MXPA05009804A - Tecnicas de manejo de sesion de red de area local inalambrica con claves dobles y salida de registro seguros. - Google Patents
Tecnicas de manejo de sesion de red de area local inalambrica con claves dobles y salida de registro seguros.Info
- Publication number
- MXPA05009804A MXPA05009804A MXPA05009804A MXPA05009804A MXPA05009804A MX PA05009804 A MXPA05009804 A MX PA05009804A MX PA05009804 A MXPA05009804 A MX PA05009804A MX PA05009804 A MXPA05009804 A MX PA05009804A MX PA05009804 A MXPA05009804 A MX PA05009804A
- Authority
- MX
- Mexico
- Prior art keywords
- secure
- key
- session key
- mobile terminal
- session
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000004891 communication Methods 0.000 claims abstract description 78
- 230000004044 response Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0841—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
- H04L9/0844—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/061—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying further key derivation, e.g. deriving traffic keys from a pair-wise master key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Small-Scale Networks (AREA)
Abstract
La invencion proporciona un metodo para mejorar la seguridad de una terminal movil en un ambiente WLAN al instalar dos secretos compartidos en lugar de un sec reto compartido, la clave de sesion inicial, tanto en la maquina inalambrica del usuario como en el punto de acceso WLAN durante la fase de autenticacion del usuario. Uno de los secretos compartidos se utiliza como la clave de sesion inicial y el otro se utiliza como la simiente segura. Ya que la autenticacion inicial es segura, estas dos claves no son conocidas para un pirata. Aunque la clave de sesion inicial puede eventualmente romperse por el pirata, la simiente segura permanece segura ya que son se utiliza por ninguna comunicacion insegura.
Description
TÉCNICAS DE MANEJO DE SESIÓN DE RED PE AREA LOCAL
INALÁMBRICA CON CLAVES DOBLES Y SALIDA DE REGISTRO
SEGUROS
SOLICITUD RELACIONADA Esta solicitud reclama el beneficio de la Solicitud Provisional de Estados Unidos No. 60/454,542, presentada el 14 de marzo de 2003 y que se incorpora aquí como referencia.
CAMPO DE LA INVENCIÓN La invención se relaciona con un aparato y con un método para proporcionar una sesión de comunicaciones seguras en una red de área local y en particular, a un aparato y método para proporcionar una sesión de comunicaciones seguras con una terminal móvil en una WLAN con una actualización periódica de claves y una salida de registro segura.
ANTECEDENTES DE LA INVENCIÓN El contexto de la presente invención es la familia de las redes de área loca! nalámbricas o (WLAN) que emplean la arquitectura IEEE 802.1x que tiene un punto de acceso (AP) que proporciona el acceso a los dispositivos móviles y a otras redes, tal como una red de área local cableada y redes globales, como la Internet. Los avances en la tecnología WLAN han dado como resultado en la comunicación inalámbrica accesible al público como en restaurantes, cafés, librerías e instalaciones públicas similares ("puntos calientes"). En la actualidad, las WLAN públicas ofrecen a los usuarios del dispositivo de comunicación móvil el acceso en una red privada de datos, como la Intranet corporativa, o una red pública de datos como la Internet, la comunicación de dispositivo adjunto a dispositivo adjunto y la transmisión de TV inalámbrica. El relativamente bajo costo para implementar y operar una WLAN pública así como el alto ancho de banda disponible (usualmente mayor que 10 Megabits/segundo) hacen de la WLAN pública un mecanismo de acceso ideal, a través del cual, los usuarios del dispositivo de comunicaciones móviles inalámbricos pueden intercambiar paquetes con una entidad externa. Sin embargo, como será descrito más adelante, tal despliegue abierto puede comprometer la seguridad a menos que existan medios adecuados para la identificación y autenticación. Cuando un usuario intenta tener acceso a un servicio dentro del área de cobertura de la WLAN pública, la WLAN primero autentica y autoriza el acceso del usuario, antes de otorgarle el acceso a la red. Después de la autenticación, la WLAN pública abre un canal seguro de datos al dispositivo de comunicaciones móviles para proteger la privacidad de datos que pasan entre la WLAN y el dispositivo. En la actualidad, muchos fabricantes de equipo WLAN han adoptado el protocolo IEEE 802.1x para el equipo desplegado. Por lo tanto, el mecanismo de autenticación predominante para las WLAN utilizan esta norma. Desafortunadamente, el protocolo IEEE 802 1x fue diseñado con acceso LAN privado como su modelo de uso. Por lo tanto, el protocolo IEEE 802 1x no proporciona ciertas características que mejorarán la seguridad en el ambiente WLAN público. En un método de autenticación con base en un navegador de red, una terminal móvil se comunica con el servidor de autenticación, con el uso del navegador de red que opera con el protocolo de Zócalos asegurados de protocolo de Transferencia de Hipertexto (HTTPS) que asegura que nadie en el trayecto entre la terminal móvil y el servidor de autenticación pueda entrar o robar información confidencial del usuario. Sin embargo, la única información que el servidor de autenticación tiene relacionada con la terminal móvil es su dirección IP. Una vez que el usuario es autenticado por la WLAN, se establece una clave de sesión segura y es compartida por el usuario y la WLAN. Toda la comunicación posterior es encripta con el uso de la clave de sesión. Para evitar ataques contra la seguridad, como por ejemplo, ataques que exploran huecos de seguridad en el protocolo de encriptado IEEE 802.11 WEP y para asegurar una fuerte seguridad, la clave de sesión necesita ser actualizada periódicamente. Ciertamente, cuando se utiliza la clave de sesión inicial como una clave de Privacidad Equivalente Cableada (WEP), después de cierto número de intercambios de comunicación con el uso de la clave WEP entre el usuario inalámbrico y el punto de acceso WLAN, un pirata puede romper la clave. En IEEE 802 1x, el protocolo utilizado para el control de acceso seguro en una WLAN, en donde la clave de sesión se actualiza cofia en el servidor de autenticación. En esencia, cada vez que se actualiza la clave, el usuario necesita avanzar por pasos de autenticación similares a la autenticación inicial. Este procedimiento puede ser ineficiente e imposible en algunas aplicaciones. La tecnología WLAN puede beneficiarse de un método que una vez que el usuario se autentica y se establece la clave de sesión, ya no se requieren actualizaciones futuras que requieren la participación del servidor de autenticación.
Además, las aplicaciones que administran la información de manejo, en particular, las solicitudes de registro de salida típicamente requieren seguridad ante la piratería. Sin embargo, en IEEE 802 1x, tal información se envía libre, lo cual deja a la terminal móvil propensa a ataques en donde el pirata se puede registrar a un usuario autenticado, aunque el pirata no tenga la clave de sesión. Como tal, la tecnología WLAN se puede beneficiar del método que proporciona una actualización de clave encriptada o la solicitud de registro de salida que también se encripta con la clave de sesión.
BREVE DESCRIPCIÓN DE LA INVENCIÓN Lo que se desea un método para proporcionar una sesión de comunicaciones seguras entre una terminal y una red de comunicaciones al utilizar una clave de sesión para encriptar las comunicaciones entre la terminal y la red de comunicaciones, en donde la clave de sesión se puede derivar de un grupo de claves, incluyendo una clave segura almacenada en la terminal y un punto de acceso de la rsd de comunicaciones. La clave segura también se puede utilizar en proporcionar un mecanismo seguro de registro de salida. La invención proporciona un método para mejorar la seguridad en una terminal móvil en un ambiente WLAN en lugar de instalar un secreto compartido referido como la clave de sesión inicial en la máquina inalámbrica del usuario y si AP de la WLAN, durante la fase de autenticación del usuario, instalar dos claves compartidas. Una de las claves compartidas se utiliza como la clave de sesión inicial, y la otra clave compartida se utiliza como la simiente segura. Ya que la comunicación inicial autenticada es segura, una vez que se han establecidos las dos claves aseguradas es virtualmente imposible que un pirata rompa esta forma de protección. Y aunque la clave de sesión inicial puede romperse, eventualmente, por el pirata, la simiente segura siempre permanece segura, y no se utiliza en ninguna comunicación insegura. Una modalidad de la presente invención incluye un proceso mediante el cual durante una actualización de clave, se genera una nueva clave y se intercambia entre el punto de acceso WLAN y la terminal móvil. En lugar de utilizar directamente esta nueva clave, el punto de acceso y la terminal móvil utilizan esta nueva clave junto con la simiente segura para generar la nueva clave de sesión. Por ejemplo, la nueva clave de sesión se puede generar al concatenar la simiente segura con la nueva clave, y entonces calcular una función de refundición como el algoritmo de refundición Message Digest 5 (MD5) para generar una cadena fija. Ya que un pirata no tiene la simiente segura, aunque pueda romper la vieja clave de sesión, no tendrá éxito en obtener la nueva clave de sesión. Una modalidad de la presente invención también incluye el proceso por el. cual, durante el registro de salida de la sesión la terminal móvil se queda segura para evitar que un pirata registre de salida la terminal móvil autenticada. El esquema con base en IEEE 802.1x no proporciona un registro seguro de salida, ya que la solicitud de registro se lleva a cabo en un cuadro no encriptado. Sin embargo, en una modalidad de la presente invención, la terminal móvil envía una solicitud de registro de salida encriptada junto con la simiente segura. Aun cuando el pirata rompa la clave de la sesión, el registro del usuario autenticado no será posible, ya que la simiente segura que aparece en la solicitud de registro ya no es válida (se necesita negociar una nueva simiente segura cada vez que el usuario se registre de entrada), incluso cuando la vieja simiente segura sea violada por el pirata, no provocará mayor daño. Una modalidad de la presente invención también incluye un método para proporcionar una sesión segura de comunicación entre la terminal móvil y la red de acceso local inalámbrica (WLAN), el método comprende los pasos de: generar primera y segunda claves seguras, transmitir la primera y segunda claves seguras a la terminal móvil con el uso de un método de comunicaciones seguras, la primera y segunda claves seguras almacenadas en la terminal móvil para usarse durante la sesión de comunicación segura, encriptar y transmitir datos a la terminal móvil con el uso de la clave de sesión actual y recibir y descifrar los datos recibidos desde la terminal móvil con el uso de la actual clave de sesión, la primera clave segura inicialmente se utiliza como la clave de sesión actual, y se genera periódicamente una clave se sesión posterior con el uso de la segunda clave segura y con el uso de la clave de sesión posterior como la clave de sesión actual durante las comunicaciones posteriores entre la WLAN y la terminal móvil. La presente invención también incluye un aparato para proporcionar una sesión de comunicaciones seguras entre la terminal móvil y una WLAN, el cual comprende un medio para generar la primera y segunda claves seguras y un medio para transmitir la primera y segunda claves seguras a la terminal móvil. La terminal móvil almacena la primera y segunda claves seguras para el descifrado de los datos recibidos posteriormente. En la WLAN, un medio encripta y transmite datos a la terminal móvil con el uso de una clave de sesión actual. En la WLAN, el medio para generar periódicamente claves de sesión posterior utiliza la segunda clave segura y utiliza las claves de sesión posterior como la clave de sesión actual durante las comunicaciones entre la WLAN y la terminal móvil.
BREVE DESCRIPCIÓN DE LOS DIBUJOS La invención se comprenderá mejor a partir de la siguiente descripción detallada cuando se lee junto con los dibujos acompañantes. Las diferentes características de los dibujos no están especificadas exhaustivamente. Por el contrario, las diferentes características se describen arbitrariamente o se reducen con propósitos de claridad. Dentro de los dibujos se encuentran las siguientes Figuras. La Figura 1 es un diagrama en bloque de un sistema de comunicaciones para practicar el método de los presentes principios para autenticar un dispositivo móvil de comunicaciones inalámbricas. La Figura 2 es un diagrama de flujo del método para establecer dos claves seguras de la presente invención. La Figura 3 es un diagrama de flujo del método para establecer un procedimiento de registro de salida seguro en la presente invención. La Figura 4 es un diagrama en bloque de un aparato para implementar la presente invención.
DESCRIPCIÓN DETALLADA DE LA INVENCIÓN En las Figuras a ser descritas, los circuitos, bloques y flechas asociados representan funciones del proceso de conformidad con la presente invención, las cuales se pueden implementar como circuitos eléctricos o alambres y barras colectoras asociadas, los cuales transportan señales eléctricas. De manera alternativa, una o más flechas asociadas pueden representar la comunicación entre rutinas del software, en particular cuando el presente método o aparato de la presente invención se implementa como un proceso digital. De conformidad con la reivindicación 1, una o más transmisión móviles representadas por el 140, al 140n se comunican a través de un punto de acceso 130n de la computadora 120 local, en asociación con cortafuegos 122 y uno o más operadores visuales 1501-n, como el servidor 150n de autenticación. La comunicación desde las terminales 140 -n típicamente requiere el acceso a una base de datos segura u otros recursos, utilizando la Internet 110 y los trayectos 154 y 152 de comunicación asociados que requieren un alto grado de seguridad de las entidades no autorizadas, como los piratas. Como también se ilustra en la Figura 1, la arquitectura IEEE 802.1x abarca varios componentes y servicios que interactúan para proporcionar la movilidad de estación transparente a los estratos más altos de la pila de la red. La red IEEE 802.1x define estaciones como los puntos de acceso 130 -n y terminales móviles 140 como los componentes de comunicación en el medio inalámbrico 124 y contiene la funcionalidad de los protocolos IEEE 802.1x, que son MAC (Control de acceso al medio) 138 -n, y la PHY correspondiente (estrato físico) (no mostrado) y una conexión 127 para el medio inalámbrico. Típicamente, las funciones de IEEE 802.1 se implementan en el hardware y en el software de un módem inalámbrico o en el acceso de red o tarjeta de interfaz. Esta invención propone un método para implementar un medio de identificación en la corriente de comunicación como el punto de acceso 1301-n compatible con los estratos MAC WLAN IEEE 802.1x para el tráfico descendente (es decir, desde el servidor de autenticación a la terminal móvil como la computadora portátil) pueden participar en la autenticación de uno o más dispositivos móviles inalámbricos 1401-n y un servidor 120 de extremo local o trasero, y un servidor 150 de autenticación. De conformidad con los presentes principios, el acceso 160 permite a cada una de las terminales 1401-n móviles tener acceso seguro a la WLAN 115 al autenticar tanto la terminal móvil en sí, como a su corriente de comunicación de conformidad con el protocolo IEEE 802.1x. La manera en la cual el acceso 160 permite el acceso seguro se puede comprender mejor al hacer referencia a la Figura 1 junto con la Figura 2. La secuencia de interacciones que se presentan con el tiempo entre el dispositivo móvil de comunicaciones inalámbricas, es decir, la terminal 140n móvil, la WLAN 115 pública, el servidor 120 local de la red y el servidor 150 de autenticación se describe bajo convención de un protocolo IEEE 802.1x, en donde el punto de acceso 130n de la Figura 1 mantiene un puerto controlado y un puerto no controlado, a través de los cuales el punto de acceso intercambia información, con las terminales móviles 1401-n. El puerto controlado mantenido por el punto de acceso 130n sirve como la entrada para la información de no autenticación, como el tráfico de datos que pasa a través del punto de acceso 130n conforme fluye entre el servidor 120 local y las terminales 1401.n móviles. Es común que, el punto de acceso 1301-n mantenga un puerto controlado respectivo cerrado de conformidad con el protocolo IEEE 802. x, hasta que se comunique la autenticación de la terminal 140 -n móvil pertinente. Los puntos de acceso 130 -n siempre mantienen el puerto no controlado respectivo abierto para permitir que las terminales 140 -n móviles intercambien datos de autenticación con un servidor 150 de autenticación. Más específicamente, con referencia a la Figura 2, un método de conformidad con la presente invención para mejorar la seguridad de una terminal móvil en 140n en un ambiente WLAN instala dos secretos compartidos en lugar de un secreto compartido, en la terminal 140n móvil y el punto de acceso 130n de WLAN, durante la fase de autenticación del usuario. Uno de los secretos compartidos se utiliza como la clave inicial de sesión y el otro se utiliza como la simiente segura. Ya que la autenticación inicial es segura, estas dos claves no serán conocidas para un pirata. Estas claves se pueden generar y distribuir a la terminal móvil y a la WLAN, al punto de acceso con el uso de métodos conocidos, por ejemplo, con el uso de un servidor de autenticación, para generar y distribuir tales claves. Aunque la clave inicial de sesión puede romperse eventualmente por un pirata, la simiente segura queda segura mientras que no se utilice en una comunicación insegura. Más en particular, el método de la presente invención procesa, a través del punto de acceso 130n, las solicitudes de red desde la terminal 140n móvil, para así incorporar la id 215 de sesión. Con referencia a la Figura 2, el método de conformidad con la presente invención mejora la seguridad de una terminal móvil en 140n en un ambiente WLAN al comprender los pasos de instalar por lo menos dos secretos compartidos tanto en la terminal 140n móvil como en el punto de acceso 130n de la WLAN, durante la fase de autenticación del usuario, por lo cual el primer secreto es la clave inicial de sesión y las claves posteriores se utilizan como las simientes seguras. De conformidad con los principios de la presente invención, se proporciona una técnica para permitir que cada dispositivo de comunicación móvil, como cada uno de los dispositivos 140i-140n, tenga el acceso seguro a la WLAN 115 para alcanzar la autenticación de tanto el dispositivo, así como del tráfico que surge del mismo. La técnica de autenticación utilizada en la Figura 2, ilustra la secuencia de comunicaciones que ocurre con el tiempo entre la terminal 140n móvil, el punto de acceso 130n y el servidor 150 de autenticación. Para iniciar el acceso seguro, la terminal 140n móvil transmite una solicitud para el acceso a un punto de acceso 130n durante el paso 200 de la Figura 2. En la práctica, la terminal 140n móvil inicia la solicitud de acceso por medio de una demanda de acceso HTTPS originada por un programa de software navegador (no mostrado) ejecutado por la terminal 140n móvil. En respuesta a la solicitud de acceso, el punto de acceso 130n redirige el software navegador en la terminal 140n móvil a una página de bienvenida local en el punto de acceso 130n durante el paso 202. Después del paso 202, la terminal 140n móvil inicia la secuencia de autenticación al solicitar al punto de acceso 130n la identidad del servidor de autenticación apropiado durante el paso 204. En respuesta, el punto de acceso 130n determina la identidad del servidor de autenticación apropiado (por ejemplo, el servidor 150) durante el paso 206 y después dirige al software navegador en la terminal 140n móvil al servidor a través de un comando http durante el paso 208. Al haber recibido la identidad del servidor 150 de autenticación durante el paso 208, la terminal 140n móvil entonces envía las credenciales del usuario al servidor durante el paso 210 de la Figura 2. Luego de recibir las credenciales del usuario desde la terminal
140n móvil, el servidor 150 de autenticación hace una determinación de si la terminal 140n móvil constituye un usuario válido durante el paso 212. Cuando es así, entonces el servidor 150 de autenticación contesta a la terminal 140n móvil durante el paso 214 con el uso de una clave de encriptado de privacidad equivalente cableada (WEP), que el dispositivo solicita a través de un comando ActiveX de un control ActiveX a través del software navegador del dispositivo. El control ActiveX es esencialmente un programa ejecutable que se puede incorporar dentro de una página red. Muchos programas navegadores de software, como el Microsoft Internet Explorer tienen la capacidad de desplegar tales páginas de la red y llamar los controles ActiveX incorporados, que pueden descargarse desde un servidor remoto (por ejemplo, el servidor 150 de autenticación). La ejecución de los controles ActiveX están restringidos por los mecanismos de seguridad construidos dentro del software navegador.
En la práctica, la mayoría de los programas navegadores tienen diferentes niveles de seguridad seleccionares. En el nivel más bajo, cualquier control ActiveX desde la red puede ser llamado sin restricción. En el nivel más alto, no se puede llamar a ningún control ActiveX desde el programa navegador. Un método de conformidad con la presente invención comprende el paso de, después de la autenticación y autorización, se genera una primera clave en el paso 217 y la nueva clave se distribuye al punto de acceso 130n y la terminal 140n móvil. En el paso 121, la segunda clave, llamada como la simiente 123 segura se distribuye a la terminal 140n móvil y al punto de acceso 130n. Después, la terminal móvil y el punto de acceso se comunican con el uso de la primera clave como la sesión para encriptar datos. Después, el punto de acceso 130n y la terminal 140n móvil emplean la clave 119 y la simiente 123 segura para generar 225a periódicamente una nueva clave 121 de sesión, por lo cual la nueva clave de sesión se utiliza para las comunicaciones posteriores entre la terminal móvil y el punto de acceso. La segunda clave siempre se almacena y se mantiene como secreta en la terminal móvil y en el punto de acceso durante la sesión de comunicación para que un pirata no pueda determinar la segunda clave. Se pueden emplear varias técnicas para facilitar el manejo de las claves combinadas, como la generación de una nueva clave de sesión y concatenar la nueva clave de sesión con la simiente segura antes de usarla, por razones de seguridad. Una vez que han sido concatenadas la clave combinada de sesión y la simiente segura, el proceso puede calcular un algoritmo de refundición en la nueva clave de sesión concatenada y la simiente segura y genera una cadena fija para otra transmisión. Un método para mejorar la seguridad de una terminal móvil en un ambiente WLAN también comprende los pasos de que la terminal móvil 140n envía, durante el registro de salida de sesión, una solicitud de registro de salida encriptada acompañada por la simiente segura de modo que la simiente segura aparezca en la solicitud de registro de salida. Como se ¡lustra en la Figura 3, durante el registro de salida de sesión, la terminal 140n móvil permanece segura para evitar que un pirata registre de salida una terminal 140n móvil autenticada. El esquema con base en IEEE 802.1x no puede proporcionar el registro de salida seguro ya que la solicitud de registro de salida se lleva a cabo en un cuadro no encriptado. Sin embargo, en una modalidad de la presente invención, la terminal 140n móvil envía una solicitud 228 de registro de salida encriptada acompañada por la simiente 123 segura. De este modo, aunque en el caso de que un pirata rompa la clave de sesión, no será posible el registro de salida del usuario autenticado en la terminal 140n móvil ya que la simiente 123 segura aparece en la solicitud 228 de registro de salida y ya no se utiliza más ya que se debe negociar una nueva simiente segura cada vez que el usuario se registre de entrada. En la Figura 4, se muestra un aparato para una sesión de comunicaciones seguras entre la terminal 140n móvil y la WLAN. El punto de acceso 130n comprende un medio para generar una primera y segunda claves 410 seguras y un medio para transmitir 420 una primera clave 119 segura y una segunda clave 123 segunda a la terminal 140n móvil. La terminal 140n móvil recibe la primera clave 119 segura y la segunda clave 123 segura y almacena las claves en un registro 430 para usarse durante la sesión de comunicaciones seguras. El punto de acceso 130n incluye un medio para encriptar 415 datos y un medio para transmitir 420 datos a la terminal 140n móvil a través de la WLAN con el uso de una clave de sesión actual. La terminal 140n móvil incluye un medio para recibir 450 y un medio para descifrar datos 435 recibidos desde un punto de acceso 130n con el uso de la clave 119 actual de sesión, la primera clave ¡nicialmente se utiliza como la clave de sesión actual 119. El punto de acceso 130n incluye un medio para generar periódicamente una clave de sesión posterior con el uso de la segunda clave segura y con el uso de la clave de sesión posterior como la clave de sesión actual durante las comunicaciones posteriores entre la WLAN 115 y la terminal 140n móvil. Se debe entender que la forma de esta invención se muestra como una modalidad preferida. Se pueden realizar varios cambios en la función y arreglo de partes, y se pueden sustituir medios equivalentes a los ilustrados y descritos, y ciertas características se pueden utilizar en forma independiente de otras sin apartarse del espíritu y alcance de la invención, como se define en las reivindicaciones anexas.
Claims (24)
1. Un método para proporcionar una sesión de comunicaciones seguras con una terminal del usuario en una red de comunicaciones, el método está caracterizado porque comprende los pasos de: transmitir una clave segura y una simiente segura a la terminal del usuario con el uso de un método de comunicaciones seguras, la clave segura y la simiente segura son apropiadas para su almacenamiento en la terminal del usuario para usarse durante la sesión de comunicaciones seguras; encriptar y transmitir datos y la simiente segura a la terminal del usuario con el uso de la clave de sesión actual y recibir y descifrar datos recibidos desde la terminal del usuario con el uso de la clave de sesión actual, la clave segura ¡nicialmente se utiliza como la clave de sesión actual; y generar periódicamente por un punto de acceso (AP) una clave de sesión posterior con el uso de una simiente segura y utilizar la clave de sesión posterior como la clave de sesión actual durante las comunicaciones posteriores entre la red de comunicaciones y la terminal del usuario.
2. El método de conformidad con la reivindicación 1, caracterizado porque además comprende el paso de: registrar de salida la terminal de usuario en respuesta a la solicitud encriptada de registro de salida desde la terminal del usuario acompañada por una simiente segura.
3. El método de conformidad con la reivindicación 1, caracterizado porque el paso de generar periódicamente comprende generar una clave de sesión posterior al concatenar la clave de sesión actual con la simiente segura y aplicar un algoritmo de refundición.
4. Un método para proporcionar una sesión de comunicaciones seguras con una terminal móvil en una red de área local inalámbrica (WLAN), el método comprende los pasos de: transmitir una clave segura y una simiente segura a la terminal móvil con el uso de un método de comunicación segura, la clave segura y la simiente segura son apropiadas para su almacenamiento en la terminal móvil para usarse durante la sesión de comunicaciones seguras; encriptar y transmitir datos a la terminal móvil con el uso de la clave de sesión actual, y recibir y descifrar datos recibidos desde la terminal móvil con el uso de la clave de sesión actual, la clave segura inicialmente se utiliza como la clave de sesión actual; y generar periódicamente por el punto de acceso (AP) una clave de sesión posterior con el uso de la simiente segura y con el uso de la clave de sesión posterior como la clave de sesión actual durante las comunicaciones posteriores con la terminal móvil.
5. El método de conformidad con la reivindicación 4, caracterizado porque el paso de generar periódicamente comprende generar por el AP una clave de sesión posterior con el uso de una combinación de ia nueva clave y la simiente segura, la nueva clave se genera con el uso de la clave segura.
6. El método de conformidad con la reivindicación 5, caracterizado porque el paso de generar periódicamente comprende generar por el AP una clave de sesión posterior al concatenar la nueva clave y la simiente segura y correr un algoritmo de refundición para generar la clave de sesión posterior.
7. Un método para proporcionar una sesión de comunicaciones seguras con una terminal móvil en una red de área local inalámbrica (WLAN), el método comprende los pasos de: generar una clave segura; transmitir la clave segura a la terminal móvil con el uso de un método de comunicaciones seguras, la clave segura se almacena en la terminal móvil para usarse durante la sesión de comunicaciones seguras; encriptar y transmitir datos a la terminal móvil con el uso de la clave de sesión actual, y recibir y descifrar datos recibidos desde la terminal móvil con el uso de la clave de sesión actual; y finalizar la sesión de comunicaciones seguras por el punto de acceso (AP) en respuesta a la recepción de un mensaje de registro de salida desde la terminal móvil, el mensaje de registro de salida tiene una forma encriptada e incluye la clave segura.
8. Un método para proporcionar una sesión de comunicaciones seguras con una terminal móvil en una red de área local inalámbrica (WLAN), el método comprende los pasos de: generare claves seguras y una simiente segura; transmitir las claves seguras y la simiente segura a la WLAN con el uso de un método de comunicaciones seguras, las claves seguras y la simiente segura se almacenan en la WLAN para usarse durante la sesión de comunicaciones seguras; encriptar y transmitir datos a la WLAN con el uso de la clave de sesión actual; y recibir y descifrar datos recibidos desde la WLAN con el uso de la clave de sesión actual, la clave segura inicialmente se utiliza como la clave de sesión actual; y generar periódicamente por la terminal móvil una clave de sesión posterior con el uso de la simiente segura y utilizar la clave de sesión posterior como la clave de sesión actual durante las comunicaciones posteriores con la WLAN.
9. El método de conformidad con la reivindicación 8, caracterizado porque el paso de generar periódicamente comprende generar por la terminal móvil una clave de sesión posterior con el uso de una combinación de la nueva clave y la simiente segura, la nueva clave se genera con el uso de la clave segura.
10. El método de conformidad con la reivindicación 9, caracterizado porque el paso de generar periódicamente comprende generar por la terminal móvil una clave de sesión posterior al concatenar la nueva clave y la simiente segura y correr un algoritmo de refundición para generar la clave de sesión posterior.
11. Un método para proporcionar una sesión de comunicaciones seguras con una terminal móvil en una red de área local inalámbrica (WLAN), el método está caracterizado porque comprende los pasos de: generar una ciave segura; recibir la clave segura desde la WLAN con el uso del método de comunicaciones seguras; la clave segura se almacena en la WLAN para usarse durante la sesión de comunicaciones seguras; encriptar y transmitir datos a la WLAN con el uso de la clave de sesión actual; y recibir y descifrar datos recibidos desde la WLAN con el uso de la clave de sesión actual; y finalizar la sesión de comunicaciones seguras en respuesta a recibir un mensaje de registro de salida desde la WLAN, el mensaje de registro de salida está en forma encriptada e incluye la clave segura.
12. Un método para proporcionar una sesión de comunicaciones seguras con una terminal móvil en una red de área local inalámbrica (WLAN), el método comprende los pasos de: instalar por lo menos dos secretos compartidos en la terminal móvil y en el punto de acceso WLAN durante la fase de autenticación del usuario, por lo cual el primer secreto es la clave de sesión inicial y el segundo secreto se utiliza como la simiente segura para generar claves de sesión posteriores.
13. El método de conformidad con la reivindicación 12, caracterizado porque además comprende el paso de generar una nueva clave y encriptar la nueva clave con la clave de sesión actual e intercambiar la nueva clave entre la WLAN y la terminal móvil.
14. El método de conformidad con la reivindicación 12, caracterizado porque además comprende el paso de que la WLAN y la terminal móvil generan una nueva clave de sesión y la simiente segura.
15. El método de conformidad con la reivindicación 14, caracterizado porque generar la nueva clave de sesión comprende el paso de concatenar la nueva clave de sesión con la simiente segura.
16. El método de conformidad con la reivindicación 15, caracterizado porque además comprende el paso de generar la nueva clave de sesión al aplicar un algoritmo de refundición en el resultado concatenado.
17. El método de conformidad con la reivindicación 16, caracterizado porque además comprende el paso de utilizar la nueva clave de sesión en comunicaciones entre la WLAN y la terminal móvil.
18. Un método para proporcionar la sesión de comunicaciones seguras entre la terminal móvil y una red de área local inalámbrica (WLAN), el método está caracterizado porque comprende los pasos de: una terminal móvil envía durante el registro de salida de sesión, una solicitud de registro de salida encriptada acompañada por la simiente segura, de modo que la simiente segura aparece en la solicitud de registro de salida.
19. Un punto de acceso para proporcionar una sesión de comunicaciones seguras entre una terminal móvil y una red de área local inalámbrica (WLAN) caracterizado porque comprende: un medio para transmitir claves seguras y una simiente segura a la terminal móvil con el uso de un método de comunicaciones seguras; un medio para encriptar datos con el uso de la clave segura; y un medio para generar periódicamente una clave de sesión posterior con el uso de la simiente segura.
20. Un dispositivo de terminal para proporcionar una sesión de comunicaciones seguras con una red de comunicaciones, caracterizado porque comprende: un medio para recibir una clave segura y una simiente segura y un medio para almacenar la clave segura y la simiente segura para usarse durante la sesión de comunicaciones seguras; un medio para recibir datos y un medio para descifrar los datos con el uso de una clave de sesión actual durante una sesión de comunicaciones seguras, la clave segura se utiliza inicialmente como la clave de sesión actual; y un medio para generar una clave de sesión posterior con el uso de la clave de sesión actual y la simiente segura, la clave de sesión actual después se utiliza como la clave de sesión actual para las comunicaciones posteriores.
21. El dispositivo de terminal de conformidad con la reivindicación 20, caracterizado porque el dispositivo de terminal comprende una terminal móvil y una red de comunicaciones que comprende una red de área local (WLAN).
22. Un punto de acceso (AP) para proporcionar una sesión de comunicaciones segura entre una terminal móvil y una red de área local inalámbrica, caracterizado porque comprende: un medio para transmitir una clave segura y una simiente segura y un medio para almacenar la clave segura y la simiente segura para usarse durante la sesión de comunicaciones seguras; un medio para encriptar datos y un medio para transmitir datos a la terminal móvil y un medio para recibir datos y medio para descifrar los datos desde la terminal móvil con el uso de una clave de sesión actual durante la sesión de comunicaciones seguras, la clave segura se utiliza inicialmente como la clave de sesión actual; y un medio para generar una clave de sesión posterior con el uso de una clave de sesión actual y la simiente segura, la clave de sesión posterior después se utiliza como la clave de sesión actual para las comunicaciones posteriores.
23. El punto de acceso de conformidad con la reivindicación 22, caracterizado porque el medio para generar periódicamente una clave de sesión posterior comprende un medio para generar una clave de sesión posterior con el uso de una combinación de una nueva clave y una simiente segura, la nueva clave se genera por medio del uso de una clave segura.
24. El punto de acceso de conformidad con la reivindicación 22, caracterizado porque el medio para generar periódicamente una clave de sesión posterior comprende un medio para generar una clave de sesión posterior al concatenar una nueva clave y una segunda clave segura y un medio para correr un algoritmo de refundición para generar una clave de sesión posterior. 24. Un punto de acceso (AP) para proporcionar una sesión de comunicaciones segura entre una terminal móvil y una red de área local inalámbrica, caracterizado porque comprende: un medio para transmitir una clave segura y una simiente segura y un medio para almacenar la clave segura y la simiente segura para usarse durante la sesión de comunicaciones seguras; un medio para encriptar datos y un medio para transmitir datos a la terminal móvil y un medio para recibir datos y medio para descifrar los datos desde la terminal móvil con el uso de una clave de sesión actual durante la sesión de comunicaciones seguras, la clave segura se utiliza inicialmente como la clave de sesión actual; y un medio para generar una clave de sesión posterior con el uso de una clave de sesión actual y la simiente segura, la clave de sesión posterior después se utiliza como la clave de sesión actual para las comunicaciones posteriores.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US45454203P | 2003-03-14 | 2003-03-14 | |
| PCT/US2004/007403 WO2004084458A2 (en) | 2003-03-14 | 2004-03-11 | Wlan session management techniques with secure rekeying and logoff |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| MXPA05009804A true MXPA05009804A (es) | 2006-05-19 |
Family
ID=33029889
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| MXPA05009804A MXPA05009804A (es) | 2003-03-14 | 2004-03-11 | Tecnicas de manejo de sesion de red de area local inalambrica con claves dobles y salida de registro seguros. |
Country Status (7)
| Country | Link |
|---|---|
| EP (1) | EP1606899A4 (es) |
| JP (2) | JP2006520571A (es) |
| KR (2) | KR20050116821A (es) |
| CN (2) | CN1874222A (es) |
| MX (1) | MXPA05009804A (es) |
| MY (1) | MY135833A (es) |
| WO (1) | WO2004084458A2 (es) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006520571A (ja) * | 2003-03-14 | 2006-09-07 | トムソン ライセンシング | セキュア鍵及びログオフを用いるwlanセッション管理技術 |
| US7142851B2 (en) * | 2003-04-28 | 2006-11-28 | Thomson Licensing | Technique for secure wireless LAN access |
| MX2007013117A (es) * | 2005-04-22 | 2008-01-14 | Thomson Licensing | Metodo y aparato para el acceso anonimo, seguro a una red de area local inalambrica (wlan). |
| CN102752309A (zh) * | 2005-04-22 | 2012-10-24 | 汤姆森特许公司 | 用于移动设备对无线局域网的安全匿名接入的方法 |
| CN101454767B (zh) * | 2006-04-24 | 2013-08-14 | 鲁库斯无线公司 | 安全无线网络中的动态认证 |
| US7788703B2 (en) * | 2006-04-24 | 2010-08-31 | Ruckus Wireless, Inc. | Dynamic authentication in secured wireless networks |
| WO2008001904A1 (fr) | 2006-06-30 | 2008-01-03 | Nikon Corporation | Appareil photo numérique |
| MX2009011831A (es) * | 2007-06-11 | 2010-03-04 | Nxp Bv | Metodo de autenticacion y dispositivo electronico para ejecutar la autenticacion. |
| KR101016277B1 (ko) * | 2007-12-20 | 2011-02-22 | 건국대학교 산학협력단 | 보안성이 강화된 sⅰp 등록 및 sⅰp 세션 설정 방법 및장치 |
| US8756668B2 (en) | 2012-02-09 | 2014-06-17 | Ruckus Wireless, Inc. | Dynamic PSK for hotspots |
| US10576256B2 (en) | 2016-12-13 | 2020-03-03 | Becton, Dickinson And Company | Antiseptic applicator |
| US11689925B2 (en) * | 2017-09-29 | 2023-06-27 | Plume Design, Inc. | Controlled guest access to Wi-Fi networks |
| US11496902B2 (en) | 2017-09-29 | 2022-11-08 | Plume Design, Inc. | Access to Wi-Fi networks via two-step and two-party control |
| CN111404666B (zh) * | 2019-01-02 | 2024-07-05 | 中国移动通信有限公司研究院 | 一种密钥生成方法、终端设备及网络设备 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0966813A2 (en) * | 1997-03-10 | 1999-12-29 | Guy L. Fielder | Bilateral authentication and encryption system |
| FI113119B (fi) * | 1997-09-15 | 2004-02-27 | Nokia Corp | Menetelmä tietoliikenneverkkojen lähetysten turvaamiseksi |
| US6304658B1 (en) * | 1998-01-02 | 2001-10-16 | Cryptography Research, Inc. | Leak-resistant cryptographic method and apparatus |
| US6151677A (en) * | 1998-10-06 | 2000-11-21 | L-3 Communications Corporation | Programmable telecommunications security module for key encryption adaptable for tokenless use |
| US7028186B1 (en) * | 2000-02-11 | 2006-04-11 | Nokia, Inc. | Key management methods for wireless LANs |
| JP2002077129A (ja) * | 2000-08-24 | 2002-03-15 | Nissin Electric Co Ltd | 暗号通信方法 |
| JP2006520571A (ja) * | 2003-03-14 | 2006-09-07 | トムソン ライセンシング | セキュア鍵及びログオフを用いるwlanセッション管理技術 |
-
2004
- 2004-03-11 JP JP2006507069A patent/JP2006520571A/ja active Pending
- 2004-03-11 KR KR1020057017159A patent/KR20050116821A/ko not_active Application Discontinuation
- 2004-03-11 EP EP04719770A patent/EP1606899A4/en not_active Withdrawn
- 2004-03-11 MX MXPA05009804A patent/MXPA05009804A/es active IP Right Grant
- 2004-03-11 WO PCT/US2004/007403 patent/WO2004084458A2/en active Search and Examination
- 2004-03-11 KR KR1020067005624A patent/KR20060053003A/ko not_active Application Discontinuation
- 2004-03-11 CN CNA2006100925525A patent/CN1874222A/zh active Pending
- 2004-03-11 CN CNA2004800063151A patent/CN1759550A/zh active Pending
- 2004-03-13 MY MYPI20040889A patent/MY135833A/en unknown
-
2006
- 2006-03-20 JP JP2006077107A patent/JP2006180561A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2004084458A3 (en) | 2004-11-18 |
| EP1606899A2 (en) | 2005-12-21 |
| CN1759550A (zh) | 2006-04-12 |
| EP1606899A4 (en) | 2011-11-02 |
| CN1874222A (zh) | 2006-12-06 |
| KR20050116821A (ko) | 2005-12-13 |
| KR20060053003A (ko) | 2006-05-19 |
| JP2006520571A (ja) | 2006-09-07 |
| MY135833A (en) | 2008-07-31 |
| JP2006180561A (ja) | 2006-07-06 |
| WO2004084458A2 (en) | 2004-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20070189537A1 (en) | WLAN session management techniques with secure rekeying and logoff | |
| US8161278B2 (en) | System and method for distributing keys in a wireless network | |
| KR101009330B1 (ko) | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 | |
| US7760882B2 (en) | Systems and methods for mutual authentication of network nodes | |
| KR100832893B1 (ko) | 무선 근거리 통신망으로 이동 단말의 보안 접근 방법 및 무선 링크를 통한 보안 데이터 통신 방법 | |
| KR100612255B1 (ko) | 무선 네트워크 시스템에서의 데이터 보안장치 및 그 방법 | |
| JP2006180561A (ja) | セキュア鍵及びログオフを用いるwlanセッション管理技術 | |
| US20030095663A1 (en) | System and method to provide enhanced security in a wireless local area network system | |
| EP1933498B1 (en) | Method, system and device for negotiating about cipher key shared by ue and external equipment | |
| WO2005114897A2 (en) | Pre-authentication of mobile clients by sharing a master key among secured authenticators | |
| US20080137859A1 (en) | Public key passing | |
| EP2005638A2 (en) | Bio-metric encryption key generator | |
| JP2006524017A (ja) | 公的認証サーバで無線lanアクセスを制御するidマッピング機構 | |
| CN101895881B (zh) | 一种实现gba密钥的方法及终端可插拔设备 | |
| JP2007506329A (ja) | Wlanセキュリティを向上させる方法 | |
| US20070232316A1 (en) | System and method for secure network browsing | |
| US7784086B2 (en) | Method for secure packet identification | |
| Sorman et al. | Implementing improved WLAN security | |
| JP2006191429A (ja) | 集合型宅内ネットワークにおける認証方法及びシステム | |
| KR100924315B1 (ko) | 보안성이 강화된 무선랜 인증 시스템 및 그 방법 | |
| CN117376909A (zh) | 一种基于通用引导架构的单包授权认证方法及系统 | |
| Nagesha et al. | A Survey on Wireless Security Standards and Future Scope. | |
| EP1604294A2 (en) | Secure web browser based system administration for embedded platforms | |
| Froihofer | A survey of WLAN security with focus on HotSpot and enterprise environments | |
| Falk | Snabb och säker roaming i WLAN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FG | Grant or registration |