ITRM20010039A1 - Metodo di autenticazione mediante carta sim per accesso da rete fissa, a servizi telematici. - Google Patents

Metodo di autenticazione mediante carta sim per accesso da rete fissa, a servizi telematici. Download PDF

Info

Publication number
ITRM20010039A1
ITRM20010039A1 IT2001RM000039A ITRM20010039A ITRM20010039A1 IT RM20010039 A1 ITRM20010039 A1 IT RM20010039A1 IT 2001RM000039 A IT2001RM000039 A IT 2001RM000039A IT RM20010039 A ITRM20010039 A IT RM20010039A IT RM20010039 A1 ITRM20010039 A1 IT RM20010039A1
Authority
IT
Italy
Prior art keywords
authentication
user
vlr
access
internet
Prior art date
Application number
IT2001RM000039A
Other languages
English (en)
Inventor
Mauro Sentinelli
Maurizio Marcelli
Original Assignee
Telecom Italia Mobile Spa
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telecom Italia Mobile Spa filed Critical Telecom Italia Mobile Spa
Priority to IT2001RM000039A priority Critical patent/ITRM20010039A1/it
Publication of ITRM20010039A0 publication Critical patent/ITRM20010039A0/it
Publication of ITRM20010039A1 publication Critical patent/ITRM20010039A1/it

Links

Landscapes

  • Telephonic Communication Services (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Telephone Function (AREA)

Description

/ Descrizione dell'invenzione avente per titolo:
"METODO DI AUTENTICAZIONE MEDIANTE CARTA SIM PER ACCESSO DA RETE FISSA, A SERVIZI TELEMATICI"
DESCRIZIONE
La presente invenzione fa riferimento in generale al problema della sicurezza dei sistemi informatici e telematici, più in particolare essa applica una tecnica di autenticazione, solitamente usata per reti radiomobili GSM, anche per l'accesso su rete fissa a servizi telematici dedicati, in cui sia richiesta l'identificazione sicura dell'utente o di una classe di utenti.
Preliminarmente alla descrizione vera e propria, e' utile introdurre una legenda relativa alla simbologia ed alle abbreviazioni più in uso attualmente nell'ambito del settore tecnico cui fa riferimento 1'invenzione .
1. FTP File Transfer Protocol: protocollo internet che permette all'utente di accedere e trasferire files da/a un terminale remoto raggiungibile dalla rete.
2. HLR Home Location Register: database contenente i dati relativi ai telefoni cellulari registrati. 3. HTTP: Hypertext Transfer Protocol
4. HTTPs : Hypertext Transfer Protocol security
5. IMSI identità radiomobile della carta SIM.
6. IP: indirizzo di rete definito nel protocollo Internet .
7. MAP Mobil Application Part : e' (sottintendendo MAP GSM) il protocollo utilizzato dai nodi della rete GSM per gestire la mobilita' degli utenti.
8. MSC mobil switching center: centrale di commutazione per telefonia mobile.
9. MSISDN Mobil Station Integrated Service Digital Network: e' il numero del telefono cellulare (es.
0338 451845)
10. NAS Network Access Server: e' (sottindendendo NAS IP) un nodo di rete che permette di accedere (di norma dalla rete telefonica) ad una rete IP.
11. POP point of precense.· punto di accesso alla rete Internet .
12. PPP: Point to Point Protocol
13. PROXY : Server che si basa su criteri di web paging per fornire le funzionalità' di un server "intermedio" ad accesso veloce e preferenziale per l'utente, una volta che questi l'abbia preimpostato sul proprio browser.
14. RND: numero random/casuale.
15. SNMP Simple Network Management Protocol: Protocollo standard di internet per gestire i nodi della rete IP.
16 . SMTP Simple Mail Transfer Protocol : protocollo di posta elettronica in Internet.
17. STP Signalling Transfer Protocol: e' una funzione della rete di segnalazione telefonica che permette di trasferire un messaggio di segnalazione verso la sua destinazione attraversando nodi intermedi .
18. TRIPLET STORE: Immagazzinamento delle triplette. L'autenticazione GSM si basa su una terna di numeri: un numero casuale, una risposta .(calcolata utilizzando il numero casuale, l'algoritmo di autenticazione e la chiave Ki di cifratura), e una chiave di cifratura (ricavabile utilizzando l'algoritmo di cifratura e la chiave Ki di cui sopra)
19. URL Uniform Resource Locator: l'indirizzo specifico di un sito WEB cosi' come solitamente impiegato in Internet es: http://arg.com
20. VLR Visitor Location Register: in una rete radiomobile un utente e' sempre "ospite" di un MSC, a differenza di un utente di rete fissa che e' stabilmente connesso alla propria centrale locale; ogni MSC ha associato un VLR e quando un utente entra in una MSC Location Area si registra nel suo VLR che provvedera' ad avvisare 1'HLR di competenza che l'utente si e' registrato nel suo data base, rendendo possibile la sua localizzazione sul territorio .
21. # 8 FRAMED IP ADDRESS : nel protocollo di comunicazione IP, per lo scambio di messaggi tra Client e server, viene fornito dal server un indirizzo IP per la connessione temporanea, tale indirizzo è contenuto nel campo 8 del messaggio strutturato secondo protocollo .
Stato della tecnica
E' noto come nell'ambito della telefonia radiomobile su rete GSM, la procedura di autenticazione della carta SIM al momento della chiamata dell'utente, sia una tecnica sicura e collaudata. La verifica della leggittimità della richiesta di connessione avviene tramite l'AUC (autentication centre) che è in grado di fornire i codici sia per l'autenticazione che per la cifratura, in modo da garantire tanto l'utente quanto l'operatore di rete da accessi indesiderati da parte di terzi.
Difatti l'AUC tramite l'impiego di un generatore di numeri casuali (RAND), una chiave di indentificazione personale (Ki) associata con il relativo IMSI, un algoritmo per la cifratura (A')
ed un algoritmo per l'autenticazione (A").
attua la funzione fondamentale di fornire all'HLR le cosiddette triplette.
In sintesi per ogni Ki (128 bit) memorizzata, l'AUC genera un numero casuale, RAND (128 bit); la coppia RAND e Ki viene data in ingresso ad un algoritmo A" che produce come risultato un parametro indicato con SRES (32 bit) -"risposta firmata" (Signed RESponse)-che serve per la procedura di autenticazione.
L'autenticazione viene effettuata ogni volta che il terminale mobile si collega alla rete, con la coppia RAND e Ki che viene data in ingresso all'algoritmo A'. Il risultato, un parametro indicato con Kc, "chiave di cifratura", serve per la procedura di cifratura, facendo paite di una terna SRES, Kc e il RAND la "tripletta", che l'AUC genera, per ogni Ki, e passa all'HLR che ne fa richiesta.
Le fasi in cui si suddivide la procedura di autenticazione vera e propria, sono:
I- da una tripletta viene letto il valore di RAND e viene inviato all'unità mobile, che ha chiesto di collegarsi ;
II- nella SIM sono memorizzati la Ki e l'algoritmo A", quindi non appena riceve il RAND, il terminale mobile può calcolarsi una nuova SRES e, grazie allo algoritmo A' , anche la Kc che memorizza,
III- la nuova SRES viene trasmessa alla rete,
IV- nel VLR viene fatto il confronto tra la SRES originale (quella appartenente alla tripletta da cui è stato letto il RAND) e la SRES calcolata dal mobile. Se le due SRES coincidono allora l'autenticazione ha avuto successo, altrimenti l'instaurazione della chiamata in corso non può proseguire.
Tale procedura come premesso è estremamente sicura e collaudata e benché le carte SIM siano, al momento, utilizzate solo per l'autenticazione di un utente del sistema GSM, le caratteristiche evidenziate lo rendono, in ogni caso, un mezzo estremamente interessante ed uno strumento efficace per altri tipi di autenticazione .
D'altra parte uno dei problemi più attuali relativi all'accesso e all'utilizzo dei servizi basati sulla rete internet e in particolare sul WWW (WORD WIDE WEB) è quello di fornire un livello soddisfacente di sicurezza nelle procedure con cui sono attuati l'accesso e l'eventuale transazione.
A tali servizi di rete si accede attualmente , tramite l'identificativo di utente (userid) e la relativa parola chiave (passwd) con notevoli rischi di violazioni da parte di pirati informatici.
Il brevetto RM2000A000538 a nome TELECOM ITALIA MOBILE S.P.A. descriveva una tecnica di navigazione ed impiego di servizi telematici su rete fissa per mezzo dei protocolli tipici di autenticazione della rete GSM, basata sulle interrogazioni, da parte del server di autenticazione, del terminale di rete presso l'utente con la richiesta di informazioni contenute in una SIM in suo possesso.
In sostanza era previsto che l'accesso alla rete avvenisse, in ogni caso, con una modalità' standard cioè' tramite identificativo di utente e parola chiave ed una volta avuta la connessione l'utente poteva usufruire di servizi ordinari e servizi riservati o critici.
Lo scopo della presente invenzione è quello di ampliare la possibilità di utilizzare la carta SIM per l'autenticazione anche nelle fasi di accesso, oltre che nelle fasi di navigazione verso i vari servizi. Un ulteriore scopo della presente invenzione e' quello di fornire un metodo di autenticazione per l'accesso a servizi telematici su rete fissa che sia esente dagli inconvenienti sopra descritti e nel contempo sia di immediata fattibilità'.
Questi scopi ed altri che saranno chiari nel corso della descrizione sono ottenuti mediante una tecnica di autenticazione per l'accesso a servizi telematici su rete fissa caratterizzata dal fatto di attuare per default un collegamento ad un provider di un operatore di rete radiomobile ed utilizzare i protocolli tipici di autenticazione dell'accesso alla rete radiomobile GSM fornendo una duplice modalità di autenticazione che prevede una prima procedura basata sull'utilizzo di una carta SIM e che comprende le seguenti fasi operative:
I - accesso dell'utente al servizio mediante selezione per via telefonica direttamente tramite i POP del provider dell'operatore di rete radiomobile, eliminando qualsiasi richiesta di configurazione manuale da parte dell'utente stesso,
II - nella richiesta verso i router di accesso, in luogo dell'usuale identificativo di utente, inserimento da parte del terminale di utente dell' IMSI ottenuto dalla carta SIM presente nel lettore, inoltrando, i router di accesso, l'IMSI ad un Internet -VLR che autorizza per default l'attivazione della connessione dati dell'utente, attivando, parallelamente presso l'HLR la procedura standard di autenticazione GSM;
III - attivazione u ìa volta aperto il canale dati con l'utente, da parte dell'Internet-VLR, della carta SIM per ottenere le informazioni di autenticazione da confrontare con quelle ottenute dall'HLR, Ill-i - richiedendo, in caso di esito negativo del confronto, 1'Internet-VLR al router di accesso l'abbattimento della connessione,
ΙΙΙ-ii - permettendo l'accesso ad un server applicativo configurato per fornire servizi riservati nel caso la fase di autenticazione sia terminata con successo,
ed una seconda procedura di autenticazione senza carta SIM, comprendente le fasi relative a:
A - accesso dell'utente al servizio mediante selezione telefonica tramite i POP del provider dell'operatore di rete radiomobile, per cui verificata l'assenza della carta SIM, si richiede all'utente di inserire la coppia relativa a indentificativo di utente e parola chiave, secondo le note modalità fornite dall' operatore del servizio telematico;
B - nella richiesta di accesso verso i router di accesso, invio da parte del terminale di utente, dell'identificativo di utente e della parola chiave inserita dall'utente stesso, inoltrando ì router di accesso le informazioni all'Internet-VLR che verifica l'abilitazione all'accesso mediante riscontro con i dati ottenuti per lettura dallo specifico server di autenticazione attuale, via protocollo RADIUS. Conclusa la fase di autenticazione, da parte dell'Internet -VLR, viene inviato ai nodi che gestiscono il traffico (navigazione/FTP/MAIL) l'associazione tra l'indirizzo IP assegnato ed il corrispondente MSISDN/IMSI autenticato, consentendo a detti nodi di documentare ogni transazione effettuata mediante l'inserimento nel corrispondente record l'informazione dell'identità del cliente autenticata da rete GSM.
Il principio utilizzato, in altre parole, è quello di consentire alla carta SIM gestita dal particolare operatore di rete, di registrarsi su un Internet-VLR (I-VLR) raggiungibile dai router di accesso. Tale VLR, in analogia con la rete radiomobile, potrà consentire l'autenticazione in HLR delle SIM e la loro registrazione per l'accesso ai servizi. L'HLR svolge quindi la funzione di autentication server.
Tale prestazione va ad aggiungersi alla possibilità di integrare sulle carte SIM applicativi tipici delle carte SMART tradizionali che consentono l'uso della firma elettronica, come definito a norma di legge per i rapporti con PPAA.
E' possibile prevedere che un provider esterno (ad esempio nelle banche) sia abilitato ad interrogare un nodo della rete dell'operatore radiomobile per ottenere l'identità (fittizia o reale) di un Client che sta accedendo al provider stesso per richiedere i suoi servizi.
L'utente finale deve disporre di un lettore di smart card di tipo commerciale da collegare al suo PC connesso a rete fissa. Per consentire l'interazione tra la SIM card e la rete GSM occorre rendere disponibili i seguenti elementi SW-.
* applicativo per l'interconnessione tra il lettore smart card ed il PC, di norma disponibile unitamente al lettore stesso, all'atto dell'acquisto;
* applicativo "keep alive", utilizzato dal PC per verificare la presenta della SIM all'interno del lettore durante l'accesso al servizio, pena l'interruzione dell'accesso;
* configurazione del dialer (unita' di selezione telefonica) in modo da non richiedere al Client alcuna impostazione per ottenere la connessione agli accessi al provider dell'operatore di rete radiomobile ;
* browser plug-in, per consentire al browser di effettuare l'interrogazione della SIM.
I suddetti applicativi sono resi disponibili su CD-ROM predisposto dall'operatore di rete radiomobile; o sul sito dell'operatore di rete per essere scaricati via Internet.
Come verrà' piu' chiaramente descritto nel seguito, in una realizzazione della presente invenzione, provider dei servizi e' quello proprio dell'operatore di rete radiomobile che fornirà anche il servizio di "accesso ad Internet" all' utente. Gli utenti che accedono al sito del gestore saranno quindi autorizzati ad accedere a servizi riservati forniti da detto sito dedicato del gestore.
In una diversa realizzazione il provider dei servizi potrà essere un qualsiasi Ente, quale una banca o altro, e permette agli utenti del servizio radiomobile di utilizzare le carte SIM al fine di ottenere l'autenticazione. In questo caso, e' il provider del servizio che chiede al gestore della rete di autenticare uno specifico utente.
BREVE DESCRIZIONE DEI DISEGNI
Al solo scopo esemplificativo e senza con ciò voler limitare la generalità ed i possibili campi di applicazione, di seguito vengono descritte alcune realizzazioni preferite dell'invenzione con riferimento alle figure allegate, in cui:
FIGURA 1 é uno schema generale indicativo di una configurazione di rete secondo la presente invenzione;
FIGURA 2 é una rappresentazione temporale delle varie fasi del protocollo di autenticazione per accesso attuato con carta SIM;
FIGURA 3 é una rappresentazione temporale delle varie fasi del protocollo di accesso ed autenticazione senza carta SIM; e
FIGURA 4 é una rappresentazione temporale di un ulteriore protocollo di autenticazione basato sull'impiego della rete telematica secondo la presente invenzione .
Descrizione di realizzazioni preferite
L'accesso ai servizi 11 del provider da parte dell'utente avviene su rete fissa, cosi' come riportato in figura 1, con l'elaboratore o terminale 10 che presenta un lettore 1 di carta SIM 2, connesso, per esempio su una delle sue porte seriali.
L'accesso ai servizi erogati dal provider richiede una fase preliminare di autenticazione eseguita nel nodo 51, che validi l'utenza in base ad informazioni riservate di controllo.
In tale nodo 51 sono quindi presenti protocolli 21 tipo TACACS e RADIUS, che, come noto, sono degli applicativi installati su server dedicati alle procedure di autenticazione. Essi sono in grado di gestire la fase di validazione del cliente che chiede la connessione fornendo il permesso o il diniego all 'utilizzo del servizio ed in ultimo l'eventuale indirizzo IP per la connessione.
La funzione centrale è comunque svolta da un nodo Internet-VLR (d'ora in poi anche solo I-VLR) 52 in grado di svolgere funzioni di integrazione ed interfacciamento dell'ambiente IP con le tecniche note, solite del settore della telefonia radiomobile. Difatti l'i-VLR 52 che valida l'utente o, più in generale, il Client che si connette per l'utilizzo di uno o più servizi, permette fondamentalmente di effettuare l'autenticazione, non più in base alla combinazione dell'identificativo di utente con la parola chiave, che, per quanto già premesso, costituisce una garanzia poco affidabile sull'autenticità del cliente, bensì sulla base di un procedimento di autenticazione mutua tra l'I-VLR ed il Client, che percorre fondamentalmente le fasi tipiche dell'autenticazione di un accesso ad un servizio radiomobile GSM.
Tale soluzione richiede da un lato che l'utente sia fornito sul proprio terminale 10 di un lettore di carta SIM 2 e dall'altro la presenza di un nodo di rete quale l'I-VLR che basandosi sulla tecnica di autenticazione GSM e tramite le chiavi contenute nell'HLR 3' permette la reciproca autenticazione e quindi l'accesso ai servizi.
Sotto questo aspetto risulta evidente come il nodo I-VLR 52 si ponga al centro dell'architettura di rete telematica riportata in Fig. 1 essendo esso in grado di interlavorare con l'HLR 3' tramite MAP 14, per il reperimento delle chiavi relative allo specifico IMSI, e cioè relative alla specifica carta SIM. E' il caso si sottolineare, nuovamente, come questa modalità di autenticazione e criptazione ancora non è assolutamente impiegata in ambito Internet.
Inoltre l'I-VLR 52 si interfaccia direttamente con il server proxy 19 e relativo firewall sia per permettere all'utente l'accesso a funzioni standard di Internet 54 (quali HTTP, SMTP, FTP) così come ai servizi Internet/ Intranet 55, sia per tracciare il tipo di traffico effettuato dal cliente precedentemente validato per mezzo della combinazione indirizzo IP e MSISDN, fornita dalla procedura di autenticazione preliminare.
Di qui la possibilità di introdurre un nuovo tipo di billing tramite record di tassazione 56, essendo possibile, per esempio, una contabilizzazione in base all'evento, che tinga in conto parametri quali il numeri di byte scaricati, il tipo di servizio richiesto ecc.. La nuova tecnica di accesso permette di andare quindi ben oltre le attuali solite procedure di registrazione del solo tempo durante il quale l'utente ha acceduto alla rete.
Va inoltre evidenziato il ruolo del server 53 che è impiegato per l'accesso ai servizi riservati del provider dell'operatore di rete radiomobile, che non è quindi da considerare appartenente alla rete globale, ma gestito propriamente dai sistemi informatici dell'operatore di rete radiomobile.
Una funzionalità fondamentale dell'I-VLR 52, sotto questo aspetto, è l'allineamento degli elementi di rete preposti all'autenticazione ed al tracciamento del traffico utenti. Di fatti oltre la gestione della validazione dell'autenticità del cliente che sta accedendo al servizio, l'I-VLR aggiorna gli archivi su cui sono registrati gli accessi da parte della utenza tenendo in conto che questi siano avvenuti mediante autenticazione tramite carta SIM o tramite identificativo di utente e parola chiave.
Risulta quindi evidente l'integrazione tra i diversi protocolli per mezzo dell'I-VLR che da un lato gestisce un traffico IP per specifiche prestazioni, ed allo stesso tempo si interfaccia con apparati tipici del settore radiomobile, vale a dire con l'HLR 3' ed i relativi protocolli MAP 14 per attuare le procedure di autenticazione del Client.
Come premesso l'autenticazione dell'utente che richiede l'accesso alla rete può avvenire fondamentalmente secondo due modalità:
-a) con la carta SIM inserita nel lettore,
-b) senza che nel lettore sia inserita la carta SIM. Nel primo caso il nodo I-VLR 52 è in grado di gestire autonomamente il processo di autenticazione ed invia notifica al server RADIUS del provider dello operatore di rete radiomobile, relativamente all'avvenuta autenticazione di un utente. Tale notifica è necessaria per l'allineamento dei data base degli utenti che al momento creano traffico sulla rete. La Fig. 2 riporta una rappresentazione sequenziale delle interazioni tra le varie entità coinvolte nel protocollo secondo la presente invenzione, nel caso di una autenticazione dell'accesso dalla rete fissa al sito proprio dell'operatore di rete radiomobile, per mezzo di carta SIM . L'utente 18 è l'entità che inizializza la sessione di accesso al provider dell'operatore di rete radiomobile tramite il NAS 60 con relativo server di accesso alla rete.
E' previsto un applicativo di omologazione 21 della carta SIM, vale a dire un modulo logico per l'accesso alla carta SIM dell'utente.
L'agente di accesso 62 dell'operatore di rete radiomobile è il modulo logico che comprende gli strumenti di accesso ai servizi del sistema operativo per aprire una connessione PPP con detto NAS 60 dello operatore di rete radiomobile.
Questo modulo, per esempio, è supportato attualmente su sistemi operativi del tipo Windows 95 e Windows 98 .
Le funzionalità' dell'I-VLR 52 permettono l'autenticazione dell'utente in base al possesso di una carta SIM valida e autorizzano l'accesso dell'utente ai servizi riservati.
Va ricordato che nell'HLR-AUC 3 è memorizzata la Ki condivisa tra la rete GSM e la carta SIM dell'utente. Esso costituisce anche il depositario dell'algoritmo GSM di criptatura.
Il proxy 61 è 1' elemento logico di rete che presso il provider dell'operatore di rete radiomobile raccoglie tutte le componenti necessarie per configurare l'autorizzazione dell'utente.
In base alle diverse implementazioni del lettore di carta SIM, possono essere forniti applicativi di omologazione per ciascun lettore di carta SIM e per ciascun sistema operativo. In particolare e' previsto un lettore di carta SIM per ciascun sistema operativo supportato.
Il riferimento all'agente di accesso remoto è invece specifico per un modulo logico che incapsula l'accesso ai servizi dei sistemi operativi per aprire una connessione PPP con un NAS 60.
Di seguito si considera in figura 2 una realizzazione del servizio che prevede l'accesso con una carta SIM inserita nel lettore 1 e si suppone che l'agente di accesso 62 dell'operatore di rete radiomobile sia già stato installato sul PC in possesso dell'utente 18 per cui le fasi che permettono l'autenticazione sono quelle che seguono.
A- L'utente 18 chiede all'agente di accesso 62 dell'operatore di rete radiomobile di connettersi al NAS 60 del provider dell'operatore di rete stesso. Ciò può corrispondere al doppio clic sull'icona, sullo schermo, che indica l'agente di accesso 62. B- L'agente di accesso 62 dell'operatore di rete radiomobile attiva l'apertura di un collegamento PPP ad un NAS 60 dell'operatore di rete radiomobile. C- Durante la fase dell'autenticazione relativa al collegamento PPP, il NAS 60 richiede l'autenticazione dell'utente 18.
D- L'agente di accesso 62 dell'operatore di rete radiomobile recupera l'IMSI della carta SIM dell'utente e fornisce lo stesso come identificativo di utente al NAS; per cui di fatto, non viene richiesta alcuna password, che potrebbe, comunque, essere utilizzata per facilitare 1'implementazione del protocollo.
E- Il NAS 60 dell'operatore di rete radiomobile richiede l'autenticazione dell'utente all'I-VLR 52, che è visto come un server RADIUS (l'I-VLR è compatibile con l'interfaccia di autenticazione RADIUS). In questa fase del procedimento deve essere fornito l'IP framed address (attributo #8).
F- L'I-VLR 52 riconosce la richiesta come essere quella di una carta SIM del proprio operatore di rete e ne garantisce la validazione tramite l'accettazione dell'accesso RADIUS. Allo stesso tempo, esso richiede una tripletta di autenticazione per la carta SIM all'HLR-AUC 3.
G- Il NAS 60 autorizza la connessione dell'utente in modo che si completi la connessione PPP. Il sistema operativo dell'utente a questo punto si trova connesso in modalità' IP al provider dell'operatore di rete radiomobile.
H- In seguito alla ricezione della tripletta di autenticazione dall'HLR-AUC 3, l'I-VLR 52 sollecita l'agente di accesso 62 dell'operatore di rete radiomobile con il valore RAND.
I- L'agente di accesso 62 dell'operatore di rete radiomobile richiede l'attivazione dell'applicativo di omologazione della carta SIM per attuare la criptazione dello scambio impiegando l'algoritmo GSM e restituisce il risultato SRES all'I-VLR 52. L- Se la SRES coincide con ciò' che l'I-VLR si aspettava, esso registra l'utente con il proxy 61 del provider dell'operatore di rete radiomobile. I parametri di registrazione comprendono l'IMSI, l'indirizzo IP assegnato ed un indicatore che specifica che l'autenticazione è derivata dalla carta SIM dell'utente. In futuro, possono essere richiesti, altri parametri e si può far uso di un Data Base interno o esterno, p^r esempio di diminutivi basati sull'IMSI o il MSISDN basato su IMSI.
Benché non sia mostrato nel diagramma sequenziale di figura 2, insieme con la registrazione dell'utente con il proxy 61 del provider dell'operatore di rete radiomobile, l'I-VLR 52 spedisce anche una richiesta di autenticazione al server RADIUS.
M- Se, d'altra parte, la SRES non coincide con quello che l'I-VLR 52 si aspettava, la connessione dell'utente al provider dell'operatore di rete radiomobile deve essere negata. Per questo scopo, può essere utilizzato l'agente SNMP del NAS.
Risulta oltremodo vantaggioso che conclusa la fase di autenticazione l'I-VLR comunichi ai nodi che gestiscono il traffico del cliente (navigazione/ ftp/ mail) l'associazione tra l'indirizzo IP assegnato ed il corrispondente MSISDN / IMSI autenticato, consentendo ai suddetti nodi di documentare ogni transazione effettuata inserendo nel corrispondente record l'informazione dell'identità del cliente autenticata da rete GSM.
Nella condizione di mancato inserito della carta SIM 2 nel lettore 1, lo scenario è riconducibile alla nota autenticazione mediante combinazione di identificativo di utente e parola chiave. L'I-VLR 52 non ricevendo alcuna esplicita richiesta di autenticazione a mezzo carta SIM si rende in sostanza trasparente operando solo come proxy RADIUS (così come definito dallo standard RFC 31382139) senza eseguire alcuna funzionalità di autenticazione.
Da parte dell'utente e' attuata la nota immissione dell 'identificativo di utente e la successiva parola chiave, dal lato del server di rete i router di accesso inoltrano le informazioni all'I-VLR che verifica l'abilitazione all'accesso mediante riscontro con i dati ottenuti per lettura dall'attuale server di autenticazione, via protocollo RADIUS.
La Figura 3 è un diagramma sequenziale delle interazioni tra le varie entità' nel caso un utente acceda al provider dell'operatore di rete radiomobile senza utilizzare la carta SIM per l'autenticazione .
A- L'utente 18 richiede all'agente di accesso remoto 63 di connettersi al NAS del provider dell'operatore di rete secondo il protocollo solito.
B-L'agente di accesso remoto 63 attiva l'apertura di un collegamento PPP a detto NAS 60.
D- Nel corso della fase di autenticazione dell'apertura del PPP, il NAS 60 attua la richiesta di autenticazione dell'utente, tramite l'agente di accesso remoto 63, che richiede il nome dell'utente e della parola chiave e le fornisce al NAS 60 del provider dell'operatore di rete radiomobile.
E- Il NAS 60 del provider dell'operatore di rete richiede l'autenticazione dell'utente all'I-VLR 52, che vede come un server RADIUS (1' I-VLR e' compatibile con l'interfaccia di autenticazione RADIUS). In tale richiesta di autenticazione viene fornito il framed IP address (attributo #8).
F- L' I-VLR riconosce che la richiesta non è quella di una carta SIM dell'operatore di rete radiomobile e richiede l'autenticazione dell'utente al server RADIUS 65 mediante reindirizzamento della richiesta di autenticazione ricevuta dall'agente di accesso remoto 63.
G- Se il server RADIUS 65 autorizza la richiesta di autenticazione, l'I-VLR reindirizza l'autorizzazione al NAS del provider dell'operatore di rete radiomobile e quest'ultimo completa l'apertura del collegamento PPP.
H- In seguito ad autorizzazione dal server RADIUS, l'I-VLR registra l'utente con il proxy 61 del provider dell'operatore di rete radiomobile. I parametri di registrazione comprendono 1'identificativo di utente (user id), l'indirizzo IP assegnato ed un indicatore che specifica che l'autenticazione è stata ricavata dal nome dell'utente e dalla password di utente. E' possibile, in alternativa, richiedere altri parametri e far uso di un Data Base interno o esterno.
I- Se d'altra parte, il server RADIUS 65 rifiuta la richiesta di autenticazione, l'I-VLR 52 indirizza semplicemente tale rifiuto al NAS del provider dell'operatore di rete radiomobile che pone fine al tentativo di apertura PPP.
Va notato che l'I-VLR memorizza tutte le transazioni relative a richieste di autenticazione. Inoltre quando l'utente si disconnette dal provider dello operatore di rete radiomobile, non e' attuata nessuna azione specifica ed in particolare non viene effettuata la cancellazione della registrazione dell'utente con il proxy del provider dell'operatore di rete .
In Figura 4 e' riportata la sequenza di fasi relative ad una autenticazione richiesta da un provider fornitore di servizi.
Questo tipo di impiego fa riferimento alla procedura di autenticazione, iniziata da un provider fornitore di servizi, quando un utente fa richiesta di un servizio riservato. Può essere il caso, per esempio, di un utente che non accede ai servizi dal provider dell'operatore di rete radiomobile.
In pratica e' possibile che l'utente non sia connesso direttamente al provider dell'operatore di rete radiomobile, ma si serva invece di qualsiasi altro provider presente sulla rete. D'altra parte, pero', quest'ultimo ha stipulato un accordo con il gestore di rete radiomobile per quanto riguarda i servizi di autenticazione (o anche per altri servizi quali per esempio il pagamento di beni acquistati in rete) .
Il provider fornitore di servizi è quindi qualsiasi entità' (ad esempio una banca) che fornisce un servizio riservato sulla rete in seguito a richiesta di un utente.
L'agente 72 che attua l'autenticazione è il modulo logico che coordina le interazioni tra il provider dei servizi 71, l'applicativo di omologazione 21 della carta SIM e l'I-VLR 52. Tale agente di autenticazione 72 può essere installato oppure può essere scaricato dal PC dell'utente.
Supponendo quindi che un provider "esterno" sia abilitato ad interrogare un nodo della rete gestita dall'operatore radiomobile, al fine di ottenere l'identità (fittizia o reale) di un cliente che sta accedendo al provider stesso per richiedere i suoi servizi, la figura 4 è un diagramma temporale delle interazioni descritte di seguito, tra i vari agenti quando l'utente fà richiesta di un servizio riservato.
A- Ovviamente e' il provider dei servizi a valutare che un servizio sia riservato, in pratica pero' si può ritenere che ciò corrisponda a sottoporre all'utente una form in rete in tempo reale, con una richiesta per qualche servizio per il quale il provider dei servizi vuole essere sicuro della autenticità dell'utente che attua la richiesta.
B- Il provider dei servizi 71 "attua la configurazione" dell'agente di autenticazione 72. Se l'agente è installato sul PC dell'utente 18 l'operazione di configurazione consiste nel disporre la stessa tramite le informazioni necessarie per effettuare le varie interazioni descritte di seguito. Se l'agente 72 non è installato sul PC dell'utente, l'operazione di configurazione corrisponde a scaricare l'agente sul PC dell'utente insieme con tutte le informazioni necessarie .
C- L'agente di autenticazione 72 acquisisce l'IMSI della carta SIM dell'utente.
D- L'agente di autenticazione 72 richiede all'I-VLR 52 l'autenticazione come carta SIM con l'IMSI fornito, utilizzando un canale di comunicazione sicuro (per esempio HTTPS). L'I-VLR 52 non soddisfa solo le richieste di autenticazione dal provider dei servizi 71, con il quale l'operatore di rete radiomobile ha un accordo, per questo motivo la richiesta viene accompagnata da una firma digitale del provider dei servizi stessi. La firma è parte delle informazioni con cui il provider dei servizi 71 configura l'agente di autenticazione 72.
E- L'I-VLR 52 richiede una tripletta di autenticazione dall'HLR-AUC 3 per il dato IMSI.
F- L'I-VLR 52 sollecita un agente di autenticazione con il numero random, casuale, dalla tripletta di autenticazione .
G- L'agente di autenticazione 72 ottiene la risposta firmata relativa al numero casuale, dalla carta SIM dell'utente, e la spedisce all'I-VLR 52.
H- L'I-VLR comunica la terminazione della procedura di autenticazione all'agente di autenticazione senza trasmettere l'esito della stessa; ciò al fine di evitare che l'utente possa alterare l'esito della transazione .
I- L'agente di autenticazione 72 comunica al provider dei servizi 71 che è stato autenticato; ciò può' corrispondere alla richiesta da parte dell'agente, della URL con la quale esso stesso era stato precedentemente configurato dal provider dei servizi 71. L- Il provider dei servizi fà richiesta dell'esito dell'autenticazione dell'utente all'I-VLR. La richiesta avviene su una connessione sicura (per esempio HTPPS).
M- L'I-VLR 52 restituisce quindi il risultato al provider dei servizi.
In funzione del fatto che il provider dei servizi rilevi oppure no l'autenticità dell'utente, esso fornirà il servizio riservato richiesto oppure apporrà un rifiuto.
Va notato che l'I-VLR memorizza tutte le transazioni relative alle richieste di autenticazione, e che l'I-VLR 52 e' caratterizzato dalla capacita' di interlavorare con la rete Internet, per gestire le richieste di autenticazione dai provider dei servizi .
D'altra parte lo stesso I-VLR interlavora specificamente con il provider dell'operatore di rete radiomobile per l'autenticazione degli utenti in seguito ad accesso riservato a detto provider.
VANTAGGI
E' evidente che la nuova architettura rende non necessaria una fase di autenticazione aggiuntiva presso le singole applicazioni poiché tutti gli accessi sono autenticati su base SIM all'accesso, come oggi in uso per i servizi di telefonia, (esempio ascolto segreteria 919, ascolto E-MAIL 9001). Inoltre le informazioni di registrazione all'accesso (associazione IP-MSISDN-IMSI) possono essere rese disponibili a tutte le applicazioni real time dell'operatore di rete.
In ogni caso l'I-VLR, in analogia con il VLR GSM, è in grado di documentare tutti gli accessi effettuati via provider dell'operatore di rete radiomobile, distinguendo se l'autenticazione effettuata è di tipo strong (GSM like) o di tipo lite (UserID e PWD) vale a dire senza carta SIM.

Claims (8)

  1. RIVENDICAZIONI 1. Tecnica di autenticazione per l'accesso a servizi telematici su rete fissa caratterizzata dal fatto di predisporre per default il collegamento del terminale di utente ad un provider di un operatore di rete radiomobile e di utilizzare i protocolli tipici di autenticazione dell'accesso alla rete radiomobile GSM fornendo una duplice modalità di autenticazione che prevede una prima procedura basata sull'utilizzo di una carta SIM comprendente le seguenti fasi operative : I - accesso dell'utente al servizio mediante selezione per via telefonica direttamente tramite i POP del provider dell'operatore di rete radiomobile, eliminando qualsiasi richiesta di configurazione manuale da parte dell'utente stesso, II - nella richiesta verso i router di accesso, in luogo dell'identificativo di utente, l'inserimento da parte del terminale di utente dell'IMSI ottenuto dalla carta SIM presente nel lettore, inoltrando, i router di accesso, l'IMSI ad un Internet - VLR (52) che autorizza l'attivazione della connessione dati dell'utente, attivando, parallelamente presso l'HLR la procedura standard di autenticazione GSM; III - attivazione della carta SIM, una volta aperto il canale dati con l'utente, da parte dell'Internet -VLR, per ottenere le informazioni di autenticazione da confrontare con quelle ottenute dall'HLR, III -i - richiedendo, in caso di esito negativo del confronto, 1 'Internet -VLR al router di accesso l'abbattimento della connessione, III -ii - permettendo l'accesso ad un server applicativo configurato per fornire servizi riservati nel caso la fase di autenticazione sia terminata con successo, ed una seconda procedura di autenticazione senza carta SIM, comprendente le fasi relative a: A - accesso dell'utente al servizio mediante selezione telefonica tramite i POP del provider dell'operatore di rete radiomobile, per cui verificata l'assenza della carta SIM, si richiede all'utente di inserire la coppia relativa a indentif icativo di utente e parola chiave, secondo le modalità fornite dall' operatore del servizio telematico; B - nella richiesta di accesso verso i router di accesso, invio da parte del terminale di utente, dell 'identificativo di utente e della parola chiave inserita dall'utente stesso, inoltrando i router di accesso le informazioni all'Internet -VLR che verifica l'abilitazione all'accesso mediante riscontro con i dati ottenuti per lettura dallo specifico server di autenticazione attuale, tramite protocollo RADIUS.
  2. 2. Tecnica di autenticazione per l'accesso a servizi telematici su rete fissa secondo la rivendicazione 1 caratterizzata dal fatto che un generico provider fornitore di servizi, abilitato ad interrogare un nodo gestito dall'operatore di rete radiomobile, utilizzi le procedure di autenticazione dell'accesso alla rete radiomobile GSM, per ottenere l'identità' dell'utente che sta accedendo al provider stesso per richiederne i servizi, impiegando l'utente del servizio radiomobile la carta SIM in suo possesso al fine di ottenere l'autenticazione riservata.
  3. 3. Tecnica di autenticazione per l'accesso a servizi telematici su rete fissa secondo la rivendicazione 1 caratterizzata dal fatto che conclusa la fase di autenticazione, da parte dell'Internet-VLR, venga inviato ai nodi che gestiscono il traffico l'associazione tra l'indirizzo IP assegnato ed il corrispondente MSISDN/IMSI autenticato, documentando detti nodi ogni transazione effettuata mediante l'inserimento in un corrispondente record dell'informazione relativa all'identità del cliente autenticata da rete GSM.
  4. 4. Tecnica di autenticazione per l'accesso a servizi telematici su rete fissa secondo la rivendicazione 1 caratterizzata dal fatto di comprendere per una procedura di autenticazione che utilizza una carta SIM, le seguenti fasi: A- richiesta dell'utente (18), all'agente di accesso (62) dell'operatore di rete radiomobile di connessione al NAS (60) del provider dell'operatore di rete stesso,· B- apertura da parte dell'agente di accesso (62) dell'operatore di rete radiomobile, di un collegamento PPP ad un NAS (60) dell'operatore di rete radiomobile; C- richiesta da parte del NAS dell'autenticazione dell' utente durante il collegamento PPP; D- recupero da parte dell'agente di accesso (62) dell'operatore di rete radiomobile dell'IMSI della carta SIM per fornirlo come identificativo di utente al NAS; E- richiesta da parte del NAS (60) dell'operatore di rete radiomobile dell'autenticazione dell'utente all 'Internet-VLR (52), tramite protocollo RADIUS; F- riconosciuta la richiesta come essere quella di una carta SIM del proprio operatore di rete 1 Internet-VLR, validazione da parte dell Internet-VLR, tramite accettazione dell'accesso RADIUS, richiedendo allo stesso tempo, una tripletta di autenticazione per la carta SIM, all'HLR-AUC (3); G- autorizzazione da parte del NAS (60) alla connessione dell'utente in modalità' IP al provider dell'operatore di rete radiomobile; H- attivazione in seguito alla ricezione della tripletta di autenticazione dall'HLR-AUC (3), da parte dell 'Internet-VLR (52), dell'agente di accesso (62) dell'operatore di rete radiomobile con il valore RAND; I- richiesta di attivazione da parte dell'agente di accesso (62) dell'operatore di rete radiomobile dell'applicativo di omologazione della carta SIM per attuare la criptazione dello scambio impiegando l'algoritmo GSM e restituzione delrisultato SRES all'Internet-VLR; L- se la SRES coincide con ciò' che 1'Internet-VLR si aspettava, registrazione dell'utente con il proxy (61) del provider dell'operatore di rete radiomobile comprendendo i parametri di registrazione l'IMSI, l'indirizzo IP assegnato ed un indicatore che specifica che l'autenticazione è derivata dalla carta SIM dell'utente. M- Se, la SRES non coincide con quello che 1'Internet -VLR (52) si aspettava, annullamento della connessione dell'utente al provider dell'operatore di rete radiomobile.
  5. 5. Tecnica di autenticazione per l'accesso a servizi telematici su rete fissa secondo la rivendicazione 1 caratterizzata dal fatto di comprendere per una procedura di autenticazione senza l'utilizzo della carta SIM, le seguenti fasi: A- richiesta da parte dell' utente (18) all'agente di accesso remoto (63) di connettersi al NAS del provider dell'operatore di rete; B- attivazione da parte dell'agente di accesso remoto (63) dell'apertura di un collegamento PPP a detto NAS (60). D- richiesta di autenticazione dell'utente da parte dell'agente di accesso remoto (63) in base al nome dell'utente e della parola chiave fornendole al NAS (60) del provider dell'operatore di rete radiomobile . E- richiesta di autenticazione dell'utente, all'Internet - VLR (52), da parte del NAS (60) del provider dell'operatore di rete, essendo detto Internet-VLR compatibile con l'interfaccia di autenticazione RADIUS; F- riconoscimento da parte dell'Internet-VLR, della condizione di assenza della carta SIM e richiesta di autenticazione dell'utente al server RADIUS (65) mediante reindirizzanento della richiesta di autenticazione ricevuta dall'agente di accesso remoto (63); G- se il server RADIUS 65 autorizza la richiesta di autenticazione, reindirizzamento da parte del-1 'Internet-VLR, dell'autorizzazione al NAS del provider dell'operatore di rete radiomobile e completamento dell'apertura del collegamento PPP da parte di quest'ultimo. H- registrazione da parte dell'Internet-VLR in seguito ad autorizzazione dal server RADIUS, da parte dell'utente con il proxy (61) del provider dell'operatore di rete radiomobile, comprendendo i parametri di registrazione 1'identificativo di utente, l'indirizzo IP assegnato ed un indicatore che specifica che l'autenticazione è stata ricavata dal nome dell'utente e dalla password di utente; I- se d'altra parte, il server RADIUS (65) rifiuta la richiesta di autenticazione, segnalazione di tale esito negativo da parte dell'Internet-VLR 52 al NAS del provider dell'operatore di rete radiomobile che pone fine al tentativo di apertura PPP, memorizzando comunque 1 Internet-VLR tutte le transazioni relative a richieste di autenticazione.
  6. 6. Tecnica di autenticazione per l'accesso a servizi telematici su rete fissa secondo le rivendicazioni 1 e 2 caratterizzata dal fatto di comprendere, per una procedura di autenticazione, richiesta da un generico provider fornitore di servizi per mezzo dell'operatore di rete radiomobile, le seguenti fasi operative : A-richiesta da parte di un utente per un servìzio riservato; B- configurazione da parte del provider dei servizi (71), dell'agente di autenticazione (72); C- acquisizione da parte dell'agente di autenticazione (72), dell'IMSI della carta SIM dell'utente. D- richiesta di autenticazione dell'agente di autenticazione (72) all'Internet-VLR (52) della carta SIM con l'IMSI fornito, utilizzando un canale di comunicazione sicuro; E- richiesta da parte dell'Internet-VLR (52) di una tripletta di autenticazione dall'HLR-AUC (3) per il dato IMSI; F- attivazione da parte dell'Internet-VLR di un agente di autenticazione con il numero random, dalla tripletta di autenticazione; G- invio all'Internet -VLR della risposta firmata relativa al numero casuale, da parte dell'agente di autenticazione, una volta che questi l'abbia ricevuto dalla carta SIM dell'utente; H- segnalazione dell'Internet-VLR della terminazione della procedura di autenticazione, all'agente di autenticazione,· I- segnalazione, da parte dell'agente di autenticazione (72), al provider dei servizi (71) dell'aw enuta autenticazione; L- richiesta, del provider dei servizi, relativa all'esito dell'autenticazione dell'utente, allo Internet-VLR; M- restituzione da parte dell'Internet-VLR, del risultato, al provider dei servizi, fornendo, questo ultimo, il servizio riservato solo se e' stata confermata l'autenticità dell'utente.
  7. 7. Struttura di rete telematica per l'autenticazione dell'accesso a servizi telematici su rete fissa caratterizzata dal fatto di comprendere dal lato della rete: I- un nodo (51), su cui sono residenti; i- protocolli (21) TACACS e RADIUS, dedicati alle procedure di autenticazione, ii- un applicativo Internet-VLR (52) in grado di svolgere funzioni di integrazione ed interfacciamento dell'ambiente IP con l'ambiente radiomobile effettuando l'autenticazione dell'accesso, sulla base di un procedimento di autenticazione mutua tra Internet-VLR e Client, ed essendo esso in grado di interlavorare con l'HLR (3') tramite MAP (14), per il reperimento delle chiavi relative allo specifico IMSI, ed, inoltre, interfacciandosi direttamente con almeno un server proxy 19 per permettere all'utente l'accesso a funzioni standard di Internet ed a servizi Internet/Intranet eventualmente riservati, con l'esecuzione in tempo reale del tracciamento del tipo di traffico effettuato dal Client precedentemente validato per mezzo della combinazione indirizzo IP e MSISDN, III- un server (53) per l'accesso ai servizi riservati del provider dell'operatore di rete radiomobile gestito propriamente dai sistemi informatici dell'operatore di rete radiomobile; e dal fatto di disporre presso l'utente di un lettore di smart card di tipo commerciale da collegare al suo terminale connesso a rete fissa e, per consentire l'interazione tra la SIM card e la rete GSM, i seguenti componenti SW: - applicativo per l'interconnessione tra il lettore smart card ed il terminale; - applicativo "keep alive", utilizzato dal terminale per verificare la presenta della SIM all'interno del lettore durante l'accesso al servizio, pena l'interruzione dell'accesso; - configurazione dell'unita' di selezione telefonica in modo da non richiedere al Client alcuna impostazione per ottenere la connessione agli accessi al provider dell'operatore di rete radiomobile; - browser plug-in, per consentire al browser di effettuare l'interrogazione della SIM.
  8. 8. Struttura di rete telematica per l'autenticazione dell'accesso a servizi telematici su rete fissa secondo la rivendicazione 7 caratterizzata dal fatto che l'Internet VLR (52) attui l'allineamento degli elementi di rete preposti all'autenticazione ed al tracciamento del traffico utenti aggiornando gli archivi su cui sono registrati gli accessi da parte dell'utenza tenendo in conto che questi siano avvenuti con autenticazione mediante carta SIM o mediante identificativo di utente e parola chiave.
IT2001RM000039A 2001-01-26 2001-01-26 Metodo di autenticazione mediante carta sim per accesso da rete fissa, a servizi telematici. ITRM20010039A1 (it)

Priority Applications (1)

Application Number Priority Date Filing Date Title
IT2001RM000039A ITRM20010039A1 (it) 2001-01-26 2001-01-26 Metodo di autenticazione mediante carta sim per accesso da rete fissa, a servizi telematici.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT2001RM000039A ITRM20010039A1 (it) 2001-01-26 2001-01-26 Metodo di autenticazione mediante carta sim per accesso da rete fissa, a servizi telematici.

Publications (2)

Publication Number Publication Date
ITRM20010039A0 ITRM20010039A0 (it) 2001-01-26
ITRM20010039A1 true ITRM20010039A1 (it) 2002-07-26

Family

ID=11455151

Family Applications (1)

Application Number Title Priority Date Filing Date
IT2001RM000039A ITRM20010039A1 (it) 2001-01-26 2001-01-26 Metodo di autenticazione mediante carta sim per accesso da rete fissa, a servizi telematici.

Country Status (1)

Country Link
IT (1) ITRM20010039A1 (it)

Also Published As

Publication number Publication date
ITRM20010039A0 (it) 2001-01-26

Similar Documents

Publication Publication Date Title
ES2281228B2 (es) Sistema, metodo y aparato para servicios federados de identificacion unica.
US7221935B2 (en) System, method and apparatus for federated single sign-on services
US8782759B2 (en) Identification and access control of users in a disconnected mode environment
US8108921B2 (en) Single-sign-on method based on markup language and system using the method
Perkins Mobile IP joins forces with AAA
CN1332521C (zh) 用于管理网络业务接入与登记的系统和方法
KR101116806B1 (ko) 데이터 처리 시스템의 사용자 인증 방법 및 장치
Nakhjiri et al. AAA and network security for mobile access: radius, diameter, EAP, PKI and IP mobility
ES2281760T3 (es) Metodo y aparato para implementar un acceso vpn seguro a traves de cadenas de certificado modificadas.
CN101569217B (zh) 不同认证基础设施的集成的方法和布置
US20130104204A1 (en) Mobile host using a virtual single account client and server system for network access and management
US20060195893A1 (en) Apparatus and method for a single sign-on authentication through a non-trusted access network
US20040064687A1 (en) Providing identity-related information and preventing man-in-the-middle attacks
WO2004034645A1 (ja) Wlan相互接続における識別情報の保護方法
CN103023856B (zh) 单点登录的方法、系统和信息处理方法、系统
US20040010713A1 (en) EAP telecommunication protocol extension
CN102739664A (zh) 提高网络身份认证安全性的方法和装置
CN103067337A (zh) 一种身份联合的方法、IdP、SP及系统
CN102938757B (zh) 共享网络中用户数据的方法和身份提供服务器
CN101771722B (zh) 一种WAPI终端访问Web应用站点的系统及方法
Pérez et al. Formal description of the SWIFT identity management framework
Lunde et al. Using SIM for strong end-to-end Application Authentication
ITRM20010039A1 (it) Metodo di autenticazione mediante carta sim per accesso da rete fissa, a servizi telematici.
Cremonini et al. Security, privacy, and trust in mobile systems and applications
Latze et al. Strong mutual authentication in a user-friendly way in eap-tls