FI119863B - Autentifiering och auktorisation av en fjärrklient - Google Patents

Autentifiering och auktorisation av en fjärrklient Download PDF

Info

Publication number
FI119863B
FI119863B FI20055442A FI20055442A FI119863B FI 119863 B FI119863 B FI 119863B FI 20055442 A FI20055442 A FI 20055442A FI 20055442 A FI20055442 A FI 20055442A FI 119863 B FI119863 B FI 119863B
Authority
FI
Finland
Prior art keywords
authentication
operator
client terminal
aaa
gateway
Prior art date
Application number
FI20055442A
Other languages
English (en)
Finnish (fi)
Other versions
FI20055442A0 (sv
FI20055442A (sv
Inventor
Jouni Korhonen
Original Assignee
Teliasonera Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Teliasonera Ab filed Critical Teliasonera Ab
Priority to FI20055442A priority Critical patent/FI119863B/sv
Publication of FI20055442A0 publication Critical patent/FI20055442A0/sv
Priority to DK09177452.1T priority patent/DK2159988T3/en
Priority to EP09177452.1A priority patent/EP2159988B1/en
Priority to EP06778544A priority patent/EP1917776A1/en
Priority to PCT/FI2006/050361 priority patent/WO2007023208A1/en
Publication of FI20055442A publication Critical patent/FI20055442A/sv
Priority to NO20080870A priority patent/NO338710B1/no
Application granted granted Critical
Publication of FI119863B publication Critical patent/FI119863B/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Meter Arrangements (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Claims (13)

1. Förfarande för att erbjuda autentisering/auktorisation av en fjärrkundterminal (100; CL) i ett nät, vilket omfattar en 5 operatörbrygga (108, OP GW) och en operatörautentiseringsserver (110, OP AAA) och en extern brygga (112, Corp GW) och en extern autentiseringsserver (114, Corp AAA), i vilket de sagda autentiseringsservrarna kommer överens om ett gemensamt autentiseringsprotokoll, i vilket förfarande: 10 en säkrad tunnel bildas (200, 202) imellän kundterminalen (100, CL) och operatörbryggan (108, OP, GW) genom att använda ett utbytesprotokoll av en krypteringsnyckel; kundterminalen autentiseras och auktoriseras (208) i ope-ratörautentiseringsservern (110, OP AAA) och detta kvitteras (210, 15 212) för kundterminalen (100, CL), kännetecknat av, att ett andra autentiserings-/auktorisationsförfarande sätts i gang (216) frän kundterminalen (100, CL) mot den externa autentiseringsservern (114; Corp AAA) genom att använda tunnein som har säkrats med IKE-säkerhetsassociation (SA, security associa-20 tion); ätminstone ett med det andra autentiserings-/auktorisationsförfarandet förknippat meddelande transformeras (218) i operatörbryggan (108; OP GW) att motsvara det gemensamma auten-tiseringsprotokollet sä, att transformationen sker tili en form som stöds 25 av den externa autentiseringsservern (114, Corp AAA); och kundterminalen autentiseras och auktoriseras (222) i den externa autentiseringsservern (114, OP AAA) och detta kvitteras (224, 228) för kundterminalen (100, CL). 30
2. Förfarande enligt patentkrav 1, kännetecknat av att som respons tili att det sagda andra autentiserings-/auktorisationsförfarandet lyckas, bildas (230) en andra tunnel mellan operatörbryggan (108, OP GW) och den externa bryggan (112; Corp GW). 35
3. Förfarande enligt patentkrav 1 eller 2, kännetecknat av, att utbytesprotokollet av krypteringsnyckeln är Internet Key Exchange (IKE) -protokollet, varvid förfarandet vidare omfattar: de meddelanden som är förknippade med det andra autenti-5 serings-/auktorisationsförfarandet krypteras med den grundade IKE-säkerhetsassociationen (SA, security association), när meddelandena överförs mellan kundterminalen och operatörautentiseringsservern.
4. Förfarande enligt patentkrav 3, kännetecknat av, att 10 de meddelanden som är förknippade med det andra autenti- serings-/auktorisationsförfarandet innehäller ätminstone ett IKEv2 INFORMATIONAL -meddelandeutbyte, som omfattar ett separat nytto-informationsfält för det andra autentiserings-/auktorisationsförfarandet. 15
5. Förfarande enligt patentkrav 4, kännetecknat av, att som respons tili ett misslyckande av det andra autenti-serings-/auktorisationsförfarandet visas misslyckandet i ett felmedde-lande som omfattar ett separat nyttoinformationsfält för misslyckandet av det andra autentiserings-/auktorisationsförfarandet.
6. Kommunikationsnät som omfattar: en kundterminal (100; CL); en operatörbrygga (108; OP GW) och en operatörautenti-seringsserver (110; OP AAA); 25 en extern brygga (112; Corp GW) och en extern autenti- seringsserver (114; Corp AAA); i vilket nät har överenskommits om ett gemensamt autenti-seringsprotokoll mellan de sagda autentiseringsservrarna, i vilket kundterminalen (100, CL) och operatörbryggan (108, OP
30 GW) är anordnade att bilda (200, 202) en säkrad tunnel mellan var-andra genom att använda ett utbytesprotokoll av en krypteringsnyckel; operatörautentiseringsservern (110, OP AAA) är anordnad att autentisera och auktorisera (208) kundterminalen och kvittera (210, 212) detta för kundterminalen (100, CL), kännetecknat av, att 35 kundterminalen (100, CL) är anordnad att sätta i gang (216) det andra autentiserings-/auktorisationsförfarandet mot den externa autentiseringsservern (114; Corp AAA) genom att använda en tunnel som har säkrats med IKE-säkerhetsassociationen (SA, security association); operatörbryggan (108; OP GW) är anordnad att transfor-mera (218) ätminstone ett med det andra autentiserings-5 /auktorisationsförfarandet förknippat meddelande att motsvara det ge-mensamma autentiseringsprotokollet sä, att transformationen sker till en form som stöds av den externa autentiseringsservern (114, Corp AAA); och den externa autentiseringsservern (114, OP AAA) är anord-10 nad att autentisera och auktorisera (222) kundterminalen och kvittera (224, 228) detta för kundterminalen (100, CL).
7. Kommunikationsnät enligt patentkrav 6, kännetecknat av, att 15 som respons till att det sagda andra autentiserings- /auktorisationsförfarandet lyckas, operatörbryggan (108, OP GW) är anordnad att bilda (230) en andra tunnel till den externa bryggan (112; Corp GW) för att bevilja tillgäng för terminalen.
8. Kommunikationsnät enligt krav 6 eller 7, kännetecknat av att utbytesprotokollet av krypteringsnyckeln är Internet Key Exchange (IKE) -protokoll; och de meddelanden som är förknippade med det andra auten-25 tiserings-/auktorisationsförfarandet, när de överförs mellan kundterminalen och operatörautentiseringsservern, är anordnade att krypte-ras med den grundade IKE-säkerhetsassociationen (SA, security association).
9. Kommunikationsnät enligt patentkrav 8, kännetecknat av, att de meddelanden som är förknippade med det andra auten-tiserings-/auktorisationsförfarandet innehäller ätminstone ett IKEv2 INFORMATIONAL -meddelandeutbyte, som omfattar ett nytto-35 informationsfält för det andra autentiserings-/auktorisationsförfarandet.
10. Kommunikationsnät enligt patentkrav9, kännetecknat av, att som respons tili att det andra autentiserings-/ auktorisationsförfarandet inte lyckas, misslyckandet är anordnat att 5 visas i ett felmeddelande med ett separat nyttoinformationsfält för misslyckandet av det andra autentiserings-/auktorisationsförfarandet.
11. Terminal av ett kommunikationsnät, vilken terminal om- fattar: 10 medel (CPU; I/O) för att bilda den säkrade tunnein mellan kundterminalen (100, CL) ooh operatörbryggan (108, OP, GW) genom att använda utbytesprotokollet av krypteringsnyckeln; medel (I/O) för att motta kvittering av autenti-sering/auktorisation frän operatörautentiseringsservern (110; OP AAA), 15 kännetecknad av, att terminalen vidare omfattar medel (CPU; I/O) för att sätta i gang det andra autentise-rings-/auktorisationsförfarandet mot den externa autentiseringsservern (114; Corp AAA) genom att använda tunnein som har säkrats med IKE-säkerhetsassociation (SA, security association); och 20 medel (I/O) för att motta kvittering av autentise- ring/auktorisation frän den externa autentiseringsservern (114; Corp AAA).
12. Terminal enligt patentkrav 11, kännetecknad av, att 25 utbytesprotokollet av krypteringsnyckeln är Internet Key Ex change (IKE) —protokoll; varvid terminalen omfattar: medel (CPU) för att kryptera meddelanden som är förknip-pade med det andra autentiserings-/auktorisationsförfarandet med den grundade IKE-säkerhetsassociationen (SA). 30
13. Terminal enligt patentkrav 12, kännetecknad av, att terminalen omfattar: medel (CPU) för att samla ätminstone ett IKEv2 INFORMATIONAL -meddelandeutbyte i ett nyttoinformationsfält för det andra 35 autentiserings-/auktorisationsförfarandet för att inkluderas i meddelandena, som är förknippade med det andra autentiserings-/auktorisationsförfarandet.
FI20055442A 2005-08-22 2005-08-22 Autentifiering och auktorisation av en fjärrklient FI119863B (sv)

Priority Applications (6)

Application Number Priority Date Filing Date Title
FI20055442A FI119863B (sv) 2005-08-22 2005-08-22 Autentifiering och auktorisation av en fjärrklient
DK09177452.1T DK2159988T3 (en) 2005-08-22 2006-08-21 Authentication and authorization of a remote client
EP09177452.1A EP2159988B1 (en) 2005-08-22 2006-08-21 Authentication and authorisation of a remote client
EP06778544A EP1917776A1 (en) 2005-08-22 2006-08-21 Authentication and authorization of a remote client
PCT/FI2006/050361 WO2007023208A1 (en) 2005-08-22 2006-08-21 Authentication and authorization of a remote client
NO20080870A NO338710B1 (no) 2005-08-22 2008-02-19 Fremgangsmåte for å tilveiebringe en autentisering/autorisering av en ekstern klientterminal, et kommunikasjonsnettverk og en terminal for et kommunikasjonsnettverk

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20055442A FI119863B (sv) 2005-08-22 2005-08-22 Autentifiering och auktorisation av en fjärrklient
FI20055442 2005-08-22

Publications (3)

Publication Number Publication Date
FI20055442A0 FI20055442A0 (sv) 2005-08-22
FI20055442A FI20055442A (sv) 2007-02-23
FI119863B true FI119863B (sv) 2009-04-15

Family

ID=34896341

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20055442A FI119863B (sv) 2005-08-22 2005-08-22 Autentifiering och auktorisation av en fjärrklient

Country Status (5)

Country Link
EP (2) EP1917776A1 (sv)
DK (1) DK2159988T3 (sv)
FI (1) FI119863B (sv)
NO (1) NO338710B1 (sv)
WO (1) WO2007023208A1 (sv)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2475237B (en) 2009-11-09 2016-01-06 Skype Apparatus and method for controlling communication signalling and media
GB2475236A (en) 2009-11-09 2011-05-18 Skype Ltd Authentication arrangement for a packet-based communication system covering public and private networks
GB201005454D0 (en) 2010-03-31 2010-05-19 Skype Ltd Television apparatus
US10404762B2 (en) 2010-12-31 2019-09-03 Skype Communication system and method
US9717090B2 (en) 2010-12-31 2017-07-25 Microsoft Technology Licensing, Llc Providing notifications of call-related services
US8963982B2 (en) 2010-12-31 2015-02-24 Skype Communication system and method
US10291660B2 (en) 2010-12-31 2019-05-14 Skype Communication system and method
US9019336B2 (en) 2011-12-30 2015-04-28 Skype Making calls using an additional terminal
GB201301452D0 (en) 2013-01-28 2013-03-13 Microsoft Corp Providing notifications of call-related services
US10609008B2 (en) 2017-06-08 2020-03-31 Nxp Usa, Inc. Securing an electronically transmitted communication

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4201466B2 (ja) * 2000-07-26 2008-12-24 富士通株式会社 モバイルipネットワークにおけるvpnシステム及びvpnの設定方法
US7860978B2 (en) * 2004-01-22 2010-12-28 Toshiba America Research, Inc. Establishing a secure tunnel to access router

Also Published As

Publication number Publication date
EP2159988B1 (en) 2018-03-21
EP2159988A1 (en) 2010-03-03
DK2159988T3 (en) 2018-06-25
WO2007023208A1 (en) 2007-03-01
FI20055442A0 (sv) 2005-08-22
FI20055442A (sv) 2007-02-23
NO338710B1 (no) 2016-10-03
NO20080870L (no) 2008-04-21
EP1917776A1 (en) 2008-05-07

Similar Documents

Publication Publication Date Title
FI119863B (sv) Autentifiering och auktorisation av en fjärrklient
US8495360B2 (en) Method and arrangement for providing a wireless mesh network
JP5069320B2 (ja) Uiccなしコールのサポート
US8601569B2 (en) Secure access to a private network through a public wireless network
US8176327B2 (en) Authentication protocol
TWI293844B (en) A system and method for performing application layer service authentication and providing secure access to an application server
US7389412B2 (en) System and method for secure network roaming
EP1774750B1 (en) Method, apparatuses and computer readable medium for establishing secure end-to-end connections by binding IPSec Security Associations
US8122249B2 (en) Method and arrangement for providing a wireless mesh network
EP1811744B1 (en) Method, system and centre for authenticating in End-to-End communications based on a mobile network
US8639936B2 (en) Methods and entities using IPSec ESP to support security functionality for UDP-based traffic
JP5043114B2 (ja) Eapからのケルベロス・ブートストラッピング(bke)
JP4831066B2 (ja) 無線通信システムにおける認証方式、それを備える無線端末装置と無線基地局、それらを用いた無線通信システム及びプログラム
US20100119069A1 (en) Network relay device, communication terminal, and encrypted communication method
EP2383931A1 (en) Network security hypertext transfer protocol negotiation method and correlated devices
CN101562814A (zh) 一种第三代网络的接入方法及系统
WO2006135217A1 (en) System and method for otimizing tunnel authentication procedure over a 3g-wlan interworking system
WO2004008715A1 (en) Eap telecommunication protocol extension
WO2021068777A1 (en) Methods and systems for internet key exchange re-authentication optimization
US20060059538A1 (en) Security system for wireless networks
JP2010206442A (ja) 通信装置および通信方法
WO2002043427A1 (en) Ipsec connections for mobile wireless terminals
KR100527631B1 (ko) Ad-hoc 네트워크의 단말기에서 사용자 인증 시스템및 그 방법
KR100596397B1 (ko) 모바일 IPv6 환경에서 라디우스 기반 AAA 서버의세션키 분배 방법
Asokan et al. Man-in-the-middle in tunnelled authentication

Legal Events

Date Code Title Description
FG Patent granted

Ref document number: 119863

Country of ref document: FI