FI121560B - Todentaminen matkaviestintäyhteistoimintajärjestelmässä - Google Patents

Todentaminen matkaviestintäyhteistoimintajärjestelmässä Download PDF

Info

Publication number
FI121560B
FI121560B FI20065736A FI20065736A FI121560B FI 121560 B FI121560 B FI 121560B FI 20065736 A FI20065736 A FI 20065736A FI 20065736 A FI20065736 A FI 20065736A FI 121560 B FI121560 B FI 121560B
Authority
FI
Finland
Prior art keywords
authentication
unit
protocol
access
network
Prior art date
Application number
FI20065736A
Other languages
English (en)
Swedish (sv)
Other versions
FI20065736A0 (fi
FI20065736A (fi
Inventor
Sami Ala-Luukko
Jouni Korhonen
Original Assignee
Teliasonera Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Teliasonera Ab filed Critical Teliasonera Ab
Priority to FI20065736A priority Critical patent/FI121560B/fi
Publication of FI20065736A0 publication Critical patent/FI20065736A0/fi
Priority to EP07823251.9A priority patent/EP2087689B1/en
Priority to PCT/FI2007/050620 priority patent/WO2008062098A1/en
Priority to US12/312,527 priority patent/US8457598B2/en
Publication of FI20065736A publication Critical patent/FI20065736A/fi
Priority to NO20092148A priority patent/NO342167B1/no
Application granted granted Critical
Publication of FI121560B publication Critical patent/FI121560B/fi

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/76Proxy, i.e. using intermediary entity to perform cryptographic operations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Description

Todentaminen matkaviestintäyhteistoimintajärjestelmässä
Keksinnön ala
Keksintö liittyy todentamisen järjestämiseen matkaviestintäyhteis-toimintajärjestelmässä.
5 Keksinnön tausta
Langattomia lähiverkkoja (WLAN; Wireless Local Area Network) käytetään yleisesti tarjoamaan langatonta liitettävyyttä ja erityisesti langattoman pääsyn Internetiin. Yhteistoimintaa on myös kehitetty WLAN-verkkojen ja yleisten matkaviestintäverkkojen (PLMN; Public Land Mobile Network) välillä. 10 3GPP:ssä (Third Generation Partnership Project) on määritetty yhteistoiminta-piirteitä 3GPP-järjestelmän ja WLAN-verkkojen välillä, sisältäen AAA-palvelut (Access, Authentication and Authorization) 3GPP-tilaajasopimukseen perustuvalle 3GPP-WLAN -yhteistoimintajärjestelmälle. Pääsy voidaan mahdollistaa paikallisesti liityttyyn IP-verkkoon, kuten Internetiin, jos 3GPP-tilaajasopimus 15 sallii tämän. Lisäksi WLAN-käyttäjäpäätelaitteissa tai laitteissa voi olla IP-siirtokyky operaattorin verkkoon ja pakettivälitteisiin (PS; packet-switched) palveluihin, jos 3GPP-tilaajasopimus sallii tämän.
3GPP-verkon AAA-palvelin voi suorittaa WLAN-verkkoon pääsyä muodostavan 3GPP-tilaajan todentamisen. 3GPP-spesifikaatio TS 33.234, 20 versio 7.1.0 (2006-06) ”Wireless Local Area Network (WLAN) interworking security’ kuvaa menettelyt WLAN-pääsynvaltuutuksen järjestämiseksi 3GPP-järjestelmän AAA-palvelimen suorittaman todentamisen perusteella.
IETF RFC 4186: "Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules 25 (ΕΑΡ-SIM)", H. Haverinen, J. Salowey, tammikuu 2006, määrittää GSM (Global System for Mobile Communications) SIM:ä (Subscriber Identity Module) käyttävän todentamisprotokollan todentamista ja istuntoavainten jakelua varten. IETF RFC 4187 “Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA)’’, J. Arkko, H. Haverinen, 30 tammikuu 2006 määrittää AKA-mekanismia (Authentication and Key Agreement) käyttävän EAP-mekanismin todentamista ja istuntoavainten jakelua varten käytettäväksi kolmannen sukupolven matkaviestintäverkoissa UMTS (Universal Mobile Telecommunications System) ja CDMA2000. Molempia näistä EAP-pohjaisista mekanismeista voidaan käyttää 3GPP WLAN
2 yhteistoimintajärjestelmässä WLAN-verkkoon pääsyä muodostavan (tämänkaltaista mekanismia tukevan) päätelaitteen todentamiseksi.
Käytössä olevaa MAC-kerroksella (Medium Access Control) toimivaa IEEE 802.11 -todentamismekanismia (jaetun avaimen todentaminen) ei 5 pidetä erityisen hyödyllisenä. IEEE (802.11 i työryhmä TGi) on kehittänyt parannuksia VVLAN-turvallisuuteen ja valinnut IEEE 802.1 X:n todentamisperus-taksi. 802.1 X on standardi porttipohjaiselle pääsyohjaukselle, jossa käytetään EAP-viestejä päästä-päähän todentamiseen VVLAN-päätelaitteen ja todenta-mispalvelimen (AS; Authentication server), kuten Radius-palvelimen, välillä.
10 Eräs ongelma nykyisissä ratkaisuissa on, että monet paikalliset pääsyverkot eivät tue kehittyneitä pääsynvalvontajärjestelmiä, kuten IEEE 802.1X.
Keksinnön lyhyt selostus
Nyt on kehitetty parannettu ratkaisu todentamisen järjestämiseksi 15 yhteistoimintajärjestelmässä, joka käsittää paikallisen radiopääsyverkon ja PLMN-verkon. Ratkaisu voidaan saavuttaa menetelmällä, elektronisella laitteella, tietokoneohjelmatuotteella ja järjestelmällä, joille on tunnusomaista se, mitä esitetään itsenäisissä patenttivaatimuksissa. Keksinnön eräitä edullisia suoritusmuotoja on esitetty epäitsenäisissä patenttivaatimuksissa.
20 Keksinnön erään aspektin mukaisesti järjestelmä, joka huolehtii ra- diopääsyverkkoon pääsyä muodostavan matkaviestintälaitteen todentamisesta paikallisen rad iopääsy verkon kautta yleisen matkaviestinverkon todentamisyk-sikön toimesta, käsittää välitinyksikön (proxy entity), jonka kautta todentamis-signaloinnin siirto on järjestetty. Järjestelmä on järjestetty huolehtimaan toden-25 tamissignaloinnin kapseloidusta lähetyksestä matkaviestintälaitteelle ja matka-viestintälaitteelta kryptografisen asiakas-palvelin kuljetuskerroksen kapselointi-protokollan viesteissä matkaviestintälaitteen ja välitinyksikön välillä. Järjestelmä on lisäksi järjestetty huolehtimaan todentamissignaloinnin kapseloidusta siirrosta todentamisyksikölle ja todentamisyksiköltä AAA asiakas-palvelin -30 protokollan viesteissä välitinyksikön ja todentamisyksikön välillä. Termi ”kryp-tografinen kuljetuskerroksen kapselointiprotokolla” on ymmärrettävä laajasti viittaamaan mihin tahansa kuljetuskerroksen, kuten TCP (Transport Control Protocol), päällä toimivaan tai kuljetuskerroksen protokollan tarjoamaan kapse-lointiprotokollaan, esimerkiksi ISO-protokollamallin kannalta.
35 Keksinnön eräässä suoritusmuodossa käytetään TLS (transport layer security) Record -protokollaa matkaviestintälaitteen ja todentamisyksikön 3 välisten todentamissignalointiviestin kapseloimiseksi ja kapseloinnin purkamiseksi.
Edelleen eräässä suoritusmuodossa päätelaitteen vierailema radio-pääsyverkko on langaton lähiverkko, joka käsittää pääsyohjaimen ja ainakin 5 yhden pääsypisteen. Pääsyohjain on järjestetty lähettämään kryptogratisen asiakas-palvelin kuljetuskerroksen kapselointiprotokollan viestit edelleen mat-kaviestintälaitteen ja välitinyksikön välillä ja välitinyksikkö on järjestetty informoimaan pääsyohjainta (24) todentamisen tuloksesta. Pääsyohjain on edelleen järjestetty sallimaan tai estämään pääsyn radiopääsyverkon kautta väli-10 tinyksiköltä saadun informaation perusteella.
Vielä eräässä suoritusmuodossa välitinyksikkö on järjestetty käyttämään Radius-protokollaa (remote authentication dial in user service) tai Diameter-protokollaa todentamissignalointiviestien kapseloimiseen ja kapseloinnin purkamiseen todentamisyksikölle ja todentamisyksiköltä.
15 Keksinnön mukaisen järjestelyn eräänä etuna on, että todentamis- signalointiviestejä voidaan siirtää matkaviestintälaitteen ja paikallisen verkon välillä hyödyntäen turvallista kuljetuskerroksen asiakas-palvelin -kapselointiprotokollaa. Ei ole välttämätöntä toteuttaa erityisiä langattomalle paikallispääsylle spesifisiä menettelytapoja, kuten IEEE 802.1 X, vaan jo ylei-20 sesti käytettyjä kapselointiprotokollia, erityisesti TLS, voidaan käyttää todenta-missignaloinnin toimittamiseen päätelaitteelle/päätelaitteelta. Nykyinen välitinyksikön käyttö mahdollistaa sen, että muutos alla olevassa protokollassa voidaan piilottaa PLMN-puolelta. Näin ollen PLMN-verkon AAA-yksikköön ei tarvita muutoksia sellaisten päätelaitteiden tukemiseksi, jotka eivät tue toden-25 tamissignalointia varten samaa kapselointiprotokollaa kuin AAA-yksikkö. Lisäksi, erityisen välitinyksikön varaamisen johdosta ei ole välttämätöntä tukea todentamissignalointiprotokollaa, kuten EAP:tä, paikallisissa pääsyverkkoele-menteissä, kuten VVLAN-pääsypisteissä ja pääsyohjaimissa.
Kuvioiden lyhyt selostus 30 Keksintöä selostetaan nyt yksityiskohtaisemmin eräiden suoritus muotojen kautta ja viitaten oheisiin piirroksiin, joista:
Kuvio 1 on VVLAN-verkkovierailuyhteistoimintamallia havainnollistava lohkokaavio;
Kuvio 2 on keksinnön erään suoritusmuodon mukaista arkkitehtuu-35 ria havainnollistava lohkokaavio; 4
Kuvio 3 on keksinnön erään suoritusmuodon mukaista todentamis-signalointisiirtoa havainnollistava signalointikaavio; ja
Kuviot 4a ja 4b ovat käyttäjäpäätelaitteen ja välitinyksikön toteuttavan laitteen yksiköitä havainnollistavia lohkokaavioita.
5 Keksinnön yksityiskohtainen selostus
Viestintäjärjestelmä seuraavissa esimerkeissä perustuu WLAN/3GPP -yhteistoimintajärjestelmään, kuitenkaan rajoittamatta keksintöä tämänkaltaiseen tiettyyn järjestelmään. Keksintöä voidaan käyttää missä tahansa tietoliikennejärjestelmissä, joissa käytetään PLMN-todentamispalveluita 10 pääsynvalvontaan paikallisessa pääsy verkossa. Paikallinen pääsyverkko voi olla esimerkiksi IEEE 802.11 (Wifi) tai 802.16 (Wimax) -perusteinen verkko. Keksintöä voidaan kuitenkin käyttää muuntyyppisissä paikallisissa verkoissa, joiden kautta voidaan järjestää pääsy PLMN-verkkoon, kuten lisensoimattomil-la taajuuksilla toimivat verkot, kuten BRAN-standardin (Broadband Radio Ac-15 cess Networks) mukainen verkko, Home RF -verkko tai Bluetooth-verkko. Vielä eräs esimerkki on yleinen 3GPP-pääsyverkko GAN (Generic Access Network) (tai aiemmin kutsuttu UMA (Unlicenced Mobile Access) -perusteinen pääsy, joka mahdollistaa pääsyn yleisen (IP-perusteisen) pääsyverkon kautta 3GPP-runkoverkon A/Gb-rajapinnoille.
20 Kuvio 1 havainnollistaa WLAN-3GPP -verkkovierailuyhteistoiminta-
mallia. Langattoman pääsyn WLAN-päätelaitteelle TE tarjoava pääsypiste AP ohjaa radiorajapintaa käytettävän radioteknologian mukaisesti, nyt esillä olevassa suoritusmuodossa IEEE 802.11 tai .16 -standardin mukaisesti. IEEE
802.11 -spesifikaatiot määrittävät protokollat radiorajapinnan yli sekä fyysiselle 25 että MAC-kerrokselle datan siirtoa varten. Mitä tahansa nykyisistä tai tulevista IEEE WLAN - tekniikoista voidaan käyttää. Esimerkiksi jotakin seuraavista IEEE 802.11 -protokollista voidaan käyttää: 802.11, 802.11a, 802.11b, 802.11 g, 802,11η. Käytössä on hajaspektriteknologia ja tällä hetkellä käytettäviä taajuusalueita ovat 2,4 GHz ja 5 GHz.
30 Pääsypiste AP silloittaa radiorajapintadatavuot tai reitittää datavuot muille verkkosolmuille, kuten muille pääsypisteille tai reitittimille R, ja muilta verkkosolmuilta. Yksi tai useampia pääsypisteitä on liitetty pääsyohjaimeen AC (access controller), joka siirtää informaatiota ulkoisiin IP-pohjaisiin verkkoihin, kuten Internetiin. Lisäyksityiskohtia WLAN-tekniikoista on saatavilla IEEE-35 spesifikaatioista IEEE-WWW-sivulla.
5
Kuvion 1 esimerkissä AC tarjoaa myös toiminnallisuuden 3GPP-järjestelmäpääsyä varten, mutta 3GPP-pääsyä varten voi myös olla erillinen (yhdyskäytävä)laite. WLAN-pääsyverkko voi olla liitetty 3GPP AAA -palvelimeen tai -välittimeen Wa-rajapinnan yli ja pakettidatayhdyskäytävään 5 VVLAN-pääsy-yhdyskäytävän WAG (WLAN access gateway) kautta.
Kuvio 1 havainnollistaa 3GPP-järjestelmäkomponentteja verkkovie-railutilanteessa, eli kun 3GPP-verkko, johon liitytty WLAN-pääsyverkko on liitetty, on vierailtava 3GPP-verkko (visited PLMN; VPLMN). Tällöin WLAN-pääsyverkkoon liitetty 3GPP AAA-välitin (access, authentication and autho-10 risation) välittää AAA-signaloinnin WLAN-pääsyverkon ja tilaajan kotiverkon (Home PLMN; HPLMN) AAA-välittimen välillä. Tilaajan kotiverkon AAA-palvelimeen muodostetaan yhteys, jos halutaan päätelaitteen TE 3GPP-todentamista. AAA-palvelin hakee todentamisinformaation 3GPP-tilaajan 3GPP-kotiverkon kotirekisteri/kotitilaajapalvelimesta HLR/HSS. Sitten AAA-15 palvelin todentaa 3GPP-tilaajan haetun todentamisinformaation perusteella ja viestittää valtuutustiedon WLAN-verkolle. Tulee huomioida, että 3GPP-järjestelmässä on monia muita elementtejä, jotka eivät liity WLAN-verkkoon pääsyn muodostaneen tilaajan todentamiseen, tämänkaltaisten muiden elementtien kuvaus sivuutetaan tässä. WLAN-3GPP -yhteistoimintajärjestelmä-20 elementtien lisätietojen osalta viitataan 3GPP-spesifikaatioon TS23.234 ”3GPP system to Wireless Local Area Network (WLAN) interworking’’, versio 7.2.0, kesäkuu 2006.
WLAN-pääsyvaltuutus (WLAN Access Authorization) määrittää prosessit 3GPP AAA -palvelimessa, joka verifioi tuleeko WLAN-pääsy sallia tilaa-25 jalle ja päättää tilaajalle käytettävistä pääsysäännöistä. Tämä on vaihe pääsy-todentamisen jälkeen, mutta ennen palvelun valtuutusta ja WLAN-päätelaitteen paikallisen IP-osoitteen allokoimista. Sen jälkeen kun todentamisprosessi onnistuu, 3GPP AAA -palvelimelle voi olla lisäehtoja pääsyn sallimisesta ja käytettävien pääsysääntöjen/politiikan päättämiseksi. Nämä ehdot voivat perustua 30 tilaajan profiiliin, asiakastilin tilaan, O&M-sääntöihin, paikallisiin sopimuksiin tai WLAN-pääsyverkon tietoihin.
WLAN-todentamissignalointi 3GPP-WLAN -yhteistoimintaa varten perustuu RFC 2284:ssa määritettyyn EAP-protokollaan (Extensible Authentication Protocol). Viitataan 3GPP TS 33.234, versio 7.1.0 (2006-06) “Wireless 35 Local Area Network (WLAN) interworking security”, ja erityisesti kappaleeseen 6.1.1 ΕΑΡ AKA-menettelyyn perustuvan USIM-pohjaisen WLAN-pääsyn toden- 6 tamisen osalta ja kappaleeseen 6.1.2 ΕΑΡ SIM -menettelyyn perustuvan SIM-pohjaisen VVLAN-pääsyn todentamisen osalta. ΕΑΡ AKA -menettely on määritetty RFC 4187:ssä, tammikuu 2006: "Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA)" ja 5 EAP SIM -menettely on määritetty RFC 4186:ssa, tammikuu 2006: "Extensible Authentication Protocol Method for Global System for Mobile Communications (GSM) Subscriber Identity Modules (EAP-SIM)".
Kuvio 2 havainnollistaa erään suoritusmuodon mukaista verkkoarkkitehtuuria. VVLAN-verkkoon pääsyn muodostava päätelaite 10 voi olla esimer-10 kiksi integroitu viestintälaite, PDA-laite tai radiopääsyn tarjoavaan laitteeseen (kuten VVLAN-korttiin) yhdistetty kannettava tietokone. Nyt esillä olevassa suoritusmuodossa päätelaite 10 käsittää VVLAN-lähetinvastaanottimen ja toiminnallisuuden viestittää todentamissignalointia 3GPP-järjestelmäperusteista todentamista varten. Tätä tarkoitusta varten päälaite 10 voi käsittää tilaajantun-15 nistusyksikön SIM tai UMTS -tilaajantunnistusyksikön USIM, joka on tallennettu IC-kortille (jota voidaan kutsua vastaavasti SIM-kortiksi tai UICC:ksi), IC-kortinlukijan ja tarkoituksenmukaisen ohjelmiston pääsyn muodostamiseksi SIM/USIM:lle ja signalointia varten verkkoon.
Päätelaite 10 voi lisäksi käsittää välineet pääsyn muodostamiseksi 20 3GPP-palveluihin paikallisen WLAN- ja/tai 3GPP-solukkopääsyverkon kautta, kuten tukiasemajärjestelmän BSS, GSM/EDGE-radiopääsyverkon GERAN tai UMTS maanpäällisen radiopääsyverkon UTRAN kautta. Näin ollen päätelaite 10 voi, 3GPP-järjestelmän näkökulmasta, olla paikallisen pääsyverkon kautta pääsyn 3GPP-palveluihin muodostava käyttäjälaitteisto UE (User Equipment) 25 tai matkaviestin MS. Päätelaite 10 on siten järjestetty viestimään pakettida-tayhdyskäytävän kanssa 3GPP-järjestelmärajapinnan Wu yli. Tulee kuitenkin huomioida, että päätelaite 10 voi olla kykenevä ainoastaan WLAN-pääsyyn ja 3GPP-järjestelmäperusteista todentamista käytetään pääsyn valvomiseksi paikalliseen WLAN-pääsyverkkoon ja Internetiin.
30 Viitettä päätelaite 10 käytetään tässä laajasti viittaamaan käyttäjä- laitteistoon ja se voi muodostua useista laitteista. Kun on useampi kuin yksi, on tyypillisesti WLAN-päätelaite (TE; terminal equipment) (esim. kannettava tietokone) ja SIM:llä tai USIM:llä varustettu matkaviestinpääte (MT; mobile terminal) (esim. matkapuhelin). WLAN TE tarjoaa WLAN-pääsyn, kun taas MT 35 toteuttaa todentamisen todentamissignaloinnin päättäjänä (EAP:llä), mikä sisältää avaimen johtamisen ja tunnisteen käsittelyn. EAP:n päättämispiste on 7 MT tai UICC. Kun jokin todentamisprosessi loppuu (MT:ssä tai UICC:ssä), WLAN TE voi hakea syntyneet avaimet käytettäväksi linkkikerroksen turvallisuutta varten WLAN-pääsyssä.
Järjestelmä on varustettu välitinyksiköllä tai solmulla 30 siten, että 5 päätelaitteen 10 ja todentamisyksikön 40 välinen todentamissignalointi on järjestetty välitinyksikön 30 kautta. Todentamisyksikkö 40 voi olla 3GPP AAA -palvelin tai välitin 3GPP-WLAN -yhteistoimintasuoritusmuodossa. Välitinyksik-kö 30 ja päätelaite 10 on järjestetty käyttämään erityistä (pää-sy)kapselointiprotokollaa päätelaitteen 10 ja välitinyksikön 30 välillä päätelait-10 teen 10 ja todentamisyksikön 40 välisten todentamissignalointiviestien siirtämiseksi. Pääsykapselointiprotokolla on erityisesti riippuvainen pääsyverkosta ja voi olla kuljetusprotokollakerroksella tai sen yläpuolella. Välitinyksikkö 30 on edelleen järjestetty käyttämään AAA asiakas-palvelinprotokollaa välitinyksikön 30 ja todentamisyksikön 40 välillä, eli eräässä suoritusmuodossa WLAN-15 pääsyverkon ja 3GPP-järjestelmän (AAA-palvelimen/välittimen) välillä. Toisin sanoen, välitinyksikkö 30 on järjestetty huolehtimaan todentamisyksikön 40 ja päätelaitteen 10 välisen todentamissignaloinnin siirtämisestä käyttäen ainakin kahta erilaista alla olevaa kapselointiprotokollaa. Tulee huomioida, että kuvion 2 järjestelmä on ainoastaan yksi esimerkki ja että käytössä voi olla muita ja/tai 20 lisäverkkoja ja elementtejä, eräisiin tämänkaltaisiin suoritusmuotoihin on myös viitattu alla.
Eräässä suoritusmuodossa todentamisyksikön 40 ja päätelaitteen 10 välinen todentamissignalointi perustuu EAP pyyntö/vastaus -viestejä käyttävään EAP-protokollaan. Tällöin välitinyksikkö 30 on järjestetty vastaanotta-25 maan pääsykapselointiprotokollan mukaisesti kapseloidun EAP-viestin, purkamaan EAP-viestin kapseloinnin, kapseloimaan EAP-viestin AAA asiakas-palvelin -protokollan mukaisesti ja lähettämään kapseloidun EAP-viestin 3GPP AAA-palvelimelle/välittimelle. Seuraavassa on havainnollistettu edelleen esimerkkejä, joissa todentamissignalointi perustuu EAP:n käyttöön. Nyt esillä ole-30 vien piirteiden käyttö ei kuitenkaan ole rajoittunut mihinkään tiettyyn todenta-missignalointiprotokollaan, vaan muiden protokollien viestejä voidaan siirtää käyttäen samankaltaista alla olevaa siirtojärjestelyä välitinyksikön 30 toimesta.
Eräässä suoritusmuodossa pääsykapselointiprotokolla on TLS-protokolla (transport layer security). TLS-protokolla on määritetty RFC 35 2246:ssa, ’’The TLS Protocol Version 1.0’, tammikuu 1999. Tässä suoritus muodossa päätelaite 10 käsittää TLS-asiakkaan ja välitinyksikkö 30 käsittää 8 TLS-palvelimen. Pääsyohjain 24 on järjestetty lähettämään TLS-liikenteen (joka näyttää HTTPS-liikenteeltä) edelleen välitinyksikölle 30. Näin ollen pääsy-pisteitä 22 ja pääsyohjaimia 24 käsittävän pääsyverkon ei tarvitse tukea EAP-protokollaa. TLS mahdollistaa yleisen menetelmän datan siirtämiseksi kapse-5 loituna osana perusprotokollaa ja tätä hyödynnetään päätelaitteessa 10 ja väli-tinyksikössä 30. Välitinyksikkö 30 on järjestetty purkamaan kapseloinnin päätelaitteen 10 TLS-protokollayksikön muodostamissa TLS AVP -pareissa (attribute-value pair). Myös muita menetelmiä voidaan käyttää. Päätelaite 10 ja väli-tyyksikkö 30 voi esimerkiksi olla järjestetty käyttämään TLS:n ’’sisäinen sovel-10 lus (inner extension)” -laajennusta IETF Internet-luonnoksessa ”TLS Inner Application Extension (TLS/IA) draft-funk-tls-inner-application-extension-03.\x\.”, Funk et ai., 25. kesäkuuta 2005, 37 sivua, kuvatulla tavalla EAP-viestien turvallista tunneloitua siirtoa varten.
Eräässä suoritusmuodossa todentamissignalointi välitinyksikön 30 15 ja 3GPP AAA -yksikön 30 välillä, eli Wa-viitekohdan yli, perustuu Diameteriin (RFC 3588).
Eräässä toisessa suoritusmuodossa välitinyksikön 30 ja 3GPP AAA -yksikön 40 välillä käytetään RADIUS-protokollaa (RFC 2865), mutta myös muita protokollia voidaan käyttää.
20 Yllä olevissa suoritusmuodoissa välitinyksikkö 30 näin ollen käsittää vastaavasti RADIUS- tai Diameter-protokollayksikön. Välitinyksikkö voi näin ollen olla konfiguroitu toimimaan RADIUS-asiakkaana tai Diameter-asiakkaana. Välitinyksikkö 30 voi olla konfiguroitu suorittamaan EAP-viesteille (suoran tai epäsuoran) protokollakonversion pääsykapselointiprotokollan 25 (esim. TLS-protokollan) ja RADIUS- tai Diameter-protokollan välillä.
Välitinyksikkö 30 voi sijaita paikallisessa (WLAN-) pääsyverkossa tai olla liitetty paikallisen pääsyverkon kautta. Tässä suoritusmuodossa viite 42 viittaa PLMN-verkkoon (VPLMN tai HPLMN) ja VVLAN-pääsyverkon ja 3GPP AAA-välittimen/pal vei imen välinen, eli Wa-viitekohdan yli suoritettava todenta-30 missignaloinnin siirto voi näin ollen käyttää Diameteria (RFC 3588) tai Radius-ta (RFC 2865) (mutta myös muita protokollia voidaan käyttää), eikä PLMN-verkkoon tarvita muutoksia. Eräässä suoritusmuodossa välitintoiminnallisuus voitaisiin toteuttaa VVLAN-pääsyverkossa todentajana toimivassa laitteessa, joka voi olla AC 24.
35 Eräässä suoritusmuodossa välitinyksikkö 30 on PLMN- verkkoelementti, johon on liitetty paikallisen pääsyverkon toimesta. Toisin sa- 9 noen, välitinyksikkö voi olla osa 3GPP-verkkoa, johon on liitytty WLAN-pääsyverkon kautta. Välitinyksikkö 30 voi olla järjestetty 3GPP AAA-palvei imen ja/tai -välitinelementin (proxy element) toimesta, tai sen yhteydessä, tai se voi olla toteutettu jossakin toisessa verkkoelementissä, joka on liitettävissä ei-5 PLMN - pääsyverkkoon. Tässä suoritusmuodossa WLAN-pääsyverkkoihin tai VVLAN-pääsyverkon ja PLMN-verkon välisiin väliverkkoihin ei tarvita erityistä laitteistoa kapselointiprotokollan muuttamisen toteuttamiseen, vaan on mahdollista käyttää yleisesti tämänkaltaisissa pääsyverkoissa käytettyä protokollaa, kuten TLS.
10 Kun AAA-palvelin toteuttaa välitinyksikön 30, ei-verkkovierailu- tilanteessa AAA-palvelin voi täten päättää päätelaitteen 10 EAP-viestien siirtämiseen käyttämän turvallisen kapselointiprotokollan. Tämänkaltainen verkkoelementti voi kuitenkin silti tarjota lisätoiminnallisuuden päätelaitteen 10 käyttämän turvallisen kapselointiprotokollan päättämiseksi, ja mahdollisesti 15 tarjota EAP-viestejä AAA-palvelintoiminnallisuudelle sopivassa muodossa.
Eräässä suoritusmuodossa 3GPP AAA -välitin mahdollistaa välitinyksikön 30. Tässä suoritusmuodossa viite 42 havainnollistaa HPLMN:ää, joka sisältää AAA-palvelimen (40). Tällöin välitinyksikkö 30 voi palvella VPLMN-verkkoon liitettyyn VVLAN-pääsyverkkoon yhteyttä muodostavia pääte-20 laitteita 10, ja suoraan mukauttaa todentamissignaloinnin siirtoa käyttämään sopivaa AAA asiakas-palvelin -protokollaa HPLMN-verkon AAA-palvelinta kohti.
On myös mahdollista toteuttaa välitinyksikkö 30 VVLAN-pääsyverkon ja PLMN-verkon välisessä väliverkossa. Kuviossa 2 havainnollistettujen yksik-25 koen lisäksi voi olla muitakin verkkoelementtejä. Esimerkiksi AAA-informaation välittämiseksi välitinyksikön 30 ja 3GPP AAA -palvelimen välillä voi olla AAA-välitinyksikkö. Tulee myös huomioida, että datan siirto kiinteässä verkossa liityntäpisteelle ja liityntäpisteeltä 22 tai AC:lle ja AC:ltä 24 voidaan järjestää eri tavoin. Eräässä suoritusmuodossa 3GPP- ja EAP-pohjainen todentamisjärjes-30 tel mä voidaan järjestää xDSL-perusteisessa järjestelmässä ilman erityistä tukea kehittyneelle todentamismenettelylle, kuten IEEE 802.1X.
Pääsyohjain AC 24 voi olla todentaja paikallista verkkopääsyä varten ja mahdollistaa pääsyn Internetiin 50 vasteena onnistuneelle todentamiselle 3GPP AAA -palvelimen toimesta. Näin ollen AC 24 voi myös osallistua 35 EAP-signalointiin. Eräässä toisessa suoritusmuodossa välitinyksikkö 30 toimii todentajana paikalliselle verkkopääsylle.
10
Eräässä suoritusmuodossa välitinyksikkö 30 on järjestetty ohjaamaan pääsyohjainta 24. Jos välitinyksikkö 30 toimii todentajana, se voi ohjata AC:tä 24 mahdollistamaan tai estämään pääsyn päätelaitteelle 10 3GPP-todentamismenettelyn tuloksen perusteella.
5 Kuvio 3 havainnollistaa keksinnön erään suoritusmuodon mukaista todentamissignalointia 3GPP-WLAN -ympäristössä, missä käytetään TLS:ää ja Radiusta EAP-pohjaisten todentamisviestien siirtämiseen. On tarve siirtää EAP-viesti VVLAN-verkkoon liittyneeltä päätelaitteelta 10 PLMN-verkon AAA-palvelimelle tai -välipalvelimelle 40. Vaiheessa 301 EAP-viesti kapseloidaan 10 TLS-viestiksi, eli lisätään TLS-protokollaspesifinen otsikkokenttä. Päätelaite 10 aloittaa yhteydenmuodostuksen TLS-protokollalla kotiverkon AAA-palvelimelle 40, eli päätelaitteen näkökulmasta TLS-palvelimelle. Pääsyn muodostus voidaan nähdä tavanomaisena HTTPS-yhteydenmuodostuksena (secure hypertext transfer protocol). Tulee kuitenkin huomioida, että HTTP(S) ei ole välttä-15 mätön ja päätelaite 10 voi, mutta sen ei tarvitse, tukea HTTP-perusteista WWW-sisäänkirjautumista.
Viesti lähetetään 302 pääsyohjaimelle 24 hyödyntämällä paikallisen langattoman pääsyn lähetyspalvelulta. AC 24 lähettää 303 viestin edelleen välitinyksikölle 30, joka on järjestetty toimimaan TLS-palvelimena ja nyt esillä 20 olevassa suoritusmuodossa päättää TLS-yhteyden päätelaitteelta 10.
Tulisi huomioida, että päätelaitteen 10 ja TLS-palvelimen 30 välillä voidaan suorittaa TLS-viestien vaihto TLS-protokollan mukaisesti, kuten esimerkiksi sertifikaatin hyväksyntä, mitä ei ole havainnollistettu kuviossa 3. Luotettavan kuljetusprotokollan, kuten TCP, päällä käytettävä TLS Record -25 protokolla ylemmän kerrosten viestien kapselointia varten on kuvattu RFC 2246:n kappaleessa 6 ja TLS Handshake kappaleessa 7.
Välitinyksikkö 30 aloittaa vasteena viestille 303 Radius-menettelyn 3GPP AAA -yksikön 40 kanssa. Vaiheessa 304 välitinyksikkö 30 purkaa vastaanotetun viestin kapseloinnin saadakseen alkuperäisen EAP-viestin ja kap-30 seloi EAP-viestin Radius-kapselointimuodon mukaisesti. Radius-menettelyt, pakettimuodot, pakettityypit ja attribuutit on määritetty RFC 2865:ssa, eikä niitä ole havainnollistettu kuviossa 3. Välitinyksikkö 30 on näin ollen järjestetty toimimaan TLS-palvelimena ja Radius-asiakkaana. Tulee huomioida, että Radiusta suoritetaan UDP:n yli ja välitinyksikkö 30 on järjestetty käyttämään 35 UDP:tä kuljetusprotokollana TCP:n sijaan Radius-palvelimena toimivaa AAA- 11 yksikköä 40 kohti. Näin ollen välitinsolmu 30 on myös järjestetty käyttämään eri kuljetuskerroksen protokollia EAP-viestinsiirtoon.
Radiuksen mukaisesti kapseloitu EAP-viesti lähetetään 305 3GPP AAA -yksikölle 40, joka purkaa vastaanotetun paketin kapseloinnin. Nyt esillä 5 olevassa suoritusmuodossa AAA-yksikkö 40 pyytää 306 ja vastaanottaa 307 todentamisinformaatiota tilaajan HLR:ltä tai HSS:ltä. EAP-vastausviesti kapseloidaan Radius-pakettiin ja siirretään 308 välitinyksikölle 30. Välitinyksikkö 30 päättää Radius-protokollan ja purkaa vastaanotetun viestin kapseloinnin vaiheessa 309. Lisäksi, koska viesti tulee lähettää päätelaitteelle 10, välitinyksik-10 kö 30 kapseloi EAP-viestin TLS-protokollan mukaisesti ja lähettää 310 viestin AC:lle 24. AC 24 lähettää TLS-viestin edelleen 311 päätelaitteelle 10, joka purkaa 312 TLS-viestin kapseloinnin, ja EAP-viesti toimitetaan päätelaitteen 10 EAP-yksikölle lisä käsittelyä varten.
Tulee huomioida, että kuvion 3 signalointikaavio on yksinkertaistettu 15 ja että todentamismenettelyt voivat sisältää useiden EAP-viestien (kierrosten) siirtämisen. Lisäksi, myös SIM/USIM -korttia koskevia päätelaitteen 10 toimintoja ei ole havainnollistettu yksityiskohtaisesti kuviossa 3. On esimerkiksi mahdollista päättää EAP-signalointi SIM/USIM -kortilla (UICC); yksityiskohtaisemman mahdollisen toiminnallisen jaon osalta päätelaitteessa 10 viitataan yllä 20 mainitun 3GPP-spesifikaation TS 33.234 kappaleeseen 6.7. Kuten jo havainnollistettiin, sen jälkeen kun EAP-viestille tarvittava informaatio on luotu (esim. osittain SIM/USIM:n toimesta), alemman kerroksen EAP-viestien lähetys kuitenkin silloin järjestetään jo havainnollistetulla tavalla hyödyntäen TLS:ää tai jotakin mutta turvallista kuljetuskerroksen kapselointiprotokollaa. Varsinainen 25 3GPP-WLAN -todentamismenettely ja EAP-viestit voidaan järjestää mainitussa 3GPP-spesifikaatiossa TS 33.234 määritetyllä tavalla; ΕΑΡ AKA -menettelyyn perustuvan USIM-perusteisen WLAN-pääsyn todentamisen kuvaava kappale 6.1.1 ja EAP SIM -menettelyyn perustuvan SIM-perusteisen VVLAN-pääsyn kuvaava kappale 6.1.2.
30 Välitinyksikkö 30 voi olla todentaja, jolloin se voi muokata vastaan otettua (308) EAP-viestiä ja/tai muodostaa EAP-viestin. Tällöin välitinyksikkö 30 voi olla järjestetty aloittamaan EAP Exchange/Request -menettelyn päätelaitteen 10 kanssa, kuten esimerkiksi mainitun TS 33.234:n kuviossa 4 on havainnollistettu. Välitinsolmu 24 voi tällöin lisäksi joko eksplisiittisesti informoida 35 AC:tä 24 todentamisen tuloksesta tai AC 24 on järjestetty monitoroimaan TLS-liikennettä ja määrittämään todentamisen tuloksen. AC sitten joko sallii tai kiel- 12 tää pääsyn päätelaitteelle 10. Eräässä toisessa suoritusmuodossa AC 24 toimii todentajana ja välitinsolmu 24 ainoastaan tarjoaa alla olevan protokollavaih-toon liittyvät piirteet EAP-viestisiirrolle.
Verkkovierailutilanteessa AAA-yksikkö 40 on AAA-palvelin päätelait-5 teen 10 koti-PLMN -verkossa. Välitinyksikkö 30 voi olla 3GPP AAA -välitin vierailtavassa PLMN:ssä tai lisäksi käytetään 3GPP AAA -välitintä EAP/Radius -viestien toimittamiseen välitinyksikön 30 ja AAA-palvelimen 40 välillä (ei havainnollistettu kuviossa 3). Tässä suoritusmuodossa päätelaite 10 toimittaa koti-PLMN:n tunnisteen, jonka perusteella välitinsolmu 30 (tai lisäksi 10 oleva 3GPP AAA -välitin) kykenee lähettämään EAP-viestejä edelleen AAA-palvelimelle 40 koti-PLMN:ssä. Yllä havainnollistettuja menettelyitä voidaan käyttää tämänkaltaisten EAP-viestien siirtoon päätelaitteen 10 ja 3GPP AAA -palvelimen 40 välillä.
Kuvio 3 havainnollistaa vain jonkin verran todentamissignalointivies-15 tien vaihtoa järjestelmässä ja esim. yllä mainitun 3GPP-spesifikaation 33.234 AAA-signalointiesimerkkien perusteella on selvää, että erilaisia muita signalointiviestejä voidaan siirtää tämänkaltaisessa järjestelmässä. Vastaavankaltainen alla olevan protokollan vaihtaminen voidaan suorittaa näille muille välitinsolmun 30 ohittaville EAP-viesteille.
20 Kuten kuvioissa 4a ja 4b on havainnollistettu, päätelaite 10 ja väli tinyksikön 30 toteuttava laite, vastaavasti, tyypillisesti käsittävät muistin 402, 418, lähetinvastaanottimen 406, 416 langatonta datasiirtoa varten, yhden tai useampia prosessoreita 400, 410 ja jossakin muodossa olevan käyttöliittymän 404, 414. Erilaisia sovelluksia voidaan toteuttaa prosessorissa 400, 414 suorit-25 tarinalla muistiin 402, 412 tallennettua tietokoneohjelmakoodia. Prosessorissa 410 suoritettavaksi tarkoitetun tietokoneohjelmakoodin ja/tai laitteistoratkaisui-den avulla on mahdollista järjestää välitinyksikkölaite 30 toteuttamaan ainakin osa yllä kuvioiden 2-4 yhteydessä havainnollistetusta todentamissignaloinnin siirron järjestämiseen päätelaitteen 10 ja AAA-yksikön 40 välillä hyödyntäen 30 kahta erilaista kapselointiprotokollaa liittyvästä suoritusmuodosta. Tulee huomioida, että yllä kuvattuja toimintoja voi sijaita yhdessä verkkoelementissä tai jotkin niistä voivat yhdessä elementissä ja muut muissa elementeissä, riippumatta siitä kuinka ne on sijoitettu yllä olevissa esimerkinomaisissa suoritusmuodoissa. Prosessorissa suoritettavaksi tarkoitettuja tietokoneohjelmakoode-35 ja ja/tai laitteistoratkaisulta voidaan käyttää järjestämään päätelaite 10 toteut- 13 tamaan TLS:n käyttöön EAP-signalointia varten liittyvät keksinnölliset toiminnot, minkä eräitä suoritusmuotoja kuvattiin yllä.
Oheiset kuvat ja niihin liittyvä selostus on tarkoitettu ainoastaan havainnollistamaan nyt esillä olevaa keksintöä. Keksinnön erilaiset muunnokset 5 ja muutokset ovat ilmeisiä alan ammattilaisille, ilman että poiketaan oheisissa patenttivaatimuksissa määritetystä keksinnön suojapiiristä. Eri piirteitä voidaan siten jättää pois, muokata, tai korvata ekvivalenteilla.

Claims (15)

14
1. Viestintäjärjestelmä, joka käsittää radiopääsyverkon paikallisen langattoman pääsyn tarjoamiseksi matkaviestintälaitteelle (10) ja todenta-misyksikön (40) yleisessä matkaviestinverkossa, missä todentamisyksikkö (40) 5 on järjestetty todentamaan rad iopääsy verkkoon pääsyä muodostavan matka-viestintälaitteen (10) todentamisyksikön (40) ja matkaviestintälaitteen (10) välisen todentamissignaloinnin perusteella ja radiopääsyverkkoon liittyneen matkaviestintälaitteen (10) pääsyn valtuuttaminen on järjestetty todentamisen tuloksen perusteella, tunnettu siitä, että järjestelmä käsittää välitinyksikön 10 (30), jonka kautta todentamisyksikön (40) ja matkaviestintälaitteen (10) välisten todentamissignalointiviestien siirto on järjestetty, järjestelmä on järjestetty huolehtimaan todentamisyksikön (40) ja matkaviestintälaitteen (10) välisten todentamissignalointiviestien kapseloidusta lähetyksestä kryptografisen asiakas-palvelin kuljetuskerroksen kapselointiprotokollan viesteissä matkaviestintälait-15 teen (10) ja välitinyksikön (30) välillä, ja järjestelmä on järjestetty huolehtimaan todentamisyksikön (40) ja matkaviestintälaitteen (10) välisten todentamissignalointiviestien kapseloidusta siirrosta AAA asiakas-palvelin -protokollan viesteissä välitinyksikön (30) ja todentamisyksikön (40) välillä.
2. Patenttivaatimuksen 1 mukainen järjestelmä, tunnettu siitä, 20 että matkaviestintälaite (10) ja välitinyksikkö (30) on järjestetty käyttämään TLS (transport layer security) Record -protokollaa matkaviestintälaitteen (10) ja todentamisyksikön (40) välisten todentamissignalointiviestin kapseloimiseksi ja kapseloinnin purkamiseksi.
3. Patenttivaatimuksen 1 tai 2 mukainen järjestelmä, tunnettu 25 siitä, että todentamisyksikkö (40) ja matkaviestintälaite (10) on järjestetty käyttämään EAP-protokollaa (extensible authentication protocol) todentamisyksikön (40) ja matkaviestintälaitteen (10) välisiä todentamissignalointiviestejä varten, ja että EAP-viestit kapseloidaan kryptografisen asiakas-palvelin kuljetus-kerroksen kapselointiprotokollan mukaisesti matkaviestintälaitteen (10) ja väli- 30 tinyksikön (30) välillä ja AAA asiakas-palvelin -protokollan mukaisesti välitinyksikön (30) ja todentamisyksikön (40) välillä.
4. Jonkin edellisen patenttivaatimuksen mukainen järjestelmä, tunnettu siitä, että todentamisyksikkö (40) on todentamisvälitin (authentication proxy) vierailtavassa yleisessä matkaviestintäverkossa VPLMN (visited 35 public land mobile network) tai todentamispalvelin yleisessä kotimatkaviestin-täverkossa HPLMN (home public land mobile network), ja 15 todentamismenettely on järjestetty matkaviestintälaitteeseen (10) liitetyn tilaajantunnistusyksikön tilaajainformaation ja todentamisyksikköön (40) liitetyn tilaajainformaatiotietokannan tilaajainformaation perusteella.
5. Jonkin edellisen patenttivaatimuksen mukainen järjestelmä, 5 tunnettu siitä, että päätelaitteen vierailema radiopääsyverkko on langaton lähiverkko, joka käsittää pääsyohjaimen (24) ja ainakin yhden pääsypisteen, ja pääsyohjain (24) on järjestetty lähettämään kryptografisen asiakas-palvelin kuljetuskerroksen kapselointiprotokollan viestit edelleen matkaviestin-tälaitteen (10) ja välitinyksikön (30) välillä, 10 välitinyksikkö (30) on järjestetty informoimaan pääsyohjainta (24) todentamisen tuloksesta, ja pääsyohjain (24) on järjestetty sallimaan tai estämään pääsyn ra-d iopääsy verkon kautta välitinyksiköltä (30) saadun informaation perusteella.
6. Jonkin edellisen patenttivaatimuksen mukainen järjestelmä, 15 tunnettu siitä, että välitinyksikkö (30) on järjestetty käyttämään Radius- protokollaa (remote authentication dial in user service) tai Diameter-protokollaa todentamissignalointiviestien kapseloimiseen ja kapseloinnin purkamiseen to-dentamisyksikölle ja todentamisyksiköltä (40).
7. Jonkin edellisen patenttivaatimuksen mukainen järjestelmä, 20 tunnettu siitä, että välitinyksikkö (30) on radiopääsyverkkoon liitetty PLMN- verkkoelementti.
8. Menetelmä todentamissignaloinnin järjestämiseksi viestintäjärjestelmässä, joka käsittää radiopääsyverkon paikallisen langattoman pääsyn tarjoamiseksi matkaviestintälaitteelle (10) ja todentamisyksikön (40) yleisessä 25 matkaviestinverkossa, joka menetelmä käsittää: todennetaan radiopääsyverkkoon pääsyä muodostava matkaviestin-tälaite (10) todentamisyksikön (40) ja matkaviestintälaitteen (10) välisen todentamissignaloinnin perusteellapa valtuutetaan tai torjutaan pääsy radiopääsyverkkoon liittyneelle mat-30 kaviestintälaitteelle (10) todentamisen tuloksen perusteella, tunnettu siitä, että järjestelmä käsittää välitinyksikön (30), jonka kautta todentamisyksikön (40) ja matkaviestintälaitteen (10) välisten todentamissignalointiviestien siirto on järjestetty, joka menetelmä käsittää: siirretään todentamisyksikön (40) ja matkaviestintälaitteen (10) väli-35 nen todentamissignalointiviesti kapseloituna kryptografisen asiakas-palvelin 16 kuljetuskerroksen kapselointiprotokollan viesteissä matkaviestintälaitteen (10) ja välitinyksikön (30) välillä, ja siirretään todentamisyksikön (40) ja matkaviestintälaitteen (10) välinen todentamissignalointiviesti kapseloituna AAA asiakas-palvelin -protokollan 5 viesteissä välitinyksikön (30) ja todentamisyksikön (40) välillä.
9. Verkkoelementti viestintäjärjestelmää varten, joka käsittää radio-pääsyverkon paikallisen langattoman pääsyn tarjoamiseksi matkaviestintälait-teelle (10) ja todentamisyksikön (40) yleisessä matkaviestinverkossa, tunnettu siitä, että verkkoelementti (30) sisältää välitinyksikön (30) todentamis- 10 signalointiviestien siirron järjestämiseksi matkaviestintälaitteen (10) ja todentamisyksikön (40) välillä, missä välitinyksikkö (30) käsittää välineet kryptografisen asiakas-palvelin kuljetuskerroksen kapselointiprotokollan käyttämiseksi matkaviestintälaitteen (10) ja välitinyksikön (30) välillä todentamisyksikön (40) ja matkaviestintälait- 15 teen (10) välisen todentamissignalointiviestin lähettämiseksi ja/tai vastaanottamiseksi, ja välitinyksikkö (30) käsittää välineet AAA asiakas-palvelin -protokollan käyttämiseksi välitinyksikön (30) ja todentamisyksikön (40) välillä todentamisyksikön (40) ja matkaviestintälaitteen (10) välisen todentamissigna- 20 lointiviestin kapseloitua lähettämistä ja/tai vastaanottamista varten.
10. Patenttivaatimuksen 9 mukainen verkkoelementti, missä välitinyksikkö (30) on järjestetty siirtämään EAP-viestejä (extensible authentication protocol) käyttäen kryptografisen asiakas-palvelin kuljetuskerroksen kapseloin-tiprotokollaa matkaviestintälaitteen (10) ja välitinyksikön (30) välillä ja AAA 25 asiakas-palvelin -protokollaa välitinyksikön (30) ja todentamisyksikön (40) välillä.
11. Patenttivaatimuksen 9 tai 10 mukainen verkkoelementti, missä välitinyksikkö käsittää TLS (transport layer security) Record -protokollapalvelimen matkaviestintälaitteen (10) ja todentamisyksikön (40) vä- 30 listen todentamissignalointiviestin kapseloimiseksi ja kapseloinnin purkamiseksi.
12. Patenttivaatimuksen 9, 10 tai 11 mukainen verkkoelementti, missä verkkoelementti on liitettävissä langattoman lähiverkon pääsyohjaimeen (24), 17 verkkoelementti on järjestetty lähettämään ja vastaanottamaan kryp-tografisen asiakas-palvelin kuljetuskerroksen kapselointiprotokollan viestin pääsyohjaimelle ja pääsyohjaimelta (24), ja verkkoelementti on järjestetty informoimaan pääsyohjainta (24) to-5 dentamisen tuloksesta.
13. Minkä tahansa vaatimuksen 9-12 mukainen verkkoelementti, missä välitinyksikkö (30) on järjestetty käyttämään Radius-protokollaa (remote authentication dial in user service) tai Diameter-protokollaa todentamissigna-lointiviestien kapseloimiseen ja kapseloinnin purkamiseen todentamisyksikölle 10 ja todentamisyksiköltä (40).
14. Minkä tahansa vaatimuksen 9-13 mukainen verkkoelementti, missä verkkoelementti on radiopääsyverkkoon liitettävissä oleva PLMN-verkkoelementti.
15 18
FI20065736A 2006-11-20 2006-11-20 Todentaminen matkaviestintäyhteistoimintajärjestelmässä FI121560B (fi)

Priority Applications (5)

Application Number Priority Date Filing Date Title
FI20065736A FI121560B (fi) 2006-11-20 2006-11-20 Todentaminen matkaviestintäyhteistoimintajärjestelmässä
EP07823251.9A EP2087689B1 (en) 2006-11-20 2007-11-19 Authentication in mobile interworking system
PCT/FI2007/050620 WO2008062098A1 (en) 2006-11-20 2007-11-19 Authentication in mobile interworking system
US12/312,527 US8457598B2 (en) 2006-11-20 2007-11-19 Authentication in mobile interworking system
NO20092148A NO342167B1 (no) 2006-11-20 2009-06-03 Autentisering i mobilsamvirkesystemer

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20065736 2006-11-20
FI20065736A FI121560B (fi) 2006-11-20 2006-11-20 Todentaminen matkaviestintäyhteistoimintajärjestelmässä

Publications (3)

Publication Number Publication Date
FI20065736A0 FI20065736A0 (fi) 2006-11-20
FI20065736A FI20065736A (fi) 2008-05-21
FI121560B true FI121560B (fi) 2010-12-31

Family

ID=37482555

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20065736A FI121560B (fi) 2006-11-20 2006-11-20 Todentaminen matkaviestintäyhteistoimintajärjestelmässä

Country Status (5)

Country Link
US (1) US8457598B2 (fi)
EP (1) EP2087689B1 (fi)
FI (1) FI121560B (fi)
NO (1) NO342167B1 (fi)
WO (1) WO2008062098A1 (fi)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010139058A1 (en) 2009-06-04 2010-12-09 Research In Motion Limited Methods and apparatus for use in facilitating the communication of neighboring network information to a mobile terminal with use of a radius compatible protocol
CN101621801B (zh) * 2009-08-11 2012-11-28 华为终端有限公司 无线局域网的认证方法、系统及服务器、终端
EP2611228A1 (en) * 2011-12-27 2013-07-03 Alcatel Lucent Allowing access to services delivered by a service delivery platform in a 3GPP HPLM, to an user equipment connected over a trusted non-3GPP access network
EP2663125B1 (en) * 2012-05-08 2019-02-13 Telefonaktiebolaget LM Ericsson (publ) Mobile terminal, network node server, method and computer program
WO2017099864A1 (en) * 2015-12-09 2017-06-15 Intel IP Corporation Standardized access to core networks
EP3523997A1 (en) * 2016-10-05 2019-08-14 Motorola Mobility LLC Core network attachment through standalone non-3gpp access networks
US11366914B2 (en) * 2017-04-14 2022-06-21 Hewlett-Packard Development Company, L.P. Authenticating access of service of service entity to application of client device based on whether root certificate corresponding to application is installed in service entity
WO2019160545A1 (en) * 2018-02-14 2019-08-22 Hewlett-Packard Development Company, L.P. A service entity
US20190014095A1 (en) * 2017-07-06 2019-01-10 At&T Intellectual Property I, L.P. Facilitating provisioning of an out-of-band pseudonym over a secure communication channel
CH716093B1 (de) 2018-02-26 2023-12-29 Royal Prec Products Llc Federbetätigter elektrischer Steckverbinder für Hochleistungsanwendungen.
CN112956085B (zh) 2018-06-07 2023-09-15 皇家精密制品有限责任公司 具有内部弹簧部件的电连接器系统及其应用
WO2021050499A1 (en) 2019-09-09 2021-03-18 Royal Precision Products Llc Connector recording system with readable and recordable indicia
US11721942B2 (en) 2019-09-09 2023-08-08 Eaton Intelligent Power Limited Connector system for a component in a power management system in a motor vehicle
DE112021003303T5 (de) 2020-07-29 2023-05-25 Eaton Intelligent Power Limited Elektrisches verbindungssystem mit zylindrischem klemmenkörper
WO2023216084A1 (zh) * 2022-05-09 2023-11-16 北京小米移动软件有限公司 认证方法、装置、介质和芯片

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2002255000A1 (en) * 2002-05-01 2003-11-17 Telefonaktiebolaget Lm Ericsson (Publ) System, apparatus and method for sim-based authentication and encryption in wireless local area network access
US7529933B2 (en) 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7788705B2 (en) 2002-08-12 2010-08-31 Mcafee, Inc. Fine grained access control for wireless networks
CN100499538C (zh) * 2002-10-11 2009-06-10 松下电器产业株式会社 无线局域网互连中的识别信息保护方法
EP1424810B1 (en) 2002-11-29 2007-08-22 Motorola, Inc. A communication system and method of authentication therefore
CN1293729C (zh) * 2003-08-08 2007-01-03 华为技术有限公司 一种防止无线局域网频繁进行网络选择交互的方法
CN1277381C (zh) * 2003-08-14 2006-09-27 华为技术有限公司 无线局域网中用户终端维护初始网络选择设置的方法
GB0400694D0 (en) * 2004-01-13 2004-02-18 Nokia Corp A method of connection
GB0414421D0 (en) * 2004-06-28 2004-07-28 Nokia Corp Authenticating users
US20060019635A1 (en) * 2004-06-29 2006-01-26 Nokia Corporation Enhanced use of a network access identifier in wlan
US9654963B2 (en) * 2004-07-01 2017-05-16 Qualcomm Incorporated Dynamic assignment of home agent and home address in wireless communications
JP3897034B2 (ja) * 2004-07-28 2007-03-22 日本電気株式会社 無線lanシステム、無線lan端末、携帯網アクセスサーバ及びそれらに用いる認証方法
US20060046693A1 (en) * 2004-08-31 2006-03-02 Hung Tran Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN)
US7551926B2 (en) * 2004-10-08 2009-06-23 Telefonaktiebolaget Lm Ericsson (Publ) Terminal-assisted selection of intermediary network for a roaming mobile terminal
US7424284B2 (en) * 2004-11-09 2008-09-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure network/service access
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
KR100770928B1 (ko) * 2005-07-02 2007-10-26 삼성전자주식회사 통신 시스템에서 인증 시스템 및 방법
US8023478B2 (en) * 2006-03-06 2011-09-20 Cisco Technology, Inc. System and method for securing mesh access points in a wireless mesh network, including rapid roaming

Also Published As

Publication number Publication date
EP2087689A1 (en) 2009-08-12
US20100056106A1 (en) 2010-03-04
EP2087689B1 (en) 2021-02-24
WO2008062098A1 (en) 2008-05-29
US8457598B2 (en) 2013-06-04
EP2087689A4 (en) 2012-03-14
NO342167B1 (no) 2018-04-09
NO20092148L (no) 2009-08-18
FI20065736A0 (fi) 2006-11-20
FI20065736A (fi) 2008-05-21

Similar Documents

Publication Publication Date Title
FI121560B (fi) Todentaminen matkaviestintäyhteistoimintajärjestelmässä
EP1770940B1 (en) Method and apparatus for establishing a communication between a mobile device and a network
EP2103077B1 (en) Method and apparatus for determining an authentication procedure
Buddhikot et al. Design and implementation of a WLAN/CDMA2000 interworking architecture
AU2005236981B2 (en) Improved subscriber authentication for unlicensed mobile access signaling
JP5069320B2 (ja) Uiccなしコールのサポート
EP1693995B1 (en) A method for implementing access authentication of wlan user
JP4687788B2 (ja) 無線アクセスシステムおよび無線アクセス方法
US9226153B2 (en) Integrated IP tunnel and authentication protocol based on expanded proxy mobile IP
NL2014020B1 (en) Voice and text data service for mobile subscribers.
US9038144B2 (en) Mobility protocol selection by an authorization system
US20060046693A1 (en) Wireless local area network (WLAN) authentication method, WLAN client and WLAN service node (WSN)
EP2215803B1 (en) Network access authentication
US20040133806A1 (en) Integration of a Wireless Local Area Network and a Packet Data Network
US20200036715A1 (en) Mobile terminal, network node server, method and computer program
Veltri et al. Wireless lan-3g integration: Unified mechanisms for secure authentication based on sip
GB2417856A (en) Wireless LAN Cellular Gateways
Kwon et al. Consideration of UMTS-WLAN seamless handover
Živković et al. Authentication across heterogeneous networks
Salsano et al. WLAN/3G secure authentication based on SIP
Salsano et al. Technical Report N: T2. 1_2005_PR_R02 WLAN/3G secure authentication based on SIP
Wang Authentication for Inter-Domain Roaming in Wireless IP Networks
Jamalipour Data Integrity and Network Security in Wireless LAN/3G Integrated Networks
Issaeva 3G–WLAN Systems Interworking Architecture

Legal Events

Date Code Title Description
MM Patent lapsed