectar la intervención de un punto de acceso no autorizado en la comunicación entre dicho dispositivo inalámbrico y la red por cable; y
    señalizar el resultado de dicha comparación a dicho dispositivo inalámbrico por medio de dicho punto de acceso previamente autenticado con respecto a la red de datos.
  8. 8. Sistema según la reivindicación 7, en el que el identificador del dispositivo inalámbrico es un identificador de la interfaz de red inalámbrica del dispositivo.
  9. 9. Sistema según la reivindicación 7 u 8, en el que el comparador está colocado conjuntamente con un servidor de información, que soporta el traspaso de dicho dispositivo inalámbrico entre unas redes inalámbricas heterogéneas.
  10. 10. Sistema según la reivindicación 9, en el que el comparador comprende una base de datos que relaciona el identificador de interfaz inalámbrica de cada dispositivo inalámbrico con otro identificador del dispositivo inalámbrico, comprendiendo además el comparador unos medios dispuestos para determinar dicho otro identificador a partir de la información presentada por el dispositivo inalámbrico a través de una segunda interfaz inalámbrica, y dicha base de datos.
  11. 11. Comparador dispuesto en funcionamiento para:
    recibir de un dispositivo inalámbrico, por medio de un punto de acceso previamente autenticado con respecto a una red de datos,
    unos datos indicativos de un identificador del dispositivo inalámbrico que buscan autenticar un punto de acceso que proporciona acceso a la red de datos;
    unos datos indicativos de un identificador del punto de acceso usado en el trayecto de comunicaciones entre el dispositivo inalámbrico y la red de datos; y
    5 un mensaje de autenticación cifrado generado por un servidor de mensajes de autenticación en la red de
    datos, comprendiendo dicho mensaje datos indicativos del identificador usado por un dispositivo inalámbrico en la comunicación con la red de datos por medio de un punto de acceso que proporciona acceso inalámbrico a la red de datos, en el que dicho identificador fue presentado a dicha red de datos por dicho dispositivo inalámbrico a través de una comunicación entre dicho dispositivo inalámbrico y dicha red de datos accesible 10 por medio de un punto de acceso genuino;
    descifrar el mensaje de autenticación cifrado y
    comparar los dos conjuntos de datos indicativos del identificador del dispositivo inalámbrico;
    15
    comparar los datos indicativos de un identificador del punto de acceso con unos identificadores de puntos de acceso conocidos previamente almacenados en el comparador; y
    para detectar la intervención de un punto de acceso no autorizado en una comunicación entre dicho 20 dispositivo inalámbrico y la red por cable si dichos dos conjuntos de datos indicativos del identificador del
    dispositivo inalámbrico no coinciden, y el identificador del punto de acceso no coincide con los identificadores de puntos de acceso conocidos, de manera que el resultado de la comparación se pueda proporcionar a dicho dispositivo inalámbrico a través de dicha red inalámbrica previamente autenticada.
ES11713333.0T 2010-03-30 2011-03-30 Método y sistema para autenticar un punto de acceso Active ES2686834T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP10250655A EP2372971A1 (en) 2010-03-30 2010-03-30 Method and system for authenticating a point of access
EP10250655 2010-03-30
PCT/GB2011/000486 WO2011121294A1 (en) 2010-03-30 2011-03-30 Method and system for authenticating a point of access

Publications (1)

Publication Number Publication Date
ES2686834T3 true ES2686834T3 (es) 2018-10-22

Family

ID=42536439

Family Applications (1)

Application Number Title Priority Date Filing Date
ES11713333.0T Active ES2686834T3 (es) 2010-03-30 2011-03-30 Método y sistema para autenticar un punto de acceso

Country Status (4)

Country Link
US (1) US8893246B2 (es)
EP (2) EP2372971A1 (es)
ES (1) ES2686834T3 (es)
WO (1) WO2011121294A1 (es)

Families Citing this family (214)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101957942B1 (ko) 2010-10-08 2019-03-15 삼성전자주식회사 서비스 방법, 그 장치 및 그 서버
US9253589B2 (en) * 2012-03-12 2016-02-02 Blackberry Limited Wireless local area network hotspot registration using near field communications
CN103368738B (zh) * 2012-04-11 2017-02-15 华为技术有限公司 一种安全身份发现及通信方法
US9258704B2 (en) * 2012-06-27 2016-02-09 Advanced Messaging Technologies, Inc. Facilitating network login
JP6033014B2 (ja) * 2012-09-14 2016-11-30 キヤノン株式会社 情報処理装置、その制御方法、プログラム
DE102012110541B4 (de) * 2012-11-05 2016-01-21 Deutsches Zentrum für Luft- und Raumfahrt e.V. AIS-Schiffstransceiver
US10009065B2 (en) 2012-12-05 2018-06-26 At&T Intellectual Property I, L.P. Backhaul link for distributed antenna system
US9113347B2 (en) 2012-12-05 2015-08-18 At&T Intellectual Property I, Lp Backhaul link for distributed antenna system
US9198118B2 (en) * 2012-12-07 2015-11-24 At&T Intellectual Property I, L.P. Rogue wireless access point detection
US9380644B2 (en) 2012-12-21 2016-06-28 Hewlett Packard Enterprise Development Lp Access points to provide event notifications
US20140310604A1 (en) * 2013-04-12 2014-10-16 Fluke Corporation Network test instrument
GB2513850B (en) * 2013-05-03 2017-06-14 Rosberg System As Access control system
US9999038B2 (en) 2013-05-31 2018-06-12 At&T Intellectual Property I, L.P. Remote distributed antenna system
US9525524B2 (en) 2013-05-31 2016-12-20 At&T Intellectual Property I, L.P. Remote distributed antenna system
US9888378B2 (en) 2013-06-27 2018-02-06 International Business Machines Corporation Associating a user identity to a wireless signal
US20150045022A1 (en) * 2013-08-06 2015-02-12 Gaby Prechner Access points and methods for access point selection using an information data structure
US9088894B1 (en) * 2013-09-25 2015-07-21 Juniper Networks, Inc. Systems and methods for detecting rogue client devices connected to wireless hotspots
CN104581876A (zh) * 2013-10-18 2015-04-29 中兴通讯股份有限公司 接入网信息管理方法及装置
US8897697B1 (en) 2013-11-06 2014-11-25 At&T Intellectual Property I, Lp Millimeter-wave surface-wave communications
MY178188A (en) * 2013-12-04 2020-10-06 Mimos Berhad System and method for authorising an access point in a network
US9209902B2 (en) 2013-12-10 2015-12-08 At&T Intellectual Property I, L.P. Quasi-optical coupler
US20150215762A1 (en) * 2014-01-24 2015-07-30 Qualcomm Incorporated Method and apparatus for verifying the identity of a wireless device
KR102347669B1 (ko) * 2014-03-28 2022-01-07 에스케이이노베이션 주식회사 이중 전극쌍을 이용한 전기화학 바이오 센서
BR112016024045B1 (pt) * 2014-04-16 2023-09-26 Honor Device Co., Ltd Método de acesso a uma rede de área local sem fio wlan executado por um terminal e terminal
JP6353693B2 (ja) * 2014-05-08 2018-07-04 任天堂株式会社 決済システム、ユーザ端末装置、販売サーバ装置、決済方法及びコンピュータプログラム
CN105451303B (zh) * 2014-07-02 2018-11-06 阿里巴巴集团控股有限公司 接入网络的方法、装置、服务器及终端
CN109889473B (zh) * 2014-08-08 2021-11-19 创新先进技术有限公司 实现信息推送的方法及第三方客户端
EP2988467A1 (en) * 2014-08-20 2016-02-24 Agco Corporation Wireless out-of-band authentication for a controller area network
US9692101B2 (en) 2014-08-26 2017-06-27 At&T Intellectual Property I, L.P. Guided wave couplers for coupling electromagnetic waves between a waveguide surface and a surface of a wire
US9768833B2 (en) 2014-09-15 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for sensing a condition in a transmission medium of electromagnetic waves
US10063280B2 (en) 2014-09-17 2018-08-28 At&T Intellectual Property I, L.P. Monitoring and mitigating conditions in a communication network
US9628854B2 (en) 2014-09-29 2017-04-18 At&T Intellectual Property I, L.P. Method and apparatus for distributing content in a communication network
US9615269B2 (en) 2014-10-02 2017-04-04 At&T Intellectual Property I, L.P. Method and apparatus that provides fault tolerance in a communication network
US9685992B2 (en) 2014-10-03 2017-06-20 At&T Intellectual Property I, L.P. Circuit panel network and methods thereof
US9503189B2 (en) 2014-10-10 2016-11-22 At&T Intellectual Property I, L.P. Method and apparatus for arranging communication sessions in a communication system
US9762289B2 (en) 2014-10-14 2017-09-12 At&T Intellectual Property I, L.P. Method and apparatus for transmitting or receiving signals in a transportation system
US9973299B2 (en) 2014-10-14 2018-05-15 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a mode of communication in a communication network
US9627768B2 (en) 2014-10-21 2017-04-18 At&T Intellectual Property I, L.P. Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US9769020B2 (en) 2014-10-21 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for responding to events affecting communications in a communication network
US9312919B1 (en) 2014-10-21 2016-04-12 At&T Intellectual Property I, Lp Transmission device with impairment compensation and methods for use therewith
US9780834B2 (en) 2014-10-21 2017-10-03 At&T Intellectual Property I, L.P. Method and apparatus for transmitting electromagnetic waves
US9564947B2 (en) 2014-10-21 2017-02-07 At&T Intellectual Property I, L.P. Guided-wave transmission device with diversity and methods for use therewith
US9577306B2 (en) 2014-10-21 2017-02-21 At&T Intellectual Property I, L.P. Guided-wave transmission device and methods for use therewith
US9653770B2 (en) 2014-10-21 2017-05-16 At&T Intellectual Property I, L.P. Guided wave coupler, coupling module and methods for use therewith
US9520945B2 (en) 2014-10-21 2016-12-13 At&T Intellectual Property I, L.P. Apparatus for providing communication services and methods thereof
US10243784B2 (en) 2014-11-20 2019-03-26 At&T Intellectual Property I, L.P. System for generating topology information and methods thereof
US9997819B2 (en) 2015-06-09 2018-06-12 At&T Intellectual Property I, L.P. Transmission medium and method for facilitating propagation of electromagnetic waves via a core
US9461706B1 (en) 2015-07-31 2016-10-04 At&T Intellectual Property I, Lp Method and apparatus for exchanging communication signals
US9680670B2 (en) 2014-11-20 2017-06-13 At&T Intellectual Property I, L.P. Transmission device with channel equalization and control and methods for use therewith
US9954287B2 (en) 2014-11-20 2018-04-24 At&T Intellectual Property I, L.P. Apparatus for converting wireless signals and electromagnetic waves and methods thereof
US10340573B2 (en) 2016-10-26 2019-07-02 At&T Intellectual Property I, L.P. Launcher with cylindrical coupling device and methods for use therewith
US9654173B2 (en) 2014-11-20 2017-05-16 At&T Intellectual Property I, L.P. Apparatus for powering a communication device and methods thereof
US9742462B2 (en) 2014-12-04 2017-08-22 At&T Intellectual Property I, L.P. Transmission medium and communication interfaces and methods for use therewith
US9800327B2 (en) 2014-11-20 2017-10-24 At&T Intellectual Property I, L.P. Apparatus for controlling operations of a communication device and methods thereof
US10009067B2 (en) 2014-12-04 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for configuring a communication interface
US9544006B2 (en) 2014-11-20 2017-01-10 At&T Intellectual Property I, L.P. Transmission device with mode division multiplexing and methods for use therewith
CN104468626A (zh) * 2014-12-25 2015-03-25 上海市共进通信技术有限公司 实现移动终端无线认证加密的系统及方法
US10144036B2 (en) 2015-01-30 2018-12-04 At&T Intellectual Property I, L.P. Method and apparatus for mitigating interference affecting a propagation of electromagnetic waves guided by a transmission medium
US9876570B2 (en) 2015-02-20 2018-01-23 At&T Intellectual Property I, Lp Guided-wave transmission device with non-fundamental mode propagation and methods for use therewith
US9749013B2 (en) 2015-03-17 2017-08-29 At&T Intellectual Property I, L.P. Method and apparatus for reducing attenuation of electromagnetic waves guided by a transmission medium
EP3073774A1 (en) * 2015-03-23 2016-09-28 Thomson Licensing Automatic configuration of a wireless residential access network
US10070289B1 (en) * 2015-04-14 2018-09-04 Marvell International Ltd. Client association for provisioning devices in a communication network
US9705561B2 (en) 2015-04-24 2017-07-11 At&T Intellectual Property I, L.P. Directional coupling device and methods for use therewith
US10224981B2 (en) 2015-04-24 2019-03-05 At&T Intellectual Property I, Lp Passive electrical coupling device and methods for use therewith
US9948354B2 (en) 2015-04-28 2018-04-17 At&T Intellectual Property I, L.P. Magnetic coupling device with reflective plate and methods for use therewith
US9793954B2 (en) 2015-04-28 2017-10-17 At&T Intellectual Property I, L.P. Magnetic coupling device and methods for use therewith
US10257215B2 (en) * 2015-05-08 2019-04-09 Panasonic Avionics Corporation Identifying and disabling a rogue access point in a public wireless environment
US9871282B2 (en) 2015-05-14 2018-01-16 At&T Intellectual Property I, L.P. At least one transmission medium having a dielectric surface that is covered at least in part by a second dielectric
US9490869B1 (en) 2015-05-14 2016-11-08 At&T Intellectual Property I, L.P. Transmission medium having multiple cores and methods for use therewith
US9748626B2 (en) 2015-05-14 2017-08-29 At&T Intellectual Property I, L.P. Plurality of cables having different cross-sectional shapes which are bundled together to form a transmission medium
US10650940B2 (en) 2015-05-15 2020-05-12 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US10679767B2 (en) 2015-05-15 2020-06-09 At&T Intellectual Property I, L.P. Transmission medium having a conductive material and methods for use therewith
US9917341B2 (en) 2015-05-27 2018-03-13 At&T Intellectual Property I, L.P. Apparatus and method for launching electromagnetic waves and for modifying radial dimensions of the propagating electromagnetic waves
US9866309B2 (en) 2015-06-03 2018-01-09 At&T Intellectual Property I, Lp Host node device and methods for use therewith
US10103801B2 (en) 2015-06-03 2018-10-16 At&T Intellectual Property I, L.P. Host node device and methods for use therewith
US10154493B2 (en) 2015-06-03 2018-12-11 At&T Intellectual Property I, L.P. Network termination and methods for use therewith
US9912381B2 (en) 2015-06-03 2018-03-06 At&T Intellectual Property I, Lp Network termination and methods for use therewith
US10812174B2 (en) 2015-06-03 2020-10-20 At&T Intellectual Property I, L.P. Client node device and methods for use therewith
US10348391B2 (en) 2015-06-03 2019-07-09 At&T Intellectual Property I, L.P. Client node device with frequency conversion and methods for use therewith
US9913139B2 (en) 2015-06-09 2018-03-06 At&T Intellectual Property I, L.P. Signal fingerprinting for authentication of communicating devices
US9608692B2 (en) 2015-06-11 2017-03-28 At&T Intellectual Property I, L.P. Repeater and methods for use therewith
US10142086B2 (en) 2015-06-11 2018-11-27 At&T Intellectual Property I, L.P. Repeater and methods for use therewith
US9820146B2 (en) 2015-06-12 2017-11-14 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
US9667317B2 (en) 2015-06-15 2017-05-30 At&T Intellectual Property I, L.P. Method and apparatus for providing security using network traffic adjustments
EP3311510A4 (en) * 2015-06-18 2018-11-07 Andium Inc. Identity verification of wireless beacons based on a chain-of-trust
US9865911B2 (en) 2015-06-25 2018-01-09 At&T Intellectual Property I, L.P. Waveguide system for slot radiating first electromagnetic waves that are combined into a non-fundamental wave mode second electromagnetic wave on a transmission medium
US9509415B1 (en) 2015-06-25 2016-11-29 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a fundamental wave mode on a transmission medium
US9640850B2 (en) 2015-06-25 2017-05-02 At&T Intellectual Property I, L.P. Methods and apparatus for inducing a non-fundamental wave mode on a transmission medium
US10170840B2 (en) 2015-07-14 2019-01-01 At&T Intellectual Property I, L.P. Apparatus and methods for sending or receiving electromagnetic signals
US10341142B2 (en) 2015-07-14 2019-07-02 At&T Intellectual Property I, L.P. Apparatus and methods for generating non-interfering electromagnetic waves on an uninsulated conductor
US10033107B2 (en) 2015-07-14 2018-07-24 At&T Intellectual Property I, L.P. Method and apparatus for coupling an antenna to a device
US9722318B2 (en) 2015-07-14 2017-08-01 At&T Intellectual Property I, L.P. Method and apparatus for coupling an antenna to a device
US9836957B2 (en) 2015-07-14 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for communicating with premises equipment
US10033108B2 (en) 2015-07-14 2018-07-24 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave having a wave mode that mitigates interference
US10320586B2 (en) 2015-07-14 2019-06-11 At&T Intellectual Property I, L.P. Apparatus and methods for generating non-interfering electromagnetic waves on an insulated transmission medium
US10148016B2 (en) 2015-07-14 2018-12-04 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array
US9847566B2 (en) 2015-07-14 2017-12-19 At&T Intellectual Property I, L.P. Method and apparatus for adjusting a field of a signal to mitigate interference
US9882257B2 (en) 2015-07-14 2018-01-30 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US10205655B2 (en) 2015-07-14 2019-02-12 At&T Intellectual Property I, L.P. Apparatus and methods for communicating utilizing an antenna array and multiple communication paths
US10044409B2 (en) 2015-07-14 2018-08-07 At&T Intellectual Property I, L.P. Transmission medium and methods for use therewith
US9628116B2 (en) 2015-07-14 2017-04-18 At&T Intellectual Property I, L.P. Apparatus and methods for transmitting wireless signals
US9853342B2 (en) 2015-07-14 2017-12-26 At&T Intellectual Property I, L.P. Dielectric transmission medium connector and methods for use therewith
US9793951B2 (en) 2015-07-15 2017-10-17 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US9608740B2 (en) 2015-07-15 2017-03-28 At&T Intellectual Property I, L.P. Method and apparatus for launching a wave mode that mitigates interference
US10090606B2 (en) 2015-07-15 2018-10-02 At&T Intellectual Property I, L.P. Antenna system with dielectric array and methods for use therewith
US10784670B2 (en) 2015-07-23 2020-09-22 At&T Intellectual Property I, L.P. Antenna support for aligning an antenna
US9871283B2 (en) 2015-07-23 2018-01-16 At&T Intellectual Property I, Lp Transmission medium having a dielectric core comprised of plural members connected by a ball and socket configuration
US9948333B2 (en) 2015-07-23 2018-04-17 At&T Intellectual Property I, L.P. Method and apparatus for wireless communications to mitigate interference
US9749053B2 (en) 2015-07-23 2017-08-29 At&T Intellectual Property I, L.P. Node device, repeater and methods for use therewith
US9912027B2 (en) 2015-07-23 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for exchanging communication signals
US9967173B2 (en) 2015-07-31 2018-05-08 At&T Intellectual Property I, L.P. Method and apparatus for authentication and identity management of communicating devices
US9735833B2 (en) 2015-07-31 2017-08-15 At&T Intellectual Property I, L.P. Method and apparatus for communications management in a neighborhood network
US10020587B2 (en) 2015-07-31 2018-07-10 At&T Intellectual Property I, L.P. Radial antenna and methods for use therewith
US9904535B2 (en) 2015-09-14 2018-02-27 At&T Intellectual Property I, L.P. Method and apparatus for distributing software
US10009063B2 (en) 2015-09-16 2018-06-26 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an out-of-band reference signal
US10136434B2 (en) 2015-09-16 2018-11-20 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an ultra-wideband control channel
US10079661B2 (en) 2015-09-16 2018-09-18 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having a clock reference
US10051629B2 (en) 2015-09-16 2018-08-14 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having an in-band reference signal
US10009901B2 (en) 2015-09-16 2018-06-26 At&T Intellectual Property I, L.P. Method, apparatus, and computer-readable storage medium for managing utilization of wireless resources between base stations
US9705571B2 (en) 2015-09-16 2017-07-11 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system
US10068089B1 (en) * 2015-09-25 2018-09-04 Symantec Corporation Systems and methods for network security
US9769128B2 (en) 2015-09-28 2017-09-19 At&T Intellectual Property I, L.P. Method and apparatus for encryption of communications over a network
US9729197B2 (en) 2015-10-01 2017-08-08 At&T Intellectual Property I, L.P. Method and apparatus for communicating network management traffic over a network
US9882277B2 (en) 2015-10-02 2018-01-30 At&T Intellectual Property I, Lp Communication device and antenna assembly with actuated gimbal mount
US10074890B2 (en) 2015-10-02 2018-09-11 At&T Intellectual Property I, L.P. Communication device and antenna with integrated light assembly
US9876264B2 (en) 2015-10-02 2018-01-23 At&T Intellectual Property I, Lp Communication system, guided wave switch and methods for use therewith
US10355367B2 (en) 2015-10-16 2019-07-16 At&T Intellectual Property I, L.P. Antenna structure for exchanging wireless signals
US10665942B2 (en) 2015-10-16 2020-05-26 At&T Intellectual Property I, L.P. Method and apparatus for adjusting wireless communications
US10051483B2 (en) 2015-10-16 2018-08-14 At&T Intellectual Property I, L.P. Method and apparatus for directing wireless signals
US10517126B2 (en) * 2015-10-19 2019-12-24 Time Warner Cable Enterprises Llc Communication management and wireless roaming support
US9860067B2 (en) 2015-10-29 2018-01-02 At&T Intellectual Property I, L.P. Cryptographically signing an access point device broadcast message
EP3185509B1 (en) * 2015-12-22 2022-11-02 Sennheiser Electronic GmbH & Co. KG Authentication of base station and headset
US11134384B2 (en) * 2016-02-29 2021-09-28 Honor Device Co., Ltd. Access point AP authentication method, system, and related device
CN107040922B (zh) * 2016-05-05 2019-11-26 腾讯科技(深圳)有限公司 无线网络连接方法、装置及系统
US10230743B1 (en) 2016-05-12 2019-03-12 Wells Fargo Bank, N.A. Rogue endpoint detection
US10292189B2 (en) * 2016-05-17 2019-05-14 Mediatek Inc. Method of network configuration for wireless access point
US9912419B1 (en) 2016-08-24 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for managing a fault in a distributed antenna system
US9860075B1 (en) 2016-08-26 2018-01-02 At&T Intellectual Property I, L.P. Method and communication node for broadband distribution
US10291311B2 (en) 2016-09-09 2019-05-14 At&T Intellectual Property I, L.P. Method and apparatus for mitigating a fault in a distributed antenna system
US11032819B2 (en) 2016-09-15 2021-06-08 At&T Intellectual Property I, L.P. Method and apparatus for use with a radio distributed antenna system having a control channel reference signal
US10135147B2 (en) 2016-10-18 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via an antenna
US10135146B2 (en) 2016-10-18 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via circuits
US10340600B2 (en) 2016-10-18 2019-07-02 At&T Intellectual Property I, L.P. Apparatus and methods for launching guided waves via plural waveguide systems
US10374316B2 (en) 2016-10-21 2019-08-06 At&T Intellectual Property I, L.P. System and dielectric antenna with non-uniform dielectric
US9876605B1 (en) 2016-10-21 2018-01-23 At&T Intellectual Property I, L.P. Launcher and coupling system to support desired guided wave mode
US9991580B2 (en) 2016-10-21 2018-06-05 At&T Intellectual Property I, L.P. Launcher and coupling system for guided wave mode cancellation
US10811767B2 (en) 2016-10-21 2020-10-20 At&T Intellectual Property I, L.P. System and dielectric antenna with convex dielectric radome
US10754964B2 (en) * 2016-11-01 2020-08-25 Bruce A Pelton Integrated building management sensor system
US10312567B2 (en) 2016-10-26 2019-06-04 At&T Intellectual Property I, L.P. Launcher with planar strip antenna and methods for use therewith
US10798125B2 (en) * 2016-10-27 2020-10-06 Reliance Jio Infocomm Limited System and method for network entity assisted honeypot access point detection
US10291334B2 (en) 2016-11-03 2019-05-14 At&T Intellectual Property I, L.P. System for detecting a fault in a communication system
US10498044B2 (en) 2016-11-03 2019-12-03 At&T Intellectual Property I, L.P. Apparatus for configuring a surface of an antenna
US10224634B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Methods and apparatus for adjusting an operational characteristic of an antenna
US10225025B2 (en) 2016-11-03 2019-03-05 At&T Intellectual Property I, L.P. Method and apparatus for detecting a fault in a communication system
US10340603B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Antenna system having shielded structural configurations for assembly
US10178445B2 (en) 2016-11-23 2019-01-08 At&T Intellectual Property I, L.P. Methods, devices, and systems for load balancing between a plurality of waveguides
US10340601B2 (en) 2016-11-23 2019-07-02 At&T Intellectual Property I, L.P. Multi-antenna system and methods for use therewith
US10090594B2 (en) 2016-11-23 2018-10-02 At&T Intellectual Property I, L.P. Antenna system having structural configurations for assembly
US10535928B2 (en) 2016-11-23 2020-01-14 At&T Intellectual Property I, L.P. Antenna system and methods for use therewith
US10361489B2 (en) 2016-12-01 2019-07-23 At&T Intellectual Property I, L.P. Dielectric dish antenna system and methods for use therewith
US10305190B2 (en) 2016-12-01 2019-05-28 At&T Intellectual Property I, L.P. Reflecting dielectric antenna system and methods for use therewith
US10819035B2 (en) 2016-12-06 2020-10-27 At&T Intellectual Property I, L.P. Launcher with helical antenna and methods for use therewith
US10727599B2 (en) 2016-12-06 2020-07-28 At&T Intellectual Property I, L.P. Launcher with slot antenna and methods for use therewith
US10020844B2 (en) 2016-12-06 2018-07-10 T&T Intellectual Property I, L.P. Method and apparatus for broadcast communication via guided waves
US10382976B2 (en) 2016-12-06 2019-08-13 At&T Intellectual Property I, L.P. Method and apparatus for managing wireless communications based on communication paths and network device positions
US10637149B2 (en) 2016-12-06 2020-04-28 At&T Intellectual Property I, L.P. Injection molded dielectric antenna and methods for use therewith
US10694379B2 (en) 2016-12-06 2020-06-23 At&T Intellectual Property I, L.P. Waveguide system with device-based authentication and methods for use therewith
US10439675B2 (en) 2016-12-06 2019-10-08 At&T Intellectual Property I, L.P. Method and apparatus for repeating guided wave communication signals
US10755542B2 (en) 2016-12-06 2020-08-25 At&T Intellectual Property I, L.P. Method and apparatus for surveillance via guided wave communication
US10326494B2 (en) 2016-12-06 2019-06-18 At&T Intellectual Property I, L.P. Apparatus for measurement de-embedding and methods for use therewith
US9927517B1 (en) 2016-12-06 2018-03-27 At&T Intellectual Property I, L.P. Apparatus and methods for sensing rainfall
US10135145B2 (en) 2016-12-06 2018-11-20 At&T Intellectual Property I, L.P. Apparatus and methods for generating an electromagnetic wave along a transmission medium
US10547348B2 (en) 2016-12-07 2020-01-28 At&T Intellectual Property I, L.P. Method and apparatus for switching transmission mediums in a communication system
US10139820B2 (en) 2016-12-07 2018-11-27 At&T Intellectual Property I, L.P. Method and apparatus for deploying equipment of a communication system
US10389029B2 (en) 2016-12-07 2019-08-20 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system with core selection and methods for use therewith
US10446936B2 (en) 2016-12-07 2019-10-15 At&T Intellectual Property I, L.P. Multi-feed dielectric antenna system and methods for use therewith
US10359749B2 (en) 2016-12-07 2019-07-23 At&T Intellectual Property I, L.P. Method and apparatus for utilities management via guided wave communication
US9893795B1 (en) 2016-12-07 2018-02-13 At&T Intellectual Property I, Lp Method and repeater for broadband distribution
US10243270B2 (en) 2016-12-07 2019-03-26 At&T Intellectual Property I, L.P. Beam adaptive multi-feed dielectric antenna system and methods for use therewith
US10027397B2 (en) 2016-12-07 2018-07-17 At&T Intellectual Property I, L.P. Distributed antenna system and methods for use therewith
US10168695B2 (en) 2016-12-07 2019-01-01 At&T Intellectual Property I, L.P. Method and apparatus for controlling an unmanned aircraft
US10916969B2 (en) 2016-12-08 2021-02-09 At&T Intellectual Property I, L.P. Method and apparatus for providing power using an inductive coupling
US10326689B2 (en) 2016-12-08 2019-06-18 At&T Intellectual Property I, L.P. Method and system for providing alternative communication paths
US10530505B2 (en) 2016-12-08 2020-01-07 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves along a transmission medium
US9911020B1 (en) 2016-12-08 2018-03-06 At&T Intellectual Property I, L.P. Method and apparatus for tracking via a radio frequency identification device
US10103422B2 (en) 2016-12-08 2018-10-16 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10601494B2 (en) 2016-12-08 2020-03-24 At&T Intellectual Property I, L.P. Dual-band communication device and method for use therewith
US10389037B2 (en) 2016-12-08 2019-08-20 At&T Intellectual Property I, L.P. Apparatus and methods for selecting sections of an antenna array and use therewith
US10777873B2 (en) 2016-12-08 2020-09-15 At&T Intellectual Property I, L.P. Method and apparatus for mounting network devices
US10938108B2 (en) 2016-12-08 2021-03-02 At&T Intellectual Property I, L.P. Frequency selective multi-feed dielectric antenna system and methods for use therewith
US9998870B1 (en) 2016-12-08 2018-06-12 At&T Intellectual Property I, L.P. Method and apparatus for proximity sensing
US10069535B2 (en) 2016-12-08 2018-09-04 At&T Intellectual Property I, L.P. Apparatus and methods for launching electromagnetic waves having a certain electric field structure
US10411356B2 (en) 2016-12-08 2019-09-10 At&T Intellectual Property I, L.P. Apparatus and methods for selectively targeting communication devices with an antenna array
US9838896B1 (en) 2016-12-09 2017-12-05 At&T Intellectual Property I, L.P. Method and apparatus for assessing network coverage
US10264586B2 (en) 2016-12-09 2019-04-16 At&T Mobility Ii Llc Cloud-based packet controller and methods for use therewith
US10340983B2 (en) 2016-12-09 2019-07-02 At&T Intellectual Property I, L.P. Method and apparatus for surveying remote sites via guided wave communications
US11419165B2 (en) * 2016-12-27 2022-08-16 Ambeent Inc. Method and system for establishing a connection between a client device and a Wi-Fi access point using a cloud platform
US10447717B2 (en) * 2017-01-28 2019-10-15 Qualcomm Incorporated Network attack detection using multi-path verification
US9973940B1 (en) 2017-02-27 2018-05-15 At&T Intellectual Property I, L.P. Apparatus and methods for dynamic impedance matching of a guided wave launcher
US10298293B2 (en) 2017-03-13 2019-05-21 At&T Intellectual Property I, L.P. Apparatus of communication utilizing wireless network devices
KR101999148B1 (ko) * 2017-07-28 2019-07-11 (주)씨드젠 로그 ap 탐지 시스템 및 방법과, 이를 위한 사용자 단말 및 컴퓨터 프로그램
TWI670990B (zh) * 2017-08-02 2019-09-01 中華電信股份有限公司 自動連線安全無線網路的方法與系統
US20190313246A1 (en) * 2018-04-06 2019-10-10 Iot And M2M Technologies, Llc Device default wifi credentials for simplified and secure configuration of networked transducers
US10869195B2 (en) * 2018-04-23 2020-12-15 T-Mobile Usa, Inc. Network assisted validation of secure connection to cellular infrastructure
US10951616B2 (en) 2018-11-02 2021-03-16 Spruce Labs, Inc. Proximity-based device authentication
KR102615155B1 (ko) 2018-12-28 2023-12-19 삼성전자주식회사 전자 장치 및 전자 장치의 제어 방법
US11463882B2 (en) * 2019-04-18 2022-10-04 Sophos Limited Endpoint-controlled rogue AP avoidance + rogue AP detection using synchronized security
WO2020256616A1 (en) * 2019-06-17 2020-12-24 Telefonaktiebolaget Lm Ericsson (Publ) Methods, ue and access node for handling system information signatures
US11025732B2 (en) 2019-06-17 2021-06-01 Vmware, Inc. Method and apparatus to perform user authentication during cloud provider sessions
US11451959B2 (en) * 2019-09-30 2022-09-20 Fortinet, Inc. Authenticating client devices in a wireless communication network with client-specific pre-shared keys
JP6856271B1 (ja) * 2019-10-04 2021-04-07 Necプラットフォームズ株式会社 通信システム、通信経路確立方法、および経路確立プログラム
US20210136587A1 (en) * 2019-11-04 2021-05-06 Arris Enterprises Llc Detecting rogue-access-point attacks
CN114125840B (zh) * 2021-10-18 2022-08-05 广州鲁邦通物联网科技股份有限公司 一种基于LoRa的无线通信方法、系统及网关设备
US20230308878A1 (en) * 2022-03-24 2023-09-28 At&T Intellectual Property I, L.P. Protection Against Wireless Access Point Impersonation

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7068999B2 (en) 2002-08-02 2006-06-27 Symbol Technologies, Inc. System and method for detection of a rogue wireless access point in a wireless communication network
US7606242B2 (en) * 2002-08-02 2009-10-20 Wavelink Corporation Managed roaming for WLANS
US7441043B1 (en) 2002-12-31 2008-10-21 At&T Corp. System and method to support networking functions for mobile hosts that access multiple networks
US7409715B2 (en) * 2003-12-10 2008-08-05 Alcatel Lucent Mechanism for detection of attacks based on impersonation in a wireless network
US7783756B2 (en) 2005-06-03 2010-08-24 Alcatel Lucent Protection for wireless devices against false access-point attacks
US20060274743A1 (en) 2005-06-06 2006-12-07 Alper Yegin System and method for a mobile device to learn information about the access networks within its neighborhood
US20070082654A1 (en) 2005-10-07 2007-04-12 Speedus Corp. System to extend service, expand access and protect user data across wireless networks
US8638762B2 (en) 2005-10-13 2014-01-28 Trapeze Networks, Inc. System and method for network integrity
US20070180499A1 (en) 2006-01-31 2007-08-02 Van Bemmel Jeroen Authenticating clients to wireless access networks
US20080151844A1 (en) 2006-12-20 2008-06-26 Manish Tiwari Wireless access point authentication system and method
WO2008095291A1 (en) 2007-02-07 2008-08-14 Marc Santos Method and system for registering and verifying the identity of wireless networks and devices
US9053063B2 (en) * 2007-02-21 2015-06-09 At&T Intellectual Property I, Lp Method and apparatus for authenticating a communication device
US9319879B2 (en) * 2007-05-30 2016-04-19 Apple Inc. Method and apparatus for security configuration and verification of wireless devices in a fixed/mobile convergence environment
US8095172B1 (en) 2007-08-23 2012-01-10 Globalfoundries Inc. Connectivity manager to manage connectivity services
KR101061899B1 (ko) 2007-09-12 2011-09-02 삼성전자주식회사 이종망간 핸드오버를 위한 빠른 인증 방법 및 장치

Also Published As

Publication number Publication date
US20130019298A1 (en) 2013-01-17
EP2372971A1 (en) 2011-10-05
US8893246B2 (en) 2014-11-18
WO2011121294A1 (en) 2011-10-06
EP2553898B1 (en) 2018-06-27
EP2553898A1 (en) 2013-02-06

Similar Documents

Publication Publication Date Title
ES2686834T3 (es) Método y sistema para autenticar un punto de acceso
Jover et al. Security and protocol exploit analysis of the 5G specifications
US11683340B2 (en) Methods and systems for preventing a false report of a compromised network connection
CN110324287B (zh) 接入认证方法、装置及服务器
US9706408B2 (en) Authentication in secure user plane location (SUPL) systems
US9854497B2 (en) Method and apparatus for self configuration of LTE e-Node Bs
RU2546610C1 (ru) Способ определения небезопасной беспроводной точки доступа
KR101287309B1 (ko) 홈 노드-b 장치 및 보안 프로토콜
US9674219B2 (en) Authenticating public land mobile networks to mobile stations
US20100106966A1 (en) Method and System for Registering and Verifying the Identity of Wireless Networks and Devices
EP2340656A1 (en) Secure negotiation of authentication capabilities
US11743724B2 (en) System and method for accessing a privately hosted application from a device connected to a wireless network
CA2881575C (en) Network element authentication in communication networks
US20090037979A1 (en) Method and System for Recovering Authentication in a Network
CN113691974A (zh) 验证无线接入点的方法和装置
Feng Attack on WiFi-based Location Services and SSL Using Proxy Servers