JP4194046B2 - 無線ローカルエリアネットワークアクセスにおけるsimベース認証および暗号化システム、装置および方法 - Google Patents

無線ローカルエリアネットワークアクセスにおけるsimベース認証および暗号化システム、装置および方法 Download PDF

Info

Publication number
JP4194046B2
JP4194046B2 JP2004502552A JP2004502552A JP4194046B2 JP 4194046 B2 JP4194046 B2 JP 4194046B2 JP 2004502552 A JP2004502552 A JP 2004502552A JP 2004502552 A JP2004502552 A JP 2004502552A JP 4194046 B2 JP4194046 B2 JP 4194046B2
Authority
JP
Japan
Prior art keywords
authentication
protocol
access controller
point
wireless terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2004502552A
Other languages
English (en)
Other versions
JP2005524341A (ja
Inventor
ロドリゲス、イエス、エンジェル デ グレゴリオ
リョレンテ、ミゲル、エンジェル モンハス
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2005524341A publication Critical patent/JP2005524341A/ja
Application granted granted Critical
Publication of JP4194046B2 publication Critical patent/JP4194046B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2858Access network architectures
    • H04L12/2859Point-to-point connection between the data network and the subscribers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/005Discovery of network devices, e.g. terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/10Small scale networks; Flat hierarchical networks
    • H04W84/12WLAN [Wireless Local Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

(発明の分野)
本発明は一般的に無線ローカルエリアネットワークシナリオにおける認証および暗号化機構に関する。特に、本発明はSIMベース認証システムおよび方法および端末装置からの通信パスを保護するレイヤ−2暗号化機構に関する。
(背景)
1999年に、11Mbpsのレートで無線ローカルエリアネットワーク(WLAN)にアクセスするための仕様802.11bがIEEEにより出版された。この標準は産業により広く支持されてきており、空港、ホテル、カフェその他の公にアクセス可能なホットスポットだけでなく、企業会社内に設置された巨大なベースを有する。
この仕様802.11bは機密性だけでなくある程度の認証およびアクセス制御機構を提供するが、無線パス内だけである。この点で、この標準には2つの認証方法、すなわち“オープンシステム”および“共有システム”が規定されている。
オープンシステムが使用される場合、端末装置(TE)内のWLANカードはWLANアクセスポイント(以後、APと略す)に結合したいことを告げる。認証は実施されず、たとえば、メディアアクセス制御(MAC)フィルタおよびサービスセット識別子(SSID)のような、ある基本的アクセス制御機構だけが使用される。
これらのMACフィルタは、アクセス制御リスト(ACL)等の、APにより維持されるリストにそのMACアドレスが属するWLANカードしかAPへの結合を許されないように働くようにされている。結合しようとするエンティティのアイデンティティは実際にはユーザに属せず装置自体に属するため、このアクセス制御機構の有用性は制限される。端末やカードが盗まれると、盗難装置によるリソースへのアクセスを防止するユーザベース認証はない。さらに、WLANカードのMACアドレスは常にWLANフレームのヘッダ内に現れるため、MAC−アドレスなりすましはありふれた攻撃である。市場の大概のWLANカードはソフトウェア手段を使用するだけでそのMACアドレスを変えられるため、これは特に関連性がある。
他方のアクセス制御機構は前記したサービスセット識別子(SSID)であり、それは端末装置(TE)が結合を試みているWLANのインスタンスを識別するアルファニューメリックコードである。定められたAPしか正しいSSIDを提供するWLANカードの結合を許すことができない。しかしながら、この識別子は通常APにより同報されるため、たとえベンダにより設定されたデフォルト値を変えなくても、複数の既知の攻撃が生じることがあるためこのアクセス制御機構も役に立たない。
前記した第2の認証方法はいわゆる共有鍵である。この手順は、RC4に基づく対称暗号化アルゴリズムである、Wired Equivalent Privacy(WEP)標準により提供される基本機密性機構内に埋め込まれる。このようにして、認証は両方のパーティ、WLANカードおよびAP、が同じ鍵を所有することを示すチャレンジ−レスポンス機構を使用して実施される。しかしながら、この鍵は端末装置(TE)内にインストールされ格納されるため、MACフィルタについて記述したのと同じ欠点に苦しむ。
さらに、いくつかの最近出版された論文にはプライバシ機構自体の基本的欠点、すなわち、WEP標準の欠点が示されている。これらの欠点はスタティックWEP鍵の使用により始まり、アルゴリズムの初期化ベクトルはWEPフレーム内で自由に送られるため、アタッカが鍵自体を見つけ出すのを許す。たとえば、トラフィックを探知するだけのWLANカードのようないくつかの受動攻撃も鍵の推定を許す。
最初は、より良い鍵管理により鍵をリフレッシュし、それらの長さを、たとえば40から128ビットに増すだけでアルゴリズムをより安全にすることができ、少なくとも、容認できるセキュリティを達成するのに十分安全にできるものと思われた。しかしながら、このようなアルゴリズム設計は容認できるセキュリティレベルを提供することができないことを証明する報告書が最近次第に増えてきている。
今日、産業および代表的なフォーラムにより現在適用可能な標準内の欠点を解決する努力がなされている。IRRRは既存の802.11bの認証機構を改善する新しい標準を現在規定しており、その結果はいわゆる802.11x標準、“Port-Based Network Access Control”として出版することができるが、この作業は未完である。さらに、この方法は認証しか考慮せず、そのため適切な機密性アルゴリズムがまだ必要である。この点で、現在の傾向はいわゆるAdvanced Encryption System(AES)プロトコルに基づくプロトコルがWEPに替わることを示唆している。それにもかかわらず、802.11xに示唆されたポートベース認証機構はTE動作システム上およびAPの適用可能ソフトウェア内で著しいインパクトを有し、それは802.11xがWEP、そしてWEP自体、に基づく認証機構に替わるものを捜すにすぎないためである。
短期的には、定められたWLANの全てのAPを置換または、少なくとも、グレードアップしなければならないため、前記した未解決の欠点がある、この新しい標準802.11xを大規模に採用することはWLAN装置内の新しい投資に通じる。さらに、幾分明らかなように、任意のWLAN機密性機構はワイヤレスパス上、すなわち、WLANカードおよびAP間の保護しか行わない。しかしながら、APを超える対応するイーサネット(登録商標)トラフィックは全く暗号化されない。
したがって、この段階においてユーザの端末装置から始まる全通信パスにわたる完全な暗号化機構だけでなく、WLANユーザの有効な認証機構を許す手段および方法を提供することが本発明の重要な目的である。
(関連技術)
手短に言えば、前記したように、現在のWLAN適用可能標準、すなわち802.11における認証はTEを認証するのにWLANカードの物理的MACアドレスが使用される時は存在しないか、あるいはデバイスベースである。その脆弱さで知られるWLAN内のようにWEPプロトコルを介して達成された暗号化が容認できるセキュリティを維持するのに適切な異なるセクタから見つからない場合、これは規模の配置に対して明らかに実現不能である。
対照的に、GSM,GPRS,またはUMTS等の従来のおよびより新しい公衆地上移動電話網における認証はSIMカードおよび一組のセキュリティ証明プロトコルおよび“Authentication and Key Agreement”(以後、AKAと略す)アルゴリズムとして知られるアルゴリズムにより行われる。SIMは個人使用に設計されるためいわゆるSIMベース認証はユーザベースであり、アクセスPINにより保護される。
今日、モバイルオペレータはブロードバンドアクセスを含めることによりネットワークのアクセスにおいて自分の申し出を拡張したいと思い、大部分はWLAN内の無許可スペクトルバンドの使用により、極端に低い展開コストを維持しながら、WLAN技術は11Mbpsまでのアクセスレートでそれを可能にする。モバイルオペレータは自分のWLANをインストールするか既存のWLANオペレータとの合意に署名することによりこれを達成することができるが、いずれの場合も、セキュリティ要求条件は少なくともオペレータコアネットワークへのモバイルアクセスの場合と同じぐらい強力でなければならない。
これを達成するために、WLANオペレータはSIMカードの所持を示唆する認証および暗号化機構を申し出なければならない。このSIMカードはモバイルオペレータにより発行しなければならず、モバイルアクセスに使用したのと同じSIMとすることができ、あるいはWLANアクセスだけの目的で発行されたSIMとすることができる。
サードパーティにより操作される従来のWLANにはそれ自体のローカルユーザがいることもあり、前記ローカルに対して実施される認証はまったくWLANオペレータしだいである。たとえば、ローカルユーザに対するこの認証はユーザアイデンティティプラスパスワードだけに基づくことができ、セキュリティは全くないことさえある。しかしながら、モバイルオペレータに加入しているこれらのユーザに対して、前記WLANを介した認証および他のセキュリティ問題はモバイルオペレータのネットワークにおけるものに匹敵しなければならない。一方、モバイルオペレータだけにより配置され操作されるWLANはそのモバイルオペレータに所属しないユーザへのアクセスを否定しなければならず、SIMカードに基づいた認証機構だけをインプリメントしなければならない。
それにもかかわらず、WLAN内に新しいより安全な認証および暗号化機構を導入する任意の試みは現在のWLANシナリオ内で生じるインパクトをできるだけ少なくするよう努力しなければならない。
前記問題を解決するためのたいへん興味ある試みが米国特許出願公開公報第2002/0009199号“Arranging Data Ciphering in a Wireless Telecommunication System”に記述されている。この出願の教示はSIMベース認証方式も公開している。
しかしながら、このSIMベース認証方式はTEおよびAP間のトラフィック暗号化用802.11発生WEPアルゴリズムの鍵として使用される暗号鍵を引き出そうとするものである。この出願が提唱する既存のWEPの能力に優る主要な利点はセション毎に1回鍵を更新する新しい機構の追加である。それ以外では、この出願は基本的に現在のWEP標準の修正バージョンであり、オリジナルWEPバージョンに対して前記した基本的問題を解決しない。
それにもかかわらず、産業の異なるセクタは既知のWEP攻撃がWEP鍵を2時間もかけずに推測できると評価している。オリジナルWEPバージョンのように、WEP鍵がスタティックであって更新されていなければ、問題は遥かに重大である。したがって、US2002/0009199に提示された方法により問題は定められたセションの持続時間の限界に制限され、セションが数時間にわたって広がる場合には、前と同じ問題が生じる。これは現在の公衆地上移動電話網におけるものと同じセキュリティレベルを与えるのに明らかに不十分である。
この点で、オペレータが自分のセキュリティ必要性により適した暗号化アルゴリズムを選択できるようにするよりずっと高いセキュリティレベルを達成することが本発明の目的である。セキュリティレベルと性能の間には通常トレードオフがあることに注目されたい。したがって、たとえばAES等の、最新の最もセキュアなアルゴリズムをサポートするだけでなく、128,168,256ビット等の長さの鍵をサポートする等の付加機能、および鍵ローテーション手順も本発明のもう一つの目的と考えることができる。
さらに、前記出願US2002/0009199に従って、WEPは無線パスにしか適用されないため、暗号化パスは移動端末からAPへ行く。この点で、APを超えて確立されかつWLANの有線部もカバーする暗号化パスに対するサポートは本発明のもう一つの目的である。
さらに、US2002/0009199はIPアドレスの割当てが認証手順を実行する前に行われ、したがって、悪意あるユーザは既知の攻撃の全セットを潜在的に開始することができることを教示している。しかしながら、ユーザが有効に認証される前にIP接続性を得る手段を持たなければ、リスクは著しく減少する。したがって、前記ユーザにIP接続性を与える前に実施されるユーザに対する認証機構を提供することが本発明のもう一つの目的である。
一方、米国特許出願第2002/012433号およびWO01/76297は、いくつかの典型的な実施例により、無線適応端末が無線IPアクセス網を介してホーム移動網に接続することができるシステムを開示している。ホーム移動網はSIMベース認証によりユーザを認証する責任があり、無線IPアクセス網はユーザが認証されたらイーサネット(登録商標)網へアクセスするのを許す。無線端末、無線IPアクセス網、および移動網は全てモバイルIPプロトコルで通信する。このシステムは無線アクセス網からイーサネットサービスへのアクセスを制御する公衆アクセスコントローラも含んでいる。この公衆アクセスコントローラはIPアドレスを無線端末に割当てインターネットへの接続が確立される前に無線端末を認証し、無線端末およびホーム移動網間で認証メッセージを中継する。さらに、無線端末および公衆アクセスコントローラ間のインターフェイスはIPベースインターフェイスであり、公衆アクセスコントローラおよび無線端末は各IPアドレスにより互いに識別される。公衆アクセスコントローラおよび無線端末がIPベースプロトコルを使用するという事実は無線端末が本当に最初からIPアドレスを割当てられることを不可欠とし、このIPアドレスはセキュアなチャネル通信を確立する前に公衆アクセスコントローラから無線端末へ送られている。したがって、IPアドレスの割当てが認証プロセスを実行する前になされる事実により前記米国特許出願公開公報第2002/0009199号と同じ問題が生じ、悪意あるユーザは既知の攻撃の全セットを潜在的に開始することができる。
要約すれば、本発明の重要な目的は有効なSIMベースユーザ認証を許しかつ、TEから開始して、公衆地上移動電話網の加入者であるWLANユーザに対して完全な暗号化パスを確立するシステム、手段および方法を提供することである。もう一つの特に重要な目的はこのSIMベースユーザ認証は前記ユーザにIP接続性を与える前に実施できることである。
本発明のもう一つの目的は、可変長鍵のサポート、オペレータ選択によるセキュリティアルゴリズムの使用、および鍵ローテーション手順の提供である。
本発明のさらにもう一つの目的は、従来のWLANシナリオへのインパクトを最小限に抑えて前記目的を達成することである。
(発明の概要)
本発明の目的はデータリンクレイヤ(レイヤ−2)認証機構により、公衆地上移動電話網の加入者である無線ローカルエリアネットワークのユーザにSIMベース認証を許す方法により達成される。この方法の重要な側面は認証プロセスがうまく完了している時しかユーザにIP接続性が提供されないことである。
したがって、本発明の目的は無線端末がアクセス可能なアクセスポイントを見つけて無線ローカルエリアネットワークへの結合(association)を要求し、アクセスポイントがそれに対する要求を受け入れる方法により達成される。次に、無線端末はアクセスポイントおよび公衆地上移動電話網間に配置されたアクセスコントローラの発見を開始する。
次に、無線端末はポイント・ツー・ポイントレイヤ2プロトコルのすぐ上(直上)のユーザ識別子(user identifier immediately on top of a Point-to-Point layer 2 protocol)をアクセスコントローラへ向けて送り、それはポイント・ツー・ポイントレイヤ2プロトコルの上(上方)に受信したユーザ識別子(user identifier received on top of a Point-to-Point layer 2 protocol)をアプリケーションレイヤに常駐する認証プロトコルへ上向きにシフトする。
続いて、アクセスコントローラは公衆地上移動電話網における認証ゲートウェイへ向けてユーザ識別子を送り認証手順を開始する。
認証手順が開始すると、アクセスコントローラは認証ゲートウェイを介して公衆地上移動電話網から認証のチャレンジを受信し、アプリケーションレイヤと同じプロトコルで受信した認証チャレンジをポイント・ツー・ポイントレイヤ2プロトコルの上に下向きにシフトする。認証チャレンジは認証レスポンスを引き出すためにアクセスコントローラにより無線端末へ向けて送られている。
次に、無線端末はポイント・ツー・ポイントレイヤ2プロトコルのすぐ上の認証レスポンスをアクセスコントローラへ向けて送ることができ、それはポイント・ツー・ポイントレイヤ2プロトコルの上に受信した認証レスポンスをアプリケーションレイヤの認証プロトコルへ上向きにシフトする。認証レスポンスは認証ゲートウェイを介して公衆地上移動電話網から暗号化鍵を受信するアクセスコントローラから認証ゲートウェイへ向けて送られている。
続いて、アクセスコントローラは無線端末との通信パスをさらに暗号化するためにアプリケーションレイヤにおけるプロトコルで受信した暗号化鍵を抽出し、アクセスコントローラは割当てられたIPアドレスおよび他のネットワーク構成パラメータを無線端末へ向けて送る。
それにより、全体通信パスにおいて、移動端末は無線通信網で使用されるのと同様なセキュリティ認証機構を付加する利点が提供され、無線パスおよび有線パスにおいて機密性を得ることを意味する。オペレータはそのアクセス網を拡張してローカライズドブロードバンドアクセス(11Mbps)を非常にローコストで提供することができる。
また、本発明の目的を達成するために無線端末と通信するためにOSIレイヤ2に常駐するポイント・ツー・ポイントサーバを含むアクセスコントローラ、および公衆地上移動電話網と通信するためにOSIアプリケーションレイヤに常駐する認証プロトコルが提供される。さらに、このアクセスコントローラはポイント・ツー・ポイントレイヤ2プロトコルの上に受信した情報をアプリケーションレイヤに常駐する適切な認証プロトコルへ上向きにシフトする。同様に、アクセスコントローラはアプリケーションレイヤに常駐する認証プロトコルで受信した情報をポイント・ツー・ポイントレイヤ2プロトコルの上に下向きにシフトする。
本発明の目的を完全に達成するために、ポイント・ツー・ポイントレイヤ2プロトコルクライアントとして作用しかつこのポイント・ツー・ポイントレイヤ2プロトコルにすぐ続く拡張可能認証プロトコル(Extensible Authentication Protocol)を有する機能を含む無線端末も提供される。
本発明により提供される全体解決策により、少なくとも一つのアクセスポイント、公衆地上移動電話網、少なくとも一つの前記した無線端末、および前記したアクセスコントローラを含む無線ローカルエリアネットワークを含む電気通信システムが得られる。
(好ましい実施例の詳細な説明)
添付図と共に本明細書を読めば本発明の特徴、目的および利点が明らかになる。有効なSIMベースユーザ認証を許しかつ公衆地上移動電話網の加入者であるWLANユーザに対してTEから始まる完全な暗号化パスを確立する手段、方法およびシステムの現在の好ましい実施例について以下に説明する。
したがって、好ましい実施例の全体スケッチが図1に提示され、他のローカル非モバイルユーザだけでなく、公衆地上移動電話網(GSM/GPRS/UMTS)の加入者が無線ローカルエリアネットワーク(WLAN)にアクセスする一般的なシナリオを示している。図1のこの一般的なシナリオは、本発明の一つの目的を達成するために既存の従来のWLAN上への衝撃を最小限に抑えるための特に単純なアーキテクチュアを提案する。この単純なアーキテクチュアはWLANおよび公衆地上移動電話網からの異なるエンティティを含み、それについては後述する。図2は公衆地上移動電話網の加入者だけにアクセスを与えローカルWLANユーザのいないWLANに対する本発明のもう一つの実施例に従ったより単純化されたアーキテクチュアを提示する。
図1および2における第1のエンティティは端末装置(TE)であり、Authentication and Key Agreement(AKA)プロトコルに従って必要なシグナリング情報を送受信するだけでなく、ユーザのSIMカードにインターフェイスするのに必要なハードウェアおよびソフトウェアを備えている。TEはRFC2516に従ってPoint-to-Point Protocol over Ethernet(登録商標)(PPPoE)プロトコルをインプリメントするのに必要なソフトウェアも含んでいる。
このようなPPPoEを含むことにより、クライアントはWLANドメイン内の特定のサーバとのPoint-to-Point Protocol(PPP)セションを確立することができる。これは既存の認証機構、たとえばExtensible Authentication Protocol(EAP)、および暗号化パスをWLANの有線部に沿って拡張してより高いセキュリティレベルを提供する、RFC1968に従ったPPP Encryption Control Protocol(以後、“PPP暗号化”と呼ぶ)のような、暗号化プロトコルでてこ入れするための非常に簡便な実施例である。
図1および2のシナリオにおける他のエンティティは、いかなる付加論理もなく、標準802.11bに従った簡単な標準無線局として挙動するアクセスポイントである。今度の標準802.1xについて説明した可能な他の解決策とは異なり、本発明により提供される方法ではWLAN内に存在する全てのAPを置換またはグレードアップする替わりに低廉な既存のハードウェアを再利用することができる。このようなWEPはPPPoEレイヤにすぐ続いてインプリメントされるセキュリティ機構に比べて僅かなセキュリティしか提供しないため、これらの元のままのAPはWEPサポートがターンオフされたこのシナリオにおいて実行することができる。
本発明の一側面に従って、新しいエンティティ、必要なPPPoEサーバ機能を含む図1および2のアクセスコントローラ(以後、ACと呼ぶ)、が提供される。このPPPoEサーバは、PPPoEプロトコル内の組込機構により、すなわち同報メッセージにより開始されるハンドシェークを介して端末装置(TE)により自動的に発見される。このアクセスコントローラ(AC)はPPPの上に運ばれたEAP属性を介して受信した(received through EAP attributes carried on top of a PPP)クライアント証明書(client credential)を集め、今RDIUSメッセージの上に運ばれたやはりEAP属性を介して、それらを従来のWLAN認証サーバ(WLAN−AS)へ向けて送る責任があるRADIUSクライアント機能も含んでいる。このアクセスコントローラ(AC)のようなコンポーネントも本発明の目的に対するコア部である。
アクセスコントローラおよび、端末装置内に埋め込まれる、前記したPPPoEクライアントは共に暗号化パスを確立するだけでなくチャレンジ−レスポンス認証手順をトンネリングするための協働するエンティティである。
図1に示す最も一般的なシナリオにしか存在しないもう一つのエンティティは、モバイルオペレータに所属せず、そのため簡単なユーザおよびパスワードマッチング等の他の手段により認証されることがあるローカルWLANユーザに対するローカル認証者サーバの機能をインプリメントするWLAN−認証サーバ(WLAN−AS)である。アクセスコントローラから認証メッセージを受信して公衆地上移動電話網オペレータのドメイン内の認証ゲートウェイ(以後、AGと呼ぶ)へ向けて転送する時に、このWLAN−ASはRADIUSプロキシの役割も果たす。
WLAN−ASは公衆地上移動電話網のモバイル加入者ではない自分のWLANユーザを認証する本発明の目的のためだけに必要なものである。したがって、移動網の加入者だけにアクセスを与えるためのWLANは、前記モバイル加入者の認証に影響を及ぼすことなくかつ暗号化パスを確立することなくこのようなエンティティを免れることができる、本発明の範囲。この点で、図2はWLAN−ASが含まれない前記した公衆地上移動電話網の加入者だけにアクセスを与えるWLANに対する単純化されたアーキテクチュアの実施例を提示する。
図1および2のシナリオに含まれるもう一つのエンティティは単独のまたは移動加入者ユーザデータを格納するためにホームロケーションレジスタ(HLR)と協働する認証ゲートウェイ(以後、AGと呼ぶ)である。この認証ゲートウェイ(AG)は、単独またはHLRと組み合わせて、オペレータドメイン内側の認証バックエンドサーバとして作用し、GSM,GPRSおよびUMTS等の従来のおよび新しい公衆地上移動電話網に対するAKAプロトコルに従って認証ベクトルの発生を管理している。これらのコンポーネント、すなわちAGおよびHLR、はMobile Application Part(MAP)プロトコルにより互いに通信する物理的に独立したエンティティとすることができ、あるいは、AKAにおける必要なアルゴリズムのインプリメンテーションと共に、既知のA5,A8等の加入者データベースが組み込まれたRADIUSサーバとして作用する単一論理エンティティとすることができる。後者の方法では、図2に示す例のように、HLRに向かう通信は不要である。
手短に言えば、アクセスコントローラ、端末装置に埋め込まれる前記したPPPoEクライアント、およびこの認証ゲートウェイは本発明の目的に対するコアエンティティである。このようなエンティティ内に常駐する機能に対する特定の説明は単なる例に過ぎず、制約的意味合いは無い。
図3はOpen System Interconnection(OSI)モデルに関するアクセスコントローラ(AC)内に含まれる異なるプロトコルレイヤを示す。IPレイヤの下に常駐するPPPoEサーバはイーサネットレイヤ上に自然に常駐するPPPoEプロトコルレイヤを含み、前記したEAPが埋め込まれている。同様に、RADIUSクライアントはRADIUSプロトコルレイヤを有し、EAPが埋め込まれており、UDPレイヤ上に常駐し、共にIPレイヤ上に常駐する。
一方、異なるエレメントが現在の好ましい実施例に従って本発明のある側面を実施する方法が図4に示すアクションのシーケンスに関して以下に説明される。
前記した端末装置(TE)には移動端末により運ばれるSIMカードへのアクセスを許す移動端末アダプタ(MTA)が備えられている。このTEはWLANのAPと通信する(C−401,C−402)トランシーバを有し、RFC2516に従ってPPPoEをインプリメントする適切なソフトウェアスタックを含んでいる。
アクセスコントローラ(AC)にはPPPoEサーバが埋め込まれている。PPPoEクライアントによるPPPoEサーバの発見はプロトコル自体の一体部である(C−403,C−404,C−405,C−406)。PPPリンク上のTEにより使用されるアイデンティティ(C−407,C−408)はネットワークアクセス識別子(NAI)であり、それは必要なダイヤルアップセションを確立するためにユーザにより入力され、その領域はユーザを定められたモバイルオペレータの加入者として識別するのに使用される。認証は他の手段によって行われるためパスワードは不要である。あるいは、NAIを送る替わりにIMSIをSIMカードからフェッチしてユーザアイデンティティとして送ることができる。これはIMSIをクリアテキスト内で送ることが容認できる場合しか使ってはならず、そうではない場合もある。
EAP機構の助けによりユーザアイデンティティを受信すると、アクセスコントローラ(AC)はWLAN−ASサーバへ認証メッセージを送る(C−409)RADIUSクライアントを有する。TEおよびAG間で認証情報を運ぶために、Extensible Authentication Protocol(EAP)はPPPおよびRADIUSの上方で実行される(run on top of PPP and RADIUS)。EAPの内側で使用される認証機構は公衆地上移動電話網内で使用される従来のAKAとすることができる。前記したように、WLAN−ASは正規のWLANユーザに対する認証サーバとして作用し、その認証はSIMベースではなく、さらに、そのNAIの領域部がそれらを移動網の加入者として識別してSIMベース認証を使用するようなユーザに対する認証プロキシとして作用する。次に、認証プロキシとして作用する時に、WLAN−ASは受信した認証メッセージを認証ゲートウェイ(AG)へ転送する(C−410)。
認証ゲートウェイは認証要求を受信すると(C−410)、MAPインターフェイスを使用してHRLに認証ベクトル(C−411)、トリプレットまたはクィンテット、を要求する。このタスクに対して、認証ゲートウェイ(AG)はそのNAIがRADIUSメッセージで送られている加入者のIMSIを知らなければならない。このIMSIは、たとえば、ディレクトリデータベース内のルックアップにより発見することができる。HLRはユーザに対する要求された認証情報を返答する(C−412)。
次に、AGは認証ベクトルのRANDコンポーネントをEAP属性内にカプセル化し、それをWLAN−ASを介して(C−413)RADIUSメッセージ内側のACへ向けて返送する(C−414)。UMTS等の新しい移動網のユーザに対しては、AUTN等のメッセージを送ることも必要である。
次に、ACは受信したEAP情報をPPPメッセージ内のTEへ転送する(C−415)。ここでは、ACはPPPおよびRADIUS等の“キャリア”プロトコル間のEAP情報の“パススルー”として挙動する。
TEはEAPを受信すると、RAND数を抽出しそれを使用してSIMにチャレンジして返答(RES)を発生し、それは再度PPPおよびRADIUSを介して送信されたEAPを介してAGへ返送される(C−416,C−417,C−418)。前と同様に、UMTSユーザに対してTEは最初にAUTNに基づいてネットワークを認証する。この段階で、TEはAKA内に規定された標準アルゴリズムに従って暗号化鍵を発生することに注目しなければならない。この鍵はRFC1968に記述されたPPP暗号化制御プロトコルで使用される一つまたは多数のセション鍵、および既存のPPP暗号化アルゴリズムのいずれか、たとえば、PPPトリプル−DES暗号化プロトコル、RFC2420を引き出すシード、すなわちキーイングマテリアル、として使用される。
AGはEAPレスポンスを受信して(C−418)チャレンジの有効性をチェックする。AKA暗号化鍵(Kc)は図示せぬ認証センター(AuC)と恐らく協働するHLRからの認証ベクトル内で予め受信されている。次に、AGはAKA暗号化鍵(Kc)をPPPoEが常駐するACに通信する(C−419,C−420)。これは EAP-Success が送信される Access-Accept RADIUS メッセージ内で行うことができるが、このEAPコマンドはいかなる付加データも運ぶことができないため、RADIUS Vendor Specific Attribute(VSA)がより価値あるオプションとなることがある。
この段階で、ACはAccess-Accept RADIUSメッセージを受信し(C−420)Dynamic Host Configuration Protocol(DHCP)サーバからIPアドレスを要求し、このIPアドレスはさらにTEへ送られる。ACはTEと同じアルゴリズムに従ってPPP暗号化制御プロトコルおよび選択されたPPP暗号化アルゴリズム(たとえば、3DES)で使用されるAKA暗号化鍵(Kc)からセション鍵を引き出す。最後に、ACはIPアドレス、IPネットマスク、DNSサーバ、等の前記TEへ向けた他の構成パラメータと共にEAP-successメッセージをTEに送る(C−421)。次に、PPPリンクが完全に確立されネットワークフェーズに入る準備が完了する。
モバイルおよび非モバイルユーザによりアクセスすることができるWLANを介してアクセスする従来の移動網のユーザがどのように自分自身の移動網により認証されかつTEから自分自身の移動網への暗号化パスを有することができるかの実施例を示す図である。 公衆地上移動電話網のユーザしかアクセスしないWLANに適用できる、図1のそれに匹敵する単純化されたアーキテクチュアを示す図である。 PPPoEサーバおよび Extensible Authentication Protocol が常駐するRADIUSクライアントを含むアクセスコントローラの実施例を示す略図である。 WLANエンティティ全体にわたってTEから移動網に対して実施されてSIMベースユーザ認証を行うアクションの典型的なシーケンスを基本的に示す図である。

Claims (25)

  1. 公衆地上移動電話網の加入者である無線ローカルエリアネットワークのユーザにSIMベース認証を許す電気通信システムにおける方法であって、前記方法は、
    (a)無線端末がアクセス可能なアクセスポイントを介して無線ローカルエリアネットワークにアクセスするステップと、
    (b)アクセスポイントおよび公衆地上移動電話網間に配置されたアクセスコントローラを無線端末から発見するステップと、
    (c)アクセスコントローラを介して無線端末および公衆地上移動電話網間でチャレンジ−レスポンス認証手順を実施するステップであって、無線端末にはSIMカードが提供されそのデータを読み取るようにされているステップと、を含み、
    前記方法はステップc)のチャレンジ−レスポンス認証提出(submissions)がユーザにIP接続性を提供する前に行われ、かつ、
    −無線端末およびアクセスコントローラ間のポイント・ツー・ポイントレイヤ2プロトコル(PPPoE)の上に、および
    −公衆地上移動電話網およびアクセスコントローラ間のアプリケーションレイヤに常駐する認証プロトコル上に運ばれる、ことを特徴とし、
    前記方法は、さらに、
    (d)前記ユーザが公衆地上移動電話網により有効に認証されておれば、割当てられたIPアドレスおよび他のネットワーク構成パラメータを送ることにより、無線端末においてユーザにIP接続性を提供するステップ、
    を含む方法。
  2. 請求項1に記載の方法であって、アクセスコントローラを発見するステップb)は無線端末内のPoint-to-Point over Ethernet(登録商標)(PPPoE)プロトコルクライアントおよびアクセスコントローラ内のPoint-to-Point over Ethernet(登録商標)(PPPoE)プロトコルサーバ間でポイント・ツー・ポイントプロトコルセションを確立するステップを含む方法。
  3. 請求項1に記載の方法であって、チャレンジ−レスポンス認証手順を実施するステップc)は、
    (c1)アクセスコントローラを介して無線端末から公衆地上移動電話網へユーザ識別子を送るステップと、
    (c2)無線端末において公衆地上移動電話網からアクセスコントローラを介して認証チャレンジを受信するステップと、
    (c3)無線端末において受信したチャレンジから暗号化鍵および認証レスポンスを引き出すステップと、
    (c4)アクセスコントローラを介してワイヤレス端末から公衆地上移動電話網へ認証レスポンスを送るステップと、
    (c5)アクセスコントローラにおいて公衆地上移動電話網から暗号化鍵を受信するステップと、
    (c6)無線端末との通信パスをさらに暗号化するために受信した暗号化鍵を抽出するステップと、
    を含む方法。
  4. 請求項2に記載の方法であって、さらに、ポイント・ツー・ポイントレイヤ2プロトコル(PPPoE)の上に受信した認証情報をアプリケーションレイヤに常駐する認証プロトコルへ上向きにシフトさせて公衆地上移動電話網へ向けて提出するステップを含む方法。
  5. 請求項4に記載の方法であって、さらに、アプリケーションレイヤに常駐する認証プロトコルで受信した認証情報をポイント・ツー・ポイントレイヤ2プロトコル(PPPoE)の上に下向きにシフトさせて無線端末へ向けて提出するステップを含む方法。
  6. 請求項3に記載の方法であって、さらに、アクセスコントローラおよび無線端末において予め引き出された暗号化鍵を使用して、対称暗号化パスを無線端末において確立するステップを含む方法。
  7. 前記いずれかの項に記載の方法であって、IPアドレスを送るステップd)はこのようなIPアドレスをDynamic Host Configuration Protocol サーバから要求する前のステップを含む方法。
  8. 前記いずれかの項に記載の方法であって、アクセスコントローラおよび公衆地上移動電話網間の通信は前記公衆地上移動電話網の認証ゲートウェイを通過する方法。
  9. 前記いずれかの項に記載の方法であって、アクセスコントローラおよび公衆地上移動電話網の認証ゲートウェイ間の通信は、移動加入者ではない前記無線ローカルエリアネットワークのローカルユーザの認証を管理している無線ローカルエリアネットワークの認証サーバを通過する方法。
  10. 前記いずれかの項に記載の方法であって、ステップc1)におけるユーザ識別子はネットワークアクセス識別子を含む方法。
  11. 前記いずれかの項に記載の方法であって、ステップc1)におけるユーザ識別子は国際移動加入者識別(International Mobile Subscriber Identity)を含む方法。
  12. 前記いずれかの項に記載の方法であって、ステップc)においてアプリケーションレイヤに常駐する認証プロトコルは拡張可能認証プロトコル(Extensible Authentication Protocol)である方法。
  13. 請求項12に記載の方法であって、このExtensible Authentication ProtocolはRadiusプロトコルを介してトランスポートされる方法。
  14. 請求項12に記載の方法であって、このExtensible Authentication ProtocolはDiameterプロトコルを介してトランスポートされる方法。
  15. 少なくとも一つのアクセスポイントを含む無線ローカルエリアネットワーク、公衆地上移動電話網、およびSIMカードを提供されその加入者データを読み取るようにされた少なくとも一つの無線端末を含む電気通信システムにおけるアクセスコントローラであって、アクセスコントローラは、
    (a)無線端末と通信するポイント・ツー・ポイントレイヤ2プロトコル(PPPoE)サーバであって、チャレンジ−レスポンス認証手順をトンネリングするようにされているサーバと、
    (b)OSIアプリケーションレイヤに常駐して公衆地上移動電話網と通信する認証プロトコルと、
    を含むことを特徴とするアクセスコントローラと、
    (c)前記電気通信システムにおいて、前記無線端末と前記公衆地上移動電話網との間のチャレンジレスポンス認証手順がうまく完了した後にIP接続性を提供するために、前記無線端末へ割当てるIPアドレスおよびその他のネットワーク構成パラメータを送る手段と、
    を含むことを特徴とするアクセスコントローラ。
  16. 請求項15に記載のアクセスコントローラであって、さらに、
    (a)ポイント・ツー・ポイントレイヤ2プロトコル(PPPoE)の上に受信した情報をアプリケーションレイヤに常駐する認証プロトコルへ上向きにシフトさせる手段と、
    (b)アプリケーションレイヤに常駐する認証プロトコルで受信した情報をポイント・ツー・ポイントレイヤ2プロトコル(PPPoE)の上に下向きにシフトさせる手段と、を含む方法。
  17. 請求項16に記載のアクセスコントローラであって、さらに、ユーザが自分の公衆地上移動電話網により認証が成功した後で、Dynamic Host Configuration ProtocolサーバからIPアドレスを要求する手段を含むアクセスコントローラ。
  18. 請求項17に記載のアクセスコントローラであって、アクセスポイントを介して無線端末と通信するようにされているアクセスコントローラ。
  19. 請求項17に記載のアクセスコントローラであって、認証ゲートウェイを介して公衆地上移動電話網と通信するようにされているアクセスコントローラ。
  20. 請求項17に記載のアクセスコントローラであって、無線ローカルエリアネットワークのローカルユーザを認証する責任がある認証サーバを介して認証ゲートウェイと通信するようにされているアクセスコントローラ。
  21. 請求項15から20のいずれかの項に記載のアクセスコントローラであって、アプリケーションレイヤに常駐する認証プロトコルはExtensible Authentication Protocolであるアクセスコントローラ。
  22. 請求項21に記載のアクセスコントローラであって、このExtensible Authentication ProtocolはRADIUSプロトコルを介してトランスポートされるアクセスコントローラ。
  23. 請求項21に記載のアクセスコントローラであって、このExtensible Authentication ProtocolはDiameterプロトコルを介してトランスポートされるアクセスコントローラ。
  24. チャレンジーレスポンス認証手順を履行し、ポイント・ツー・ポイントレイヤ2プロトコル(PPPoE)クライアントとして作用する機能を含み、ポイント・ツー・ポイントレイヤ2プロトコルの上にExtensible Authentication Protocolを有し、チャレンジーレスポンス認証手順がうまく完了した後、IP接続性を得るために利用できるIPアドレスを受信することを特徴とする無線端末。
  25. 少なくとも一つのアクセスポイントを含むワイヤレスローカルエリアネットワーク、公衆地上移動電話網、およびSIMカードを提供されその加入者データを読み取るようにされた少なくとも一つの無線端末を含む電気通信システムであって、さらに、公衆地上移動電話網の加入者であるワイヤレスローカルエリアネットワークのユーザへのSIMベース加入者認証を許す請求項15から23のいずれかの請求項に記載のアクセスコントローラを含むことを特徴とする電気通信システム。
JP2004502552A 2002-05-01 2002-05-01 無線ローカルエリアネットワークアクセスにおけるsimベース認証および暗号化システム、装置および方法 Expired - Lifetime JP4194046B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2002/004865 WO2003094438A1 (en) 2002-05-01 2002-05-01 System, apparatus and method for sim-based authentication and encryption in wireless local area network access

Publications (2)

Publication Number Publication Date
JP2005524341A JP2005524341A (ja) 2005-08-11
JP4194046B2 true JP4194046B2 (ja) 2008-12-10

Family

ID=29286077

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004502552A Expired - Lifetime JP4194046B2 (ja) 2002-05-01 2002-05-01 無線ローカルエリアネットワークアクセスにおけるsimベース認証および暗号化システム、装置および方法

Country Status (10)

Country Link
US (1) US7936710B2 (ja)
EP (1) EP1502388B1 (ja)
JP (1) JP4194046B2 (ja)
CN (1) CN100366007C (ja)
AT (1) ATE380424T1 (ja)
AU (1) AU2002255000A1 (ja)
BR (1) BRPI0215728B1 (ja)
DE (1) DE60223951T2 (ja)
ES (1) ES2295336T3 (ja)
WO (1) WO2003094438A1 (ja)

Families Citing this family (99)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7325246B1 (en) * 2002-01-07 2008-01-29 Cisco Technology, Inc. Enhanced trust relationship in an IEEE 802.1x network
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
ES2254693T3 (es) * 2002-06-07 2006-06-16 Siemens Aktiengesellschaft Procedimiento y dispositivo para la auntentificacion de un usuario para la utilizacion de servicios de una red local sin hilos (wlan).
US7634230B2 (en) * 2002-11-25 2009-12-15 Fujitsu Limited Methods and apparatus for secure, portable, wireless and multi-hop data networking
US20050152305A1 (en) * 2002-11-25 2005-07-14 Fujitsu Limited Apparatus, method, and medium for self-organizing multi-hop wireless access networks
US7565688B2 (en) * 2002-12-23 2009-07-21 Hewlett-Packard Development Company, L.P. Network demonstration techniques
JP4475377B2 (ja) * 2002-12-27 2010-06-09 日本電気株式会社 無線通信システム、共通鍵管理サーバ、および無線端末装置
ITRM20030100A1 (it) * 2003-03-06 2004-09-07 Telecom Italia Mobile Spa Tecnica di accesso multiplo alla rete, da parte di terminale di utente interconnesso ad una lan e relativa architettura di riferimento.
US20060179305A1 (en) * 2004-03-11 2006-08-10 Junbiao Zhang WLAN session management techniques with secure rekeying and logoff
JP4557968B2 (ja) * 2003-03-18 2010-10-06 トムソン ライセンシング 無線ネットワークとセルラーネットワークとを接続するためのタイト・カップリング・シグナリング接続管理
JP2007525731A (ja) * 2003-04-29 2007-09-06 アザイア・ネットワークス・インコーポレーテッド 既存のwlanパブリックアクセス基盤に対してsimベースのローミングを提供する方法及びシステム
JP2005341290A (ja) * 2004-05-27 2005-12-08 Keio Gijuku 通信システムおよび無線通信装置
ATE552709T1 (de) * 2003-09-26 2012-04-15 Ericsson Telefon Ab L M Verbesserter sicherheitsentwurf für die kryptographie in mobilkommunikationssystemen
WO2005046157A2 (de) * 2003-11-11 2005-05-19 Siemens Aktiengesellschaft Verfahren zur sicherung des datenverkehrs zwischen einem ersten endgerät und einem ersten netz sowie einem zweiten endgerät und einem zweiten netz
GB2417856B (en) * 2004-03-20 2008-11-19 Alcyone Holding S A Wireless LAN cellular gateways
US7861006B2 (en) * 2004-03-23 2010-12-28 Mcnulty Scott Apparatus, method and system for a tunneling client access point
US7623518B2 (en) * 2004-04-08 2009-11-24 Hewlett-Packard Development Company, L.P. Dynamic access control lists
US20050238171A1 (en) * 2004-04-26 2005-10-27 Lidong Chen Application authentication in wireless communication networks
US7873350B1 (en) * 2004-05-10 2011-01-18 At&T Intellectual Property Ii, L.P. End-to-end secure wireless communication for requesting a more secure channel
CN1274181C (zh) * 2004-06-25 2006-09-06 华为技术有限公司 管理本地终端设备接入网络的方法
GR1005023B (el) * 2004-07-06 2005-10-11 Atmel@Corporation Μεθοδος και συστημα ενισχυσης της ασφαλειας σε ασυρματους σταθμους τοπικου δικτυου (lan)
KR100626676B1 (ko) * 2004-07-15 2006-09-25 삼성전자주식회사 애드 혹 네트워크에서 프리픽스 할당 방법
DE112005001833B4 (de) * 2004-07-30 2012-06-28 Meshnetworks, Inc. System und Verfahren zum Herbeiführen des sicheren Einsatzes von Netzwerken
ATE428251T1 (de) * 2004-08-02 2009-04-15 Service Factory Ab Sim basierte authentifizierung
WO2006013150A1 (en) * 2004-08-02 2006-02-09 Service Factory Sf Ab Sim-based authentication
EP1635528A1 (en) * 2004-09-13 2006-03-15 Alcatel A method to grant access to a data communication network and related devices
JP4689225B2 (ja) * 2004-10-15 2011-05-25 パナソニック株式会社 無線ネットワークシステム、無線端末収容装置及び通信装置
US7483996B2 (en) * 2004-11-29 2009-01-27 Cisco Technology, Inc. Techniques for migrating a point to point protocol to a protocol for an access network
US7558866B2 (en) * 2004-12-08 2009-07-07 Microsoft Corporation Method and system for securely provisioning a client device
US20070192602A1 (en) * 2004-12-17 2007-08-16 Telefonaktiebolaget Lm Ericsson (Publ) Clone resistant mutual authentication in a radio communication network
WO2006079953A1 (en) * 2005-01-31 2006-08-03 Koninklijke Philips Electronics N.V. Authentication method and device for use in wireless communication system
US8059527B2 (en) * 2005-02-19 2011-11-15 Cisco Technology, Inc. Techniques for oversubscribing edge nodes for virtual private networks
FR2883115A1 (fr) * 2005-03-11 2006-09-15 France Telecom Procede d'etablissement d'un lien de communication securise
FR2884093B1 (fr) * 2005-03-31 2007-05-11 Sagem Procede et dispositif d'association d'un dispositif de communication a une passerelle
EP2456276B1 (en) * 2005-04-26 2014-06-25 Vodafone Group PLC Telecommunications Networks
FI20050491A0 (fi) * 2005-05-09 2005-05-09 Nokia Corp Järjestelmä varmenteiden toimittamiseksi viestintäjärjestelmässä
CN100372440C (zh) * 2005-07-08 2008-02-27 清华大学 基于蜂窝网络定位的无线局域网发现方法
DE202005021930U1 (de) * 2005-08-01 2011-08-08 Corning Cable Systems Llc Faseroptische Auskoppelkabel und vorverbundene Baugruppen mit Toning-Teilen
CN100417296C (zh) * 2005-09-20 2008-09-03 华为技术有限公司 一种终端接入3g网络的控制方法
DE602005024000D1 (de) * 2005-09-30 2010-11-18 Alcyone Holding S A Verfahren und Vorrichtung zum Aufbau einer Verbindung zwischen einer mobilen Vorrichtung und einem Netzwerk
US8009644B2 (en) 2005-12-01 2011-08-30 Ruckus Wireless, Inc. On-demand services by wireless base station virtualization
CN100452924C (zh) * 2006-01-09 2009-01-14 中国科学院软件研究所 利用sim卡实现终端与网络双向鉴权的方法和装置
US20070180499A1 (en) * 2006-01-31 2007-08-02 Van Bemmel Jeroen Authenticating clients to wireless access networks
US8953588B2 (en) * 2006-02-03 2015-02-10 Broadcom Corporation Mobile network with packet data network backhaul
JP4687788B2 (ja) * 2006-02-22 2011-05-25 日本電気株式会社 無線アクセスシステムおよび無線アクセス方法
ES2617546T3 (es) * 2006-02-23 2017-06-19 Togewa Holding Ag Sistema de conmutación y método correspondiente para la unidifusión o multidifusión de transmisiones de flujo de datos de extremo a extremo y/o multimedia entre nodos de red
JP4965144B2 (ja) * 2006-03-20 2012-07-04 株式会社リコー 通信装置
NO20061520L (no) * 2006-04-04 2007-10-05 Telenor Asa Fremgangsmate og anordning for autentisering av brukere
US7788703B2 (en) 2006-04-24 2010-08-31 Ruckus Wireless, Inc. Dynamic authentication in secured wireless networks
US9071583B2 (en) * 2006-04-24 2015-06-30 Ruckus Wireless, Inc. Provisioned configuration for automatic wireless connection
US9769655B2 (en) 2006-04-24 2017-09-19 Ruckus Wireless, Inc. Sharing security keys with headless devices
EP2027700A1 (fr) * 2006-04-28 2009-02-25 Gemalto SA Transmission de données entre un serveur et un objet communicant
EP1865656A1 (en) * 2006-06-08 2007-12-12 BRITISH TELECOMMUNICATIONS public limited company Provision of secure communications connection using third party authentication
DE102006038591B4 (de) 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
FI121560B (fi) * 2006-11-20 2010-12-31 Teliasonera Ab Todentaminen matkaviestintäyhteistoimintajärjestelmässä
GB2446738C (en) * 2007-02-02 2014-10-01 Ubiquisys Ltd Basestation measurement modes
GB2447442A (en) 2007-02-23 2008-09-17 Ubiquisys Ltd Base station for cellular communication system
CN101282259B (zh) * 2007-04-04 2011-07-27 中国电信股份有限公司 基于身份识别模块im的ip网接入认证系统、应用和方法
US8769611B2 (en) 2007-05-31 2014-07-01 Qualcomm Incorporated Methods and apparatus for providing PMIP key hierarchy in wireless communication networks
US9239915B2 (en) * 2007-09-26 2016-01-19 Intel Corporation Synchronizing between host and management co-processor for network access control
US10181055B2 (en) 2007-09-27 2019-01-15 Clevx, Llc Data security system with encryption
US11190936B2 (en) 2007-09-27 2021-11-30 Clevx, Llc Wireless authentication system
US10783232B2 (en) 2007-09-27 2020-09-22 Clevx, Llc Management system for self-encrypting managed devices with embedded wireless user authentication
US10778417B2 (en) * 2007-09-27 2020-09-15 Clevx, Llc Self-encrypting module with embedded wireless user authentication
JP5167759B2 (ja) * 2007-10-24 2013-03-21 日本電気株式会社 通信システム、通信方法、認証情報管理サーバおよび小型基地局
US8775790B2 (en) * 2007-10-30 2014-07-08 Honeywell International Inc. System and method for providing secure network communications
FI122163B (fi) * 2007-11-27 2011-09-15 Teliasonera Ab Verkkopääsyautentikointi
GB2464553B (en) * 2008-10-22 2012-11-21 Skype Controlling a connection between a user terminal and an access node connected to a communication network
GB2464552B (en) * 2008-10-22 2012-11-21 Skype Authentication system and method for authenticating a user terminal with an access node providing restricted access to a communication network
US9032058B2 (en) * 2009-03-13 2015-05-12 Assa Abloy Ab Use of SNMP for management of small footprint devices
US20100235900A1 (en) * 2009-03-13 2010-09-16 Assa Abloy Ab Efficient two-factor authentication
CN102014384A (zh) * 2009-09-04 2011-04-13 黄金富 通过移动电话网络验证wapi无线网络终端身份的方法
US8830866B2 (en) * 2009-09-30 2014-09-09 Apple Inc. Methods and apparatus for solicited activation for protected wireless networking
US8873523B2 (en) * 2009-09-30 2014-10-28 Apple Inc. Methods and apparatus for solicited activation for protected wireless networking
CN102130975A (zh) * 2010-01-20 2011-07-20 中兴通讯股份有限公司 一种用身份标识在公共设备上接入网络的方法及系统
US8813195B2 (en) * 2010-03-09 2014-08-19 Alcatel Lucent Method and apparatus for authenticating a user equipment
JP2011199340A (ja) * 2010-03-17 2011-10-06 Fujitsu Ltd 通信装置及び方法、並びに通信システム
FR2958428B1 (fr) * 2010-03-30 2012-08-31 Radiotelephone Sfr Procede d'execution d'un premier service alors qu'un deuxieme service est en cours d'execution, au moyen d'un terminal informatique equipe d'une carte a circuit integre.
CN101815365B (zh) * 2010-04-02 2012-09-05 北京傲天动联技术有限公司 无线接入控制器发现、关联以及配置方法
US8464061B2 (en) 2010-08-30 2013-06-11 Apple Inc. Secure wireless link between two devices using probes
CN102083067A (zh) * 2010-12-17 2011-06-01 中国联合网络通信集团有限公司 通信终端、方法和系统
CN102625306A (zh) * 2011-01-31 2012-08-01 电信科学技术研究院 认证方法、系统和设备
WO2012149219A2 (en) * 2011-04-26 2012-11-01 Apple Inc. Electronic access client distribution apparatus and methods
US9792188B2 (en) 2011-05-01 2017-10-17 Ruckus Wireless, Inc. Remote cable access point reset
US8756668B2 (en) 2012-02-09 2014-06-17 Ruckus Wireless, Inc. Dynamic PSK for hotspots
CN102572838B (zh) * 2012-02-15 2015-10-28 刘士顺 一种无线pppoe拨号系统
US9092610B2 (en) 2012-04-04 2015-07-28 Ruckus Wireless, Inc. Key assignment for a brand
CN102917359A (zh) * 2012-09-27 2013-02-06 中兴通讯股份有限公司 一种内置PPPoE拨号功能的移动终端及其拨号方法
JP5987707B2 (ja) * 2013-01-25 2016-09-07 ソニー株式会社 端末装置、プログラム及び通信システム
WO2015098274A1 (ja) * 2013-12-25 2015-07-02 ソニー株式会社 端末装置及び情報処理装置
US9432363B2 (en) * 2014-02-07 2016-08-30 Apple Inc. System and method for using credentials of a first client station to authenticate a second client station
JP6465108B2 (ja) * 2014-05-01 2019-02-06 ソニー株式会社 無線通信装置
US10223549B2 (en) * 2015-01-21 2019-03-05 Onion ID Inc. Techniques for facilitating secure, credential-free user access to resources
US9843885B2 (en) * 2015-08-12 2017-12-12 Apple Inc. Methods, procedures and framework to provision an eSIM and make it multi-SIM capable using primary account information
DE102015122936A1 (de) * 2015-12-29 2017-06-29 Deutsche Telekom Ag Verfahren zur flexibleren Ressourcennutzung bei der Telekommunikation
IL248058B (en) * 2016-09-26 2021-04-29 Verint Systems Ltd System and method for obtaining an ID of a mobile communication terminal at a checkpoint
CN113923650A (zh) * 2017-04-18 2022-01-11 华为技术有限公司 网络接入方法、装置和通信系统
JP7161108B2 (ja) * 2019-02-26 2022-10-26 日本電信電話株式会社 通信方法、通信システム、中継装置および中継プログラム
US11991520B2 (en) * 2022-04-29 2024-05-21 Microsoft Technology Licensing, Llc Encrypted flow of SIM data between regions and edge networks

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE508844C2 (sv) * 1997-02-19 1998-11-09 Postgirot Bank Ab Förfarande för behörighetskontroll med SIM-kort
FR2790177B1 (fr) * 1999-02-22 2001-05-18 Gemplus Card Int Authentification dans un reseau de radiotelephonie
US8463231B1 (en) * 1999-11-02 2013-06-11 Nvidia Corporation Use of radius in UMTS to perform accounting functions
FI20000761A0 (fi) 2000-03-31 2000-03-31 Nokia Mobile Phones Ltd Laskutus pakettidataverkossa
FI20000760A0 (fi) * 2000-03-31 2000-03-31 Nokia Corp Autentikointi pakettidataverkossa
FI111208B (fi) * 2000-06-30 2003-06-13 Nokia Corp Datan salauksen järjestäminen langattomassa tietoliikennejärjestelmässä
US7043633B1 (en) * 2000-08-28 2006-05-09 Verizon Corporation Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation
US6854014B1 (en) * 2000-11-07 2005-02-08 Nortel Networks Limited System and method for accounting management in an IP centric distributed network
US20030120920A1 (en) * 2001-12-20 2003-06-26 Svensson Sven Anders Borje Remote device authentication

Also Published As

Publication number Publication date
CN100366007C (zh) 2008-01-30
CN1666465A (zh) 2005-09-07
JP2005524341A (ja) 2005-08-11
EP1502388A1 (en) 2005-02-02
BR0215728A (pt) 2005-02-22
US20060052085A1 (en) 2006-03-09
DE60223951T2 (de) 2008-11-27
ES2295336T3 (es) 2008-04-16
EP1502388B1 (en) 2007-12-05
ATE380424T1 (de) 2007-12-15
BRPI0215728B1 (pt) 2016-06-07
US7936710B2 (en) 2011-05-03
WO2003094438A1 (en) 2003-11-13
DE60223951D1 (de) 2008-01-17
AU2002255000A1 (en) 2003-11-17

Similar Documents

Publication Publication Date Title
JP4194046B2 (ja) 無線ローカルエリアネットワークアクセスにおけるsimベース認証および暗号化システム、装置および方法
US10425808B2 (en) Managing user access in a communications network
JP3984993B2 (ja) アクセスネットワークを通じて接続を確立するための方法及びシステム
US8261078B2 (en) Access to services in a telecommunications network
US7441043B1 (en) System and method to support networking functions for mobile hosts that access multiple networks
EP1770940B1 (en) Method and apparatus for establishing a communication between a mobile device and a network
US20020174335A1 (en) IP-based AAA scheme for wireless LAN virtual operators
US20060019635A1 (en) Enhanced use of a network access identifier in wlan
US20130104207A1 (en) Method of Connecting a Mobile Station to a Communcations Network
EP1629655A1 (en) Methods and systems of remote authentication for computer networks
US20040133806A1 (en) Integration of a Wireless Local Area Network and a Packet Data Network
WO2006013150A1 (en) Sim-based authentication
EP1624639B1 (en) Sim-based authentication
RU2292648C2 (ru) Система, устройство и способ, предназначенные для аутентификации на основе sim и для шифрования при доступе к беспроводной локальной сети
El-Sadek et al. Universal mobility with global identity (UMGI) architecture
Caballero et al. Experimental Study of a Network Access Server for a public WLAN access network
Fisher Authentication and Authorization: The Big Picture with IEEE 802.1 X
Froihofer A survey of WLAN security with focus on HotSpot and enterprise environments
Kizza et al. Security in Wireless Systems
EP2578052A1 (en) Method of connecting a mobile station to a communications network

Legal Events

Date Code Title Description
RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20060323

RD05 Notification of revocation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7425

Effective date: 20060629

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070822

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070831

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071121

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080825

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080918

R150 Certificate of patent or registration of utility model

Ref document number: 4194046

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111003

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121003

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131003

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term